Thema: Lücken im Windows-Kernel

[SiLæncer]

Nachdem der Month of the Kernel Bugs (MoKB) mit einer publikumswirksamen Lücke in Apple-Treibern gestartet ist, melden die Initiatoren des Projekts jetzt eine Sicherheitslücke im Kernel von Windows 2000 und XP, durch die lokale Anwender Programme mit Systemrechten ausführen können. Der Fehler liegt in der Art, wie Windows grafische Ressourcen von Anwendungen verwaltet.

Für jede Anwendung, die Ressourcen vom Graphic Device Interface (GDI) anfordert, legt der Kernel einen Speicherbereich in einem globalen Shared-Memory-Segment mit Nur-Lese-Rechten an. Laut Cesar Cerrudo, dem Entdecker der Lücke, kann allerdings jeder Prozess diesen Speicherbereich mit Schreib- und Leserechten neu abbilden und dann manipulieren, da in diesem Kernel-Speicherbereich standardmäßig die Rechte zum Lesen, Schreiben und Ausführen vergeben sind.

Dadurch kann jeder Prozess GDI-Kernel-Strukturen überschreiben und zumindest einen Blue-Screen-of-Death (BSoD) herbeiführen. Mit etwas Geschick können Angreifer jedoch laut Cerrudo die Strukturen so überschreiben, dass der Kernel in Folge eingeschleusten Code mit Systemrechten ausführt. Ein in der Meldung verlinkter Proof-of-Concept-Exploit soll den BSoD demonstrieren.

Cerrudo hat laut der MoKB-Meldung Microsoft bereits am 22. Oktober 2004 über diese Schwachstelle informiert, allerdings hat das Unternehmen sie bis heute in Windows 2000 bis einschließlich Service Pack 4 sowie in Windows XP bis einschließlich Service Pack 2 noch nicht geschlossen.

Siehe dazu auch:

    * Microsoft Windows kernel GDI local privilege escalation, Sicherheitsmeldung beim MoKB

Quelle und Links : http://www.heise.de/security/news/meldung/80621

[SiLæncer]

Eine Sicherheitslücke in allen Windows-Versionen, die Microsoft seit nunmehr einem Jahr bekannt ist, wird jetzt in Rahmen eines kombinierten Angriffs ausgenutzt, um Malware in Web-Server einzuschleusen.

Sicherheitslücken in Windows, die nicht unmittelbar zum Einschleusen schädlichen Codes ausgenutzt werden können, werden bei Microsoft offenbar gerne erstmal auf Halde gelegt, ohne dass ein Sicherheits-Update bereit gestellt wird. So berichtet das Internet Storm Center über einen erfolgreichen Angriff auf einen Web-Server, der mit Microsofts IIS betrieben wird. Als eine Komponente der Angriffsstrategie dient ein Exploit für eine Sicherheitslücke, die bereits vor einem Jahr an Microsoft worden ist.

Der Sicherheitsforscher Cesar Cerrudo hat im März 2008 eine Sicherheitslücke in Windows entdeckt, die eine lokale Ausweitung der Benutzerrechte ermöglicht. Anders ausgedrückt kann sich ein angemeldeter Benutzer mit geringeren Rechten die Zugriffsrechte des Systemkontos verschaffen. Microsoft hat dazu auch eine Sicherheitsempfehlung veröffentlicht. Als dem nichts weiter folgte, hat Cerrudo im Oktober 2008 einen Demo-Exploit namens "Churrasco2" für diese Schwachstelle veröffentlicht.

Wie Bojan Zdrnja vom Internet Storm Center bei der Analyse eines Angriffs auf einen Web-Server heraus gefunden hat, wird diese als "Token Kidnapping" bekannte Schwachstelle inzwischen erfolgreich ausgenutzt. Der Angreifer nutzt zunächst eine Sicherheitslücke in einer Web-Anwendung aus, um eine so genannte Webshell namens ASPXSpy einzuschleusen.

Damit verfügt er jedoch noch nicht über die vollen Zugriffsrechte auf den Windows-Server. Die verschafft er sich anschließend mit Hilfe von Churrasco2. Der Rest des Angriffs ist Standard - mit Systemrechten ausgestattet, installiert der Angreifer ein Trojanisches Pferd und einen Key-Logger.

Da Microsoft bislang noch kein Security Bulletin nebst Sicherheits-Update bereit gestellt hat, müssen sich Windows-Administratoren mit den Empfehlungen aus Microsofts Sicherheitsmitteilung 951306 begnügen. Diese beziehen sich allerdings nur auf den Web-Serverdienst IIS. Wie Bojan Zdrnja weiter fest gestellt hat, sollten Sie sich auch nicht darauf verlassen, dass ein installierter Virenscanner vor dem Angriff schützt.

