Inhalte überspringen »
Alle Topthemen
Donnerstag, 27. August 2009
About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
In About Security
#218
wurden beschrieben, wie die bei der Authentifizierung übertragenen
Daten ermittelt werden. Werden dabei keine Zugangsdaten als Klartext
beobachtet, müssen alle kodierten Daten daraufhin untersucht werden,
ob sie sich dekodieren oder entschlüsseln lassen und dabei die
gesuchten Zugangsdaten preisgeben.
Werden die Daten über HTTPS übertragen, sind sie durch die dabei
verwendeten …
Donnerstag, 20. August 2009
About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
In About Security
#217
wurden die Stellen aufgeführt, an denen ungeschützt
übertragene Zugangsdaten von einem Dritten beobachtet werden
können. Selbst wenn man davon ausgeht, dass nur vertrauenswürdige
Personen zum Zugriff auf die beteiligten Komponenten autorisiert sind,
besteht immer noch die Möglichkeit, dass sich ein Angreifer Zugriff
darauf verschafft hat.
Hijacking
Wie in About …
Dienstag, 18. August 2009
Blaster - Ein Wurm gegen windowsupdate.com
Der Computerwurm
W32.Blaster
(auch
W32.Lovsan
oder MSBlast genannt) feierte am Sonntag ein Jubiläum: Am 16.
August 2003 sollte er einen DDoS-Angriffe auf Microsofts damaligen
Update-Server "windowsupdate.com" starten.
Ausgangspunkt: Eine RPC-Schwachstelle
Genau wie beim jetzt aktuellen Wurm
Conficker/Downadup
war auch bei Blaster eine Schwachstelle in der RPC-Implementierung von
Windows 2000 und …
Donnerstag, 13. August 2009
About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
In About Security
#216
wurde u.a. beschrieben, wie ein Angreifer an eine Liste gültiger
Benutzernamen gelangt. Auf diese Namen kann dann ein Brute-Force-Angriff
zum Ermitteln der zugehörigen Passwörter durchgeführt
werden.
Letzte Vorbereitungen
Bevor der Brute-Force-Angriff gestartet wird, muss noch ein Unterschied
zwischen einem fehlgeschlagenen und einem erfolgreichen Login-Versuch
ermittelt werden, anhand dessen danach …
Mittwoch, 12. August 2009
Patchday: Microsoft behebt 19 Schwachstellen
Am August-Patchday hat Microsoft wie angekündigt
fünf kritische und vier wichtige Security-Bulletins
veröffentlicht.
Insgesamt werden damit 19 Schwachstellen behoben, von denen offiziell nur 2
zuvor bekannt waren.
Fünf kritische Bulletins
Im folgenden wird die Reihenfolge verwendet, in der Microsoft die Bulletins
selbst aufgeführt hat.
MS09-043
- Microsoft Office Web Components …
Donnerstag, 6. August 2009
About Security #216: Schwachstellen-Suche: Authentifizierung – Namen finden
In About Security
#214
und
#215
wurden einige mögliche Schwachstellen in der Authentifizierung
beschrieben. Im folgenden geht es um die Ausnutzung dieser Schwachstellen,
wobei davon ausgegangen wird, das die Authentifizierung durch Eingabe eines
Benutzernamens und des dazu gehörigen Passworts erfolgt.
Anmelde-Sperre erkennen
Eine Sperre, die nach eine bestimmten Anzahl fehlgeschlagener
Anmeldeversuche …
Donnerstag, 30. Juli 2009
About Security #215: Schwachstellen-Suche: Authentifizierung – Brute Force
In About Security
#214
wurde u.a. beschrieben, wie bzw. wieso es zur Wahl schlechter, d.h.
unsicherer Passwörter kommt. Wie kann ein Angreifer eine solche
Designschwäche ausnutzen?
Schwache Passwortregeln erkennen
Am einfachsten hat es ein Angreifer, wenn die Regeln für das Bilden
von Passwörtern auf der Website angegeben sind. Gibt es …
Mittwoch, 29. Juli 2009
BA(I)NG: Microsoft und Yahoo suchen gemeinsam!
Es ist offiziell: Microsoft und Yahoo gehen künftig Hand in Hand und wollen Google gemeinsam Dampf machen. Yahoo wird dazu die neue Microsoft-Suchmaschine Bing nutzen. Im Gegenzug übernimmt Yahoo exklusiv die Vermarktung der Anzeigen auf beiden Portalen. Und das, ist man sich bei Microsoft sicher, "will improve the Web search experience …
Microsoft: Killbit im Internet Explorer wirkungslos
Microsoft hat
wie angekündigt
zwei außerplanmäßige Security Bulletins
veröffentlicht,
die drei Schwachstellen in der ActiveX-Implementierung bzw. -Unterstützung
beheben. Und weil man gerade dabei ist, hat man noch drei kritische
Schwachstellen im Internet Explorer behoben.
Schwachstellen in der Active Template Library (ATL)
Das Security Bulletin
MS09-035
beschreibt die Schwachstellen in Visual Studio …
Donnerstag, 23. Juli 2009
About Security #214: Schwachstellen-Suche: Authentifizierung – Grundlagen
Die Authentifizierung der Benutzer ist für viele Webanwendungen eine
Grundvoraussetzung für die folgende Nutzung, entsprechend sind
Angriffe darauf ebenso häufig wie gefährlich.
Webanwendungen unterscheiden sich insbesondere in zwei Punkten von normalen
Anwendungen: Das Web ist anonym - Webanwendungen wissen nicht, wer mit
ihnen kommuniziert, solange sie ihn nicht selbst identifiziert und
authentifiziert haben. Und …
Donnerstag, 16. Juli 2009
About Security #213: Schwachstellen-Suche: Webserver konfigurieren
Beim bereits in About Security
#203
erwähnten Virtual Hosting hosted ein Webserver mehrere voneinander
unabhängige Websites, die anhand des 'Host'-HTTP-Headers identifiziert
werden. Eine falsche Konfiguration kann dabei zu möglichen
Angriffspunkten führen.
Der Apache-Webserver wird z.B. folgendermaßen für die Nutzung
virtueller Hosts konfiguriert:
<VirtualHost *>
ServerName website.example
DocumentRoot www/website
</VirtualHost>
<VirtualHost *>
ServerName andere-website.example
…
Mittwoch, 15. Juli 2009
Patchday: Microsoft behebt 6 kritische und 3 wichtige Schwachstellen
Am Juli-Patchday hat Microsoft wie angekündigt je drei kritische und drei wichtige Security-Bulletins veröffentlicht. Insgesamt werden damit
6 kritische und 3 wichtige Schwachstellen behoben.
Drei kritische Bulletins
MS09-028 - DirectShow
Das Bulletin
MS09-028
beschreibt zwei bisher
unveröffentlichte
und eine bereits bekannte und für Angriffe ausgenutzte
Schwachstelle
bei der Verarbeitung von QuickTime-Dateien durch DirectShow, die alle die
Ausführung …
Dienstag, 14. Juli 2009
Office 2010 kommt mit kostenloser Web Edition
Microsoft verschiebt seine kommenden Office-Version ins Web, zumindest teilweise. Teile von Word, Excel und PowerPoint sollen mit der Markteinführung von Office 2010 kostenlos zur Verfügung stehen. Office Web nennt sich das Paket, mit dem Redmond mit seinem Rivalen Google gleichzieht. Die Suchmaschine bietet mit Google Docs bereits seit längerem Office-Programme kostenfrei …
Microsofts 0-Day-Schwachstelle Nummer 3
Microsoft hat eine weitere 0-Day-Schwachstelle
bestätigt,
es ist bereits die dritte seit dem 28. Mai. Diesmal befindet sich die
Schwachstelle
in einer Office-Webkomponente und erlaubt wie die vorhergehenden
0-Day-Schachstellen die Ausführung beliebigen Codes, wenn eine
entsprechend präparierte Website mit dem Internet Explorer besucht
wird. Laut einem
Eintrag
im Handler's Diary des ISC wurde der Exploit auch für …
Freitag, 10. Juli 2009
Silverlight 3 ist da
Auf seiner Hausmesse Mix09 in Las Vegas hat Microsoft im Frühjahr dieses Jahres die Beta von Silverlight 3 vorgestellt. Nun ist die finale Version da und steht in englischer als auch deutscher Sprache für Windows und Mac OS als kostenloser Download zur Verfügung.
Viel getan hat sich gegenüber der Vorgängerversion, dass …
Donnerstag, 9. Juli 2009
About Security #212: Schwachstellen-Suche: Proxy-Server
Arbeitet der Webserver auch als Forward-HTTP-Proxy-Server, kann er unter
Umständen als Hilfsmittel für weiterführende Angriffe
dienen: Auf andere Server im Internet, auf andere Server im internen Netz
oder auf andere Dienste auf dem Webserver selbst.
Angriffe auf andere Server im Internet
Ein Angreifer kann über den Webserver bzw. genauer den
Forward-HTTP-Proxy-Server evtl. andere Server im Internet angreifen, …
Dienstag, 7. Juli 2009
Laufende Angriffe über mehrere kritische Schwachstellen
Kritische Schwachstellen in zwei bzw. drei Produkten werden zur Zeit im
Rahmen von Drive-by-Infektionen bzw. für deren Vorbereitung
ausgenutzt: Cyberkriminelle dringen über
Schwachstellen im FCKEditor,
der auch
in ColdFusion enthalten
ist, in ColdFusion-Websites ein und präparieren diese für
Drive-by-Infektionen. Und eine
0-Day-Schwachstelle in Windows
wird im Rahmen von Drive-by-Infektionen ausgenutzt, um Code auf den
Rechnern der Besucher präparierter …
Donnerstag, 2. Juli 2009
About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
Außer den in About Security
#209
und
#210
beschriebenen Default-Inhalten und nicht für die Allgemeinheit
gedachten Funktionen gibt es auch HTTP-Methoden, die für einen
Angreifer nützlich sein können.
GET und POST sind nur der Anfang
Webserver unterstützen außer den meistgenutzten Methoden GET und
POST eine ganze Reihe weiterer
Methoden
für spezielle Aufgaben. Einige davon können von einen Angreifer
für seine …
Dienstag, 30. Juni 2009
PHP 5.3 ist da …
… und diesmal nicht nur in Buchform. Die lang
erwartete Version glänzt mit etlichen neuen Features und dürfte bei vielen Entwicklern für einen wahren Freudentaumel sorgen.
Die Liste der Neuerungen ist dabei mehr als nur umfangreich ausgefallen. Vor allem der verstärkte Support für Windows und die neuen OOP-Features werden dafür
sorgen, dass …
Donnerstag, 25. Juni 2009
About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
Webserver enthalten außer den in About Security
#209
beschriebenen Beispielanwendungen weitere, oft unerwünschte
"Default-Inhalte", die beim Missbrauch durch einen Angreifer unter
Umständen großen Schaden anrichten können.
Nicht für die Allgemeinheit gedachte
Funktionen
Viel Webserver-Software (was nicht nur den Webserver im Sinne des
HTTP-Servers, sondern auch für die Webanwendung verwendete
Applicationserver, Datenbankserver usw. umfasst) enthält mächtige
Funktionen, die zwar nicht für …