CSOC-Event der Woche KW34: CSOC-Event der Woche – Unverschlüsselte Passwörter

KW34: CSOC-Event der Woche – Unverschlüsselte Passwörter


Durchschnittliche CSOC-Gesamtevents pro Tag
:      28.142
Detektionshäufigkeit: 125

Eventbeschreibung Unverschlüsselte Passwörter / Kritikalität = hoch (9 / 10)

Diese Woche berichten wir über eine Schwachstelle deren Kritikalität sich viele nicht bewusst sind. Viele Webseiten und Dienste werden noch immer nur unverschlüsselt angeboten und verwendet.

Bei Webseiten ist dies in den meisten Browsern an dem Fehlen des Schlosses in der Adresszeile und dem Beginn der URL mit http:// anstatt https:// zu erkennen. In diesem Fall werden alle Daten ohne eine Verschlüsselung übertragen. Das heißt im Unternehmenskontext, dass zum Beispiel auch Anmeldungen an einem unverschlüsselten E-Mail-Webinterface fast im Klartext übertragen werden. An dieser Stelle sind Benutzername und Passwort zwar mit Base64 encodiert. Dabei handelt es sich aber nur um eine Umwandlung in eine für Computer besser zu verarbeitende Zeichenkette und nicht um eine Verschlüsselung der Zugangsdaten.

Die große Gefahr besteht darin, dass diese unverschlüsselten Daten zum Beispiel in einem öffentlichen WLAN ohne erkennbare Anzeichen mitgeschnitten werden können. Ein potenzieller Angreifer bekommt somit ohne großen Aufwand die Zugangsdaten zu dem E-Mail-Postfach direkt vom Benutzer geliefert. Er muss lediglich die Base64 Zeichenkette zurückrechnen und kann sich im Namen des Benutzers am E-Mail-Webinterface anmelden. Da die meisten Unternehmen die Benutzer zwischen E-Mail-Postfächern und den Benutzerkonten für das Unternehmensnetzwerk synchronisieren, kann der Angreifer im schlimmsten Fall über einen externen Zugang einen direkten Zugriff auf das Unternehmensnetzwerk erlangen.

Folglich stellen jegliche unverschlüsselte Übertragungen von Zugangsdaten, Bankdaten oder persönlichen Informationen ein erhebliches Risiko für den Benutzer und das Unternehmen dar.

Technische Darstellung:

Im folgenden Bild ist zu sehen, dass das Tool Wireshark zur Paketdatenanalyse von Netzwerkverkehr im Abschnitt „Authorization“ eine automatische Umwandlung von Base64 in ein lesbares Format vornimmt. Die Zugangsdaten könne somit direkt im Klartext weiterverwendet werden. Wir haben zu Demonstrationszwecken Benutzername und Passwort durch admin:admin ersetzt.

SOC Cyber Security Operations Center CSOC Köln Bonn

CSOC-Event der Woche KW33: Die Konsequenz eines erfolgreich durchgeführten Exploits oder auch einer Phishing-Attacke

KW33: CSOC-Event der Woche – Java Metasploit Payload


Durchschnittliche CSOC-Gesamtevents pro Tag
:      35.619
Detektionshäufigkeit CVE-2017-6271:      16

Eventbeschreibung: Java Metasploit Payload

In dieser Woche möchten wir ein Event beschreiben, welches keinen Exploit an sich darstellt, sondern die Konsequenz eines erfolgreich durchgeführten Exploits oder auch einer Phishing-Attacke sein kann. In der Regel versuchen Angreifer, einen direkten Zugriff auf Systeme zu erlangen. Dies kann mithilfe eigens erzeugter Worddokumente oder wie in diesem Fall mittels einer Java-Anwendung passieren.
Das CSOC hat in der vergangenen Woche 16 mal Verbindung zu einem System eines Angreifers feststellen können, die als Konsequenz aus dem Ausführen einer schädlichen Java-Datei entstanden sind. Darüber hinaus handelte es sich um  Verbindungen, die über das Hacker-Framework Metasploit gesteuert werden können. Auf diesem Wege lassen sich Zugriffe sowie Datenübertragen mit dem betroffenen System durchführen.