Quelle und Links : http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/195550/offene_sicherheitsluecke_in_windows_wird_ausgenutzt/

[SiLæncer]

Microsoft berichtet von einem Sicherheitsloch im Windows-Kernel, das zur Rechteausweitung missbraucht werden kann. Zur Ausnutzung des Sicherheitslecks muss ein Angreifer am System angemeldet sein. Einen Patch zur Beseitigung des Fehlers gibt es bislang nicht.

Der Fehler steckt in allen 32-Bit-Fassungen der verschiedenen Windows-Versionen. Alle 64-Bit-Ausführungen von Windows sollen davon nicht betroffen sein. Ein Angreifer muss gültige Anmeldeinformationen für ein System haben und sich lokal am Rechner anmelden, um das Sicherheitsloch ausnutzen zu können. Dann ist eine Rechteausweitung möglich, so dass Programme mit mehr Rechten ausgeführt werden, als dem angemeldeten Nutzer eigentlich zustehen.

Der Fehler scheint mit der Windows-Komponente NT Virtual DOS Mode (NTVDM) in Zusammenhang zu stehen. Jedenfalls empfiehlt Microsoft, NTVDM abzuschalten, wenn es nicht benötigt wird. Damit wird eine Ausnutzung der Sicherheitslücke zumindest erschwert.

Nach Angaben von Microsoft wurde das Sicherheitsleck bislang nicht ausgenutzt. Mit einem Patch ist wohl Mitte Februar 2010 am nächsten planmäßigen Patchday zu rechnen.

Quelle : www.golem.de

[SiLæncer]

Microsoft hat einen Bericht des Budapester Laboratory of Cryptography and System Security (CrySyS) bestätigt, laut dem sich der Duqu-Bot über eine Zero-Day-Lücke im Windows-Kernel verbreitet. Bislang war unklar, wie Duqu das System infiziert. Bei einer Analyse des Installers entdeckte CrySyS die Windows-Lücke. Der Bot, der nach Meinung des Antivirenherstellers Symantec mit dem Stuxnet-Wurm verwandt ist, infiziert sein Zielsystem mit Hilfe präparierter Word-Dateien, die den Schadcode durch einen Kernel-Exploit ins System einschleusen. Microsoft arbeitet bereits an einem Patch.

Symantec berichtet, dass Angreifer Duqu in einem Fall angewiesen haben, sich über Netzwerkfreigaben zu verbreiten. Dadurch konnte sich der Bot im Firmennetz weiterhangeln und auch Systeme infizieren, die nicht direkt an das Internet angebundenen sind. Diese wurden dann von Bots, die auf das Internet zugreifen dürfen, mit den Befehlen des Kommandoservers versorgt.

Duqu wird bislang nur für gezielte Angriffe eingesetzt. Der von Symantec untersuchte Installer war lediglich für ein Zeitfenster von acht Tagen im August scharf geschaltet. Symantec hat mögliche Infektionen bei sechs Unternehmen festgestellt, die in Frankreich, Niederlande, Schweiz, Ukraine, Indien, Iran Sudan und Vietnam tätig sind. Andere Sicherheitsfirmen wollen Infektionen in Österreich, Indonesien, Großbritannien entdeckt haben. Bei deutschen Unternehmen wurde Duqu bislang noch nicht gesichtet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Wirtschaft ausdrücklich aufgefordert, sich im Falle einer Infektion zu melden.

Mit Duqu wurden unter anderem Hersteller von Industriesteueranlagen ausspioniert. Das legt den Schluss nahe, dass die Angreifer mit entwendeten Firmengeheimnissen möglicherweise neue Attacken auf Industriesteueranlagen planen, etwa in Kraftwerken. Stuxnet wurde einst eingesetzt, um das iranische Atomprogramm zu sabotieren. Auch Stuxnet nutzte zuvor unbekannte Lücken in Windows aus.

Unterdessen melden die Sicherheitsexperten von Dells SecureWorks Counter Threat Unit (CTU) Zweifel an der Verwandtschaft von Duqu und Stuxnet an. Demnach nutzen die beiden Schädlinge zwar bis zu einem gewissen Grad ähnliche Rootkit-Methoden wie einen Kernel-Treiber, der eine verschlüsselte DLL zunächst entschlüsselt und anschließend in andere Prozesse injiziert. Diese Methoden sind laut Dell jedoch gängige Praxis und werden auch von zahlreichen anderen Schädlingen genutzt, die nichts mit Stuxnet zu tun haben. Die eigentliche Payload der beiden Schädlinge sei hingegeben völlig unterschiedlich und lasse keine Schlüsse auf eine Verwandtschaft zu.

