Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Office Macros
13. April 2018

Eine kleine Bemerkung aus aktuellem Anlass:

Ich hab gestern mal wieder meinen üblichen Vortrag zum Thema "Bedrohungslage" gehalten, und dabei auch - wie immer - erwähnt, dass Office-Macros gefährlich sind und eingeschränkt werden müssen. Im Publikum war klar zu erkennen, dass einige das bei sich nicht machen können. Verständlich, weil in so manchen Firmen wichtige Geschäftsprozesse als Excel-Macros implementiert sind.

Daher will ich eines klarstellen:

Wer in eingehenden Mail-Attachments Macros in Office-Dokumenten erlaubt und per Group Policy nicht einschränkt, ob diese ausgeführt werden dürfen, der hat de-facto den Empfang und das Ausführen von .exe Files erlaubt. Oder anders formuliert: Office-Dokumente mit Macros müssen wie ganz normale Programme behandelt werden. Es gibt hier kein "sandboxing" oder sonst irgendwelche Schutzmechanismen. Wenn ich die Ausführung von Macros erlaube, dann gebe ich dem Schreiber der Macros die vollen Rechte des angemeldeten Benutzers.

Autor: Otmar Lendl

Updated 2018-04-04 - Microsoft Malware Protection Engine: Sicherheitsupdate behebt kritische Schwachstelle
4. April 2018

Am 03.04.2018 hat Microsoft ein Update zur Behebung des kritischen Fehlers CVE-2018-0986 in der hauseigenen Antiviren-Software (Microsoft Malware Protection Engine), benutzt in zum Beispiel Windows Defender, Microsoft Security Essentials, Microsoft Intune Endpoint, Microsoft Forefront Endpoint 2010 sowie in Exchange Server 2013 und 2016 unter den Systemen Windows 7 bis Windows 10 beziehungsweise Windows Server 2008 R2 bis Windows Server 2016 veröffentlicht.

Das Ausnützen der Schwachstelle durch eine speziell präparierte Datei, die beim Scanvorgang durch die Antiviren-Software den Speicher korrumpiert, ermöglicht es einem Angreifer beliebigen Code im lokalen Kontext als "LocalSystem" auszuführen und die vollständige Kontrolle über das betroffene System zu erlangen.

Die schadhafte Datei kann hierbei zum Beispiel auf Internetseiten hochgeladen sein oder auch per Mail verschickt werden. Wenn die Datei bereits beim Betrachten der Internetseite beziehungsweise beim Erhalt der Mail gescannt wird, löst dies die Schwachstelle umgehend aus. Selbiges gilt für Datei- und Web-Server, die das Hochladen von Benutzerinhalten erlauben, wenn die bereitsgestellten Dateien durch die Antiviren-Software serverseitig gescannt werden. Somit ist erhöhte Vorsicht geboten.

Aber eben nur erhöhte Vorsicht ... kein Grund zur Panik.

Die automatische Update Funktion der Antiviren-Software ist durch Microsoft standardmäßig aktiviert. Das Update sollte damit bereits auf Systemen mit Internetzugang und nicht deaktiviertem automatischem Update installiert sein. Weiters ist die Methode zur Ausnutzung der Schwachstelle noch nicht öffentlich verfügbar und es wurde auch noch keine Ausnutzung bis dato festgestellt.

Update 4. April 2018

Mittlerweile haben die die Sicherheitsforscher von "Project Zero" (Google) Details zu der Schwachstelle veröffentlicht. Mit entsprechenden Angriffen ist also zu rechnen.

Zur Sicherheit sollte überprüft werden ob die Antiviren-Software in Version 1.1.14700.5 vorliegt und die automatische Update Funktion nicht deaktiviert ist.

 

Links:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0986

Autor: Erik Huemer

DDoS-Reflection mit Memcached
28. Februar 2018

Auf diesen Seiten war schon viel über DDoS zu lesen, insbesondere der Variante, bei der schlecht betriebene Services im Netz sich als Reflektoren/Verstärker missbrauchen lassen. Übliche Vektoren in den letzten Jahren waren DNS, NTP, SSDP, SNMP und auch LDAP. Jetzt ist hier was neues am Radar aufgetaucht: Memcached.