Der für diese Verbindungen verantwortliche Schadcode wurde über den Datentransfer von Dateien über USB-Sticks in die System eingeschleust.

Technische Beschreibung: Java Metasploit Payload

Ist auf dem betroffenen System eine sog. Java-Runtime-Environment (JRE) installiert, können Dateien vom Typ .jar ausgeführt werden. Diese ausgeführte Datei baut daraufhin eine Verbindung mit dem System des Angreifers auf und gibt ihm die Kontrolle über eine sog. „Reverse-Shell“ – eine Kommandozeile per Remote. Im Rahmen der CSOC-Analysen gestalten sich Dateien vom Typ .jar als unkompliziert, da sie einfach dekompiliert werden können – aus dem Ausführungscode entsteht so wieder der eigentliche Quellcode, der wiederum auf die genaue Funktion der Datei schließen lässt.

CSOC-Event der Woche KW32: Sicherheitslücken der Unix-Shell „Bash“

KW32: CSOC-Event der Woche – Sicherheitslücke Unix-Shell „Bash“


Durchschnittliche CSOC-Gesamtevents pro Tag
:      42.371
Detektionshäufigkeit CVE-2017-6271:      36

Eventbeschreibung CVE-2014-6271

Diese Woche konnten wir bereits 36 Exploitversuche detektieren, welche auf Sicherheitslücken der Unix-Shell „Bash“ abzielen. Diese Feststellung ist grundsätzlich interessant, da die Schwachstelle bereits im Jahr 2014 entdeckt werden konnte und Systeme im Internet nach wie vor von Angreifern auf die Sicherheitslücke hin geprüft werden. Gefährlich kann diese Sicherheitslücke insbesondere für Linux / Unix-Webserver werden, wenn die Server CGI-Skripte verwenden, welche seit längerer Zeit nicht mit Updates versorgt wurden und Bash auf den lokalen Systemen als Shell genutzt wird. Die Sicherheitslücke wurde in CVE-2014-6271 definiert und näher beschrieben.

Technische Beschreibung: CVE-2014-6271

When a web server receives a request for a page there are three parts of the request that can be susceptible to the Shellshock attack: the request URL, the headers that are sent along with the URL, and what are known as "arguments" (when you enter your name and address on a web site it will typically be sent as arguments in the request). Shellshock occurs when the data is passed into the shell called "bash". Web servers quite often need to run other programs to respond to a request, and it's common that these variables are passed into bash or another shell. The Shellshock problem specifically occurs when an attacker modifies the origin HTTP request to contain the magic () { :; }; string. For example, if example.com was vulnerable then

curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/

would be enough to actually make the CD or DVD drive eject.

CSOC-Event der Woche KW31: Remote-Code-Ausführungen bei Apache Struts

KW31: CSOC-Event der Woche – Remote-Code-Ausführungen bei Apache Struts


Durchschnittliche CSOC-Gesamtevents pro Tag
:     46.131
Detektionshäufigkeit CVE-2017-5638:      28

Eventbeschreibung CVE-2017-5638 / Kritikalität = hoch (10 / 10)

In dieser Woche handelt es sich beim Event der Woche erneut um einen Exploit, der auf eine Remote-Code-Ausführung (Schadcode kann aus der Ferne auf einem Fremdsystem ausgeführt werden) in einer Webanwendung abzielt.

Bei der Webanwendung handelt es sich diesmal speziell um Apache Struts - ein Framework, das der Erstellung von Java-Webanwendungen dient. Die Schwachstelle ist zwar seit Anfang 2017 bekannt, die passenden Angriffsszenarien können von uns allerdings zunehmend beobachtet werden.
Als Quelle der versuchten Remote-Code-Ausführungen können überwiegend Schwachstellenscanner identifiziert werden. Mit diesen Tools wird aktiv nach Systemen gesucht, die die beschriebene Schwachstelle aufweisen. Diese Massenscans dienen häufig dazu, einen Angriff auf die verletzlichen Systeme vorzubereiten.

Sollten Sie einen Apache Struts-Server betreiben, überprüfen Sie bitte Ihr System auf die ordnungsgemäße Installation der aktuellsten Updates!

Technische Beschreibung: CVE-2017-5638

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string.