Quelle : http://www.heise.de/newsticker/meldung/Duqu-nutzt-bislang-unbekannte-Luecke-im-Windows-Kernel-1370005.html

[SiLæncer]

Nachdem die Behörden vor kurzem einen Server in Indien vom Netz nahmen, auf dem durch den Computer-Schädling Duqu ausspionierte Daten gesammelt wurden, wichen die hinter Duqu stehenden Cyberkriminellen nun offenbar nach Belgien aus. Dies berichten Sicherheitsexperten, die mittlerweile für die Abschaltung auch dieses Servers sorgten.

Sicherheitsforscher des Unternehmens Symantec berichten, sie hätten ein Duqu-Exemplar analysiert, das mit einem Server des größten belgischen Webhosters Combell Group kommunizierte. Symantec berichtete am vergangenen Dienstag auf seiner Website über diese Entdeckung und informierte Combell über die auf ihrem Server durchgeführten illegalen Aktivitäten.

Auf eine Nachfrage der Nachrichten-Agentur Reuters hin teilte Combell mit, es habe den betreffenden Server nach einer Untersuchung des Sachverhalts am heutigen Donnerstag vom Netz genommen. Ein anonymer Combell-Mitarbeiter erklärte, auf dem Server seien verdächtige Aktivitäten zu beobachten gewesen. So sei versucht worden, alle Daten, die Rückschlüsse auf die Kommunikation des Servers zuließen, zu löschen. Zudem liefen auf dem Server offenbar weitaus weniger verschiedene Programme als auf vergleichbaren Maschinen. Das berichtete John Bumgarner, Chief Technology Officer der US-amerikanischen "Cyber Consequences Unit". Dieser berichtete, dass die Duqu-Betreiber nach dem Wechsel von Indien nach Belgien das Muster ihrer Kommunikation mit den infizierten Systemen verändert hätten, was die Entdeckung infizierter Maschinen deutlich erschwert hätte.

Derweil berichtet das auf IT-Sicherheitsthemen spezialisierte Blog "Zero Day", dass ein Patch für die von Duqu zur Infektion benutzte Zero-Day-Schwachstelle im Windows-Kernel nicht für den nächsten Patchday am kommenden Dienstag zu erwarten ist. Es bleibt abzuwarten, ob Microsoft bis zum Dezember-Patchday warten oder womöglich ein außerplanmäßiges Sicherheits-Update veröffentlichen wird. Auch das erwartete Advisory zur Duqu-Schwachstelle wurde bislang nicht veröffentlicht.

Quelle : www.gulli.com

[SiLæncer]

Microsoft hat weitere Informationen über die kürzlich veröffentlichte Lücke im Windows-Kernel veröffentlicht, die auch der Duqu-Wurm benutzt. Laut Microsoft findet sich die Lücke in der Parsing-Engine der Win32k TrueType-Schriftart. Angreifer können diese Sicherheitslücke ausnutzen, um beliebigen Code im Kernel-Mode auszuführen.

Microsoft beschreibt in einem Security Advisory, wie sich Anwender mit einem Workaround schützen können. Um es dem Anwender zu erleichtern, haben die Redmonder zusätzlich ein Fix-it-Supportcenter eingerichtet. Dies ermöglicht eine 1-Klick-Installation des Workarounds. In beiden Fällen verhindert die Lösung den Systemzugriff auf die verwundbare Datei T2embed.dll.

Zur Zeit arbeitet Microsoft noch an einem Sicherheits-Update. Das Update wird allerdings nicht zum monatlichen Patchday am kommenden Dienstag fertig sein. Microsoft-Sprecher Jerry Bryant begründete dies im Blog des Microsoft Security Response Centers damit, dass das Risiko für den Anwender niedrig sei.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsdienstleister Fireeye hat einen neuen 0-Day-Exploit in freier Wildbahn entdeckt. Mit Hilfe speziell präparierter PDF-Dateien kann sich demnach ein Schadprogramm unter Windows XP erhöhte Rechte verschaffen. Der Fehler ist jedoch nicht geeignet, darüber Schadcode zur Ausführung zu bringen, erklärt Microsoft im soeben veröffentlichten Microsoft Security Advisory (2914486).

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Da Microsoft nicht in der Lage war, innerhalb von drei Monaten einen Patch zu liefern, machte Googles Sicherheitsteam ernst. Der Exploit erlaubt eine Rechteausweitung – mindestens unter Windows 8.1.

In Windows klafft eine Schwachstelle, durch die sich ein Angreifer höhere Rechte verschaffen kann, als ihm zustehen. Entdeckt hat die Lücke der Sicherheitsexperte James Forshaw von Googles Project Zero. Foreshaw hatte Microsoft bereits am 30. September vergangene Jahres über die Schwachstelle in Kenntnis gesetzt und dem Unternehmen im Sinne von Responsible Disclosure eine Frist von 90 Tagen gesetzt, ehe die Details veröffentlicht werden.

Diese Frist ist nun abgelaufen, in Googles Bugtracker sind die Informationen seit kurzem öffentlich einsehbar. Dort findet man auch einen Exploit, mit dem man das eigenen System auf die Lücke testen kann. Forshaw konnte den Bug bisher lediglich bei Windows 8.1 verfizieren, ob auch ältere Versionen betroffen sind, ist derzeit noch unklar.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Hält man auf einem verschlüsselten Linux-System bei der Passwort-Eingabe für 70 Sekunden die Enter-Taste gedrückt, öffnet sich eine Shell, die Befehle mit Root-Rechten ausführt. Klingt komisch, ist aber so.

Durch eine Lücke in Cryptsetup erhält man auf verschlüsselten Linux-Systemen erschreckend einfach eine Root-Shell: Es genügt, bei der Passwort-Eingabe für rund 70 Sekunden die Enter-Taste gedrückt zu halten. Anschließend erscheint eine BusyBox-Shell, welche die Ausführung zahlreicher Linux-Befehle mit Root-Rechten erlaubt. Betroffen sind Debian, Ubuntu, Fedora und Derivate.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Windows-Kernel schlummert seit Jahren eine Lücke, die in einigen Fällen dafür sorgen könnte, dass Malware vom Radar von Sicherheitssoftware verschwindet. Laut ihrem Entdecker zeigt sich Microsoft bislang aber eher desinteressiert.

Ein vermutlich bereits seit fast 20 Jahren vorhandener Windows-Kernel-Bug kann unter bestimmten Umständen die Malware-Erkennungsmechanismen von Sicherheitssoftware aushebeln. Entdeckt wurde er von Sicherheitsforscher Omri Misgav während einer Analyse des Windows-Kernels. Der Fehler findet sich in der API-Funktion PsSetLoadImageNotifyRoutine, die ursprünglich entwickelt wurde, um Kernelmode-Treiber per Callback immer dann zu informieren, wenn andere Treiber, Anwendungen oder DLLs im User Mode gestartet werden.

Wie Misgav in einem Blogeintrag beschreibt, soll die Callback-Funktion von PsSetLoadImageNotifyRoutine eigentlich Namen und Pfad der neu geladenen Komponente zurückliefern. In der Praxis fehle in den Rückgabewerten jedoch häufig die Laufwerksbezeichnung, oder sie beinhalteten missgestaltete Pfade, die gar nicht auf die richtige Komponente verwiesen. Mittels Kernel-Debugger fand er als Auslöser schließlich einen Codierungsfehler in der Verarbeitung und Zwischenspeicherung der Komponentenbezeichnung.

Kein Sicherheitsproblem?

Laut dem Nachrichtenportal Bleepingcomputer nutzen einige AV-Hersteller die PsSetLoadImageNotifyRoutine-Funktion in ihren Produkten, um zeitnah auf die Ausführung von Schadcode reagieren zu können. Der Bug könnte hierbei zur Folge haben, dass neu in den RAM geladene Malware nicht lokalisiert werden kann. Misgav betonte gegenüber Bleepingcomputer allerdings, dass er nicht sagen könne, ob und inwieweit dies in der Praxis tatsächlich Einfluss auf die Erkennung habe.

Der Sicherheitsforscher konnte den Bug eigenen Angaben zufolge unter Windows XP mit SP3, x64-Windows 7 mit SP1 sowie mit der x86- und x64-Version von Windows 10 samt aktueller Updates reproduzieren. Er gehe allerdings davon aus, dass der Fehler schon seit der Einführung von Windows 2000 vorhanden ist. Misgav teilte gegenüber Bleepingcomputer mit, er habe das MSRC (Microsoft Security Response Center) bereits Anfang dieses Jahres über seinen Fund informiert. Die zuständigen Mitarbeiter hätten den Bug jedoch nicht als Sicherheitsproblem betrachtet.

Quelle : www.heise.de