Inhalte überspringen »
Alle Topthemen
Dienstag, 3. August 2010
Am Anfang war der Trojaner: die kleine Geschichte der MS-Shortcut-Lücke
Microsoft hat am Montag außer der Reihe ein
Security Bulletin
samt Patches
veröffentlicht,
mit denen eine 0-Day-Schwachstelle behoben wird. Diese
Schwachstelle, oder genauer ihre Ausnutzung, hat eine kurze, aber bewegende
Geschichte hinter sich.
Am Anfang stand ein USB-Schädling
Am 15. Juli gab es
erste
Berichte
über eine mögliche neue 0-Day-Schwachstelle in Windows, die von einem sich
über …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Dienstag, 22. September 2009
intelliBOOK: Alle Magazine digital verfügbar
Die Zirkulation von Zeitungen und Magazinen ist in den letzten Jahren dramatisch gesunken. Gleichzeitig lesen immer mehr Menschen Nachrichten online und mit ihnen wächst das Verlangen nach konvergenten Medienprodukten. Software & Support Media hat einen Weg gefunden, dem veränderten Leserverhalten gerecht zu werden. Auf der .NET-Konferenz BASTA! hat Verlagsleiter Masoud Kamali …
Mittwoch, 15. Juli 2009
Patchday: Microsoft behebt 6 kritische und 3 wichtige Schwachstellen
Am Juli-Patchday hat Microsoft wie angekündigt je drei kritische und drei wichtige Security-Bulletins veröffentlicht. Insgesamt werden damit
6 kritische und 3 wichtige Schwachstellen behoben.
Drei kritische Bulletins
MS09-028 - DirectShow
Das Bulletin
MS09-028
beschreibt zwei bisher
unveröffentlichte
und eine bereits bekannte und für Angriffe ausgenutzte
Schwachstelle
bei der Verarbeitung von QuickTime-Dateien durch DirectShow, die alle die
Ausführung …
Dienstag, 14. Juli 2009
Microsofts 0-Day-Schwachstelle Nummer 3
Microsoft hat eine weitere 0-Day-Schwachstelle
bestätigt,
es ist bereits die dritte seit dem 28. Mai. Diesmal befindet sich die
Schwachstelle
in einer Office-Webkomponente und erlaubt wie die vorhergehenden
0-Day-Schachstellen die Ausführung beliebigen Codes, wenn eine
entsprechend präparierte Website mit dem Internet Explorer besucht
wird. Laut einem
Eintrag
im Handler's Diary des ISC wurde der Exploit auch für …
Donnerstag, 9. Juli 2009
About Security #212: Schwachstellen-Suche: Proxy-Server
Arbeitet der Webserver auch als Forward-HTTP-Proxy-Server, kann er unter
Umständen als Hilfsmittel für weiterführende Angriffe
dienen: Auf andere Server im Internet, auf andere Server im internen Netz
oder auf andere Dienste auf dem Webserver selbst.
Angriffe auf andere Server im Internet
Ein Angreifer kann über den Webserver bzw. genauer den
Forward-HTTP-Proxy-Server evtl. andere Server im Internet angreifen, …
Dienstag, 7. Juli 2009
Laufende Angriffe über mehrere kritische Schwachstellen
Kritische Schwachstellen in zwei bzw. drei Produkten werden zur Zeit im
Rahmen von Drive-by-Infektionen bzw. für deren Vorbereitung
ausgenutzt: Cyberkriminelle dringen über
Schwachstellen im FCKEditor,
der auch
in ColdFusion enthalten
ist, in ColdFusion-Websites ein und präparieren diese für
Drive-by-Infektionen. Und eine
0-Day-Schwachstelle in Windows
wird im Rahmen von Drive-by-Infektionen ausgenutzt, um Code auf den
Rechnern der Besucher präparierter …
Donnerstag, 2. Juli 2009
About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
Außer den in About Security
#209
und
#210
beschriebenen Default-Inhalten und nicht für die Allgemeinheit
gedachten Funktionen gibt es auch HTTP-Methoden, die für einen
Angreifer nützlich sein können.
GET und POST sind nur der Anfang
Webserver unterstützen außer den meistgenutzten Methoden GET und
POST eine ganze Reihe weiterer
Methoden
für spezielle Aufgaben. Einige davon können von einen Angreifer
für seine …
Donnerstag, 25. Juni 2009
About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
Webserver enthalten außer den in About Security
#209
beschriebenen Beispielanwendungen weitere, oft unerwünschte
"Default-Inhalte", die beim Missbrauch durch einen Angreifer unter
Umständen großen Schaden anrichten können.
Nicht für die Allgemeinheit gedachte
Funktionen
Viel Webserver-Software (was nicht nur den Webserver im Sinne des
HTTP-Servers, sondern auch für die Webanwendung verwendete
Applicationserver, Datenbankserver usw. umfasst) enthält mächtige
Funktionen, die zwar nicht für …
Freitag, 22. Mai 2009
Rückblick: Delphi Live! 2009
Vom 13. Bis 16. Mai hat in San Jose, USA, nach etlichen Jahren wieder eine Konferenz für Delphi-Entwickler unter direkter Beteiligung des Herstellers der legendären Software-Entwicklungsumgebung statt gefunden. Anders als bei den bekannten BorCon-Veranstaltungen (die letzte fand 2004 statt) hat CodeGear die Konferenz nicht selber ausgerichtet, sondern S&S Media (der US-amerikanische …
Donnerstag, 14. Mai 2009
About Security #204: Schwachstellen-Suche: Shared Environments (2)
Für Schwachstelle in und Angriffe auf bzw. durch Anwendungen, die die
gleiche Infrastruktur nutzen, gibt es eine Reihe von Möglichkeiten. Im
Gegensatz zu einzeln gehosteten Anwendungen stellen nicht nur externe
Angreifer, sondern auch böswillige Mitbenutzer eine potentielle Gefahr
dar.