Auch hier gilt vorab: es gibt so gut wie keinen Grund, dass Memcached Server überhaupt aus dem offenen Internet aus ansprechbar sind, da sie nur intern zur Performanceoptimierung von komplexen Webseiten eingesetzt werden. Weiters werden sie oft komplett ohne Zugriffsschutz betrieben, was Datendiebstahl oder Manipulation einfach macht. Aus diesem Grund warnen wir schon länger alle Betreiber, die eine Memcached Instanz offen im Netz laufen haben.

Aber neben TCP kann Memcached auch UDP, und hier fängt der Spass an. Damit gibt es keine Validierung der IP-Adresse des Clients und bei einer maximalen Antwortgröße von 1 MB sind diese Server perfekte DDoS-Verstärker.

Gestern kam die Meldung, dass erste heftig DDoS-Angriffe per Memcached-Reflection beobachtet wurden.

Links dazu:

Empfehlungen:

  • Wer so ein Teil einsetzt: Bitte per Firewall vom Internet trennen.
  • Netzbetreiber/ISPs sollten Pakete mit UDP Source Port 11211 als potentiellen DDoS einstufen und entsprechend in diverse Filter bzw. Rate-Limits aufnehmen. Insbesondere Infrastructure ACLs (iACLs) sollten entsprechend angepasst werden. Siehe auch hier, wobei ich Rate-Limits harten Blocks deutlich vorziehe.
  • Firmen sollten bei ihren DDoS-Abwehr überprüfen, ob Port 11211 analog zu anderen missbrauchbaren Protokollen behandelt wird.

Status in Österreich

Es liegt uns noch kein Bericht vor, dass dieser Vektor bei einem DDoS auf hiesige Ziele benutzt wurde.

Wir bekommen schon lange Scan-Ergebnisse von Shadowserver zu offenen Memcached Instanzen in Österreich, die wir auch an die Netzbetreiber weiterverteilen. Das waren in letzter Zeit immer so rund 50 IP Adressen, die per TCP auf Port 11211 antworten. Mit dem heutigen Report wird erstmals auch inkludiert, wer auf UDP Port 11211 lauscht und damit für DDoS Reflection anfällig sein könnte. Das sind aktuell 32 IP-Adressen (aus 20 ASN) in Österreich.

Ausblick

Der Verstärkungsfaktor ist potentiell sehr hoch. Das ist einerseits böse, da damit sehr potente DDoS-Angriffe entstehen können, andererseits haben wir bei ntp monlist gelernt, dass damit auch der Leidensdruck der Reflektoren schnell hoch wird, und das damit das Ganze schnell aufgeräumt werden wird.

Autor: Otmar Lendl

Meltdown & Spectre - don't panic
4. Jänner 2018

Am 3.1. wurden zwei Schwachstellen publik, über die im Vorfeld der Veröffentlichung heftig spekuliert worden war.

Die Sicherheitslücken haben Namen und Logos - die Sache ist also ernst. ;)

Aber Scherz beiseite - natürlich sollte man die Angelegenheit nicht auf die leichte Schulter nehmen, es besteht aber aktuell kein Grund in Panik auszubrechen.
Privatanwender, die auf ihren Devices automatische Updates für Betriebssystem und sonstige Software erhalten, sollten weitgehend geschützt sein. Erhöhte Aufmerksamkeit sollte man allerdings den Veröffentlichungen der Browser-Hersteller widmen. Hier liegen bereits Statements von Mozilla (Firefox) und Google (Chrome) vor. Windows-User sollten auch die Hinweise von Microsoft zu Kompatibilitätsproblemen mit manchen Antivirenlösungen beachten, um sicherzustellen, dass sie die Sicherheitsupdates auch tatsächlich erhalten. (Weiterführende Links: Siehe unten)
In Organisationen mit Patchmanagement empfiehlt es sich, gemäss der (hoffentlich) vorhandenen Prozesse vorzugehen. Beim Evaluieren ist hier wohl vor Allem interessant, wie sehr sich die Patches auf die Performance auswirken - mit Einbussen ist zu rechnen.
Nutzer von Cloud Services (wie z.B. von Amazon, Google oder Microsoft) sollten prüfen, ob und wann von den Anbietern Massnahmen gesetzt werden bzw. wurden.

Weiterführende Links


Dank gebührt den Kollegen vom Austrian Energy CERT für wertvollen Input.

Autor: Stephan Richter

Nächste >>
Letzte Änderung: 2018/4/13 - 09:46:24
Haftungsausschluss