Web-Sicherheit

Januar 9, 2012

Shreeraj Shah präsentiert Angriffstechniken auf aktuelle Webtechnologien

Filed under: Allgemein — sebastiankuebeck @ 22:34
Tags: , , , , , , , , ,

Shreeraj Shahs Präsentation von der AppSecUS 2011 (die er auch auf der Blackhat- und OWASP-Konferenz gehalten hat) über Angriffstechniken auf aktuelle Webtechnologien HTML5, XHR and DOM Security ist nun online verfügbar, zusammen mit seinem Paper Reverse Engineering Browser Components – Dissecting and Hacking Silverlight, HTML 5 and Flex.