Hintertür durch die Vordertür
In Shared-Hosting-Umgebungen gibt es ein grundsätzliches Problem, das
bei einzeln gehosteten Anwendungen nicht auftritt: Die …
Donnerstag, 23. April 2009
About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
Angriffe auf die Architektur der Webanwendung werden bei deren Untersuchung
auf Schwachstellen oft übersehen, obwohl sie eine nicht zu
unterschätzende Gefahr darstellen.
Bei Anwendungen, die aus mehreren Schichten bestehen, können
Schwachstellen in einer bzw. Angriffe auf eine Schicht sehr schnell zur
Kompromittierung des Gesamtsystems führen. In Umgebungen, in denen
verschiedene Anwendung die gleiche Infrastruktur nutzen, können
Schwachstellen in …
Donnerstag, 16. April 2009
About Security #200: Ein Rückblick auf 4 Jahre IT-Sicherheit
Dies ist die 200. Folge "About Security", dazu kommen jeweils vier nicht
nummerierte Weihnachts-Special und CeBIT-Berichte. Damit handelt es sich um
ein doppeltes Jubiläum: Die Serie wird gleichzeitig 4 Jahre alt, #1
erschien am 14.4.2005. 4 Jahre - das ist im IT-Bereich eine halbe Ewigkeit.
Da lohnt es sich, mal einen Blick auf die Entwicklungen …
Dienstag, 14. April 2009
Conficker wird aktiv - ein Grund zur Panik?
Die bis dahin aktuelle Variante des RPC-Wurms Conficker/Downadup hat am 7. April
begonnen, Code nachzuladen. Laut einem Bericht von
Trend Micro
wird die Peer-to-Peer-Funktion genutzt, um eine neue Variante des Wurms
nachzuladen, der von Trend Micro als
WORM_DOWNAD.E
bezeichnet wird.
Die neue Variante
Laut
Trend Micro
und
F-Secure
wird sich die neue Variante am 3. Mai selbst deaktivieren. Bis dahin
versucht sie, …
Donnerstag, 9. April 2009
About Security #199: Schwachstellen-Suche: Formatstrings
Eine Formatstring-Schwachstelle entsteht, wenn Benutzereingaben
ungeprüft und ungefiltert an bestimmte C-Funktionen wie z.B.
printf() übergeben werden, die formatierten Text ausgeben
können. Diese Funktionen akzeptieren eine unterschiedliche Anzahl von
Parametern, die aus verschiedenen Datentypen wie Zahlen oder Strings
bestehen können. Der gleichzeitig übergebene Formatstring
spezifiziert, welche Daten in den Variablen enthalten sind und in welchem
Format sie dargestellt werden …
Donnerstag, 19. März 2009
About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
Thema dieser Folge ist die Suche nach Pufferüberlauf-Schwachstellen
in Webanwendungen. Pufferüberläufe (Bufferoverflows) kommen nur
in kompilierten Programmen vor, während Webanwendungen meist in
interpretierten Skriptsprachen geschrieben werden. Aber auch dabei
können kompilierte Programme zum Einsatz kommen, z.B. wenn eine
vorhandene Anwendung um eine Weboberfläche erweitert wurde oder die
Webanwendung auf externe Komponenten zugreift. Auch die webbasierten
Administrationsoberflächen von Geräten …
Donnerstag, 5. März 2009
About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
In dieser Folge geht es um eine weitere Möglichkeit der
LDAP-Injection-Angriffe: Manchmal wird die Benutzereingabe nicht direkt als
Suchfilter übernommen, sondern als Teil eines komplexeren Filters
verwendet. Ein Angreifer kann dann versuchen, durch eine entsprechend
formulierte Suchanfrage die vorhandene Anwendungslogik zu manipulieren, um
auf eigentlich nicht zugängliche Daten zuzugreifen.
Ein Beispiel
Im Beispiel aus About Security
#194
soll der …
Donnerstag, 26. Februar 2009
About Security #194: Schwachstellen-Suche: LDAP-Injection
Das Lightweight Directory Access Protocol LDAP dient der Abfrage von
Verzeichnisdiensten. Auch in LDAP-Abfragen kann analog zum Vorgehen bei
einer SQL- oder XPath-Injection zusätzlicher Code eingefügt
werden, mit dem die Abfrage manipuliert und auf eigentlich nicht
zugängliche Daten zugegriffen werden kann.
LDAP - Eine kurze Einführung
LDAP dient dem Zugriff auf hierarchisch organisierte Verzeichnisse, die
prinzipiell beliebige Daten …
Donnerstag, 19. Februar 2009
About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
In About Security
#192
wurde die SMTP-Header-Injection beschrieben, d.h. das Einfügen
weiterer Header in eine über SMTP übertragene E-Mail. In dieser
Folge wird ein weiterführender Angriff auf SMTP beschrieben: Die SMTP
Command Injection, das Einfügen zusätzlicher SMTP-Befehle.
Im Beispiel in About Security
#192
wurde die SMTP-Kommunikation durch den PHP-Befehl mail()
abgewickelt. Statt dessen kann die Webanwendung auch die …
Donnerstag, 12. Februar 2009
About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
In dieser Folge geht es um das Einschleusen zusätzlicher Daten in
SMTP. SMTP, das Simple Mail Transfer Protocol, ist für das Versenden
bzw. den Transport von E-Mails zuständig und kommt im Rahmen von
Webanwendungen immer dann zum Einsatz, wenn Daten z.B. aus einem
Kontaktformular per E-Mail verschickt werden.
Kurze Einführung in SMTP
SMTP wurde erstmals 1982 in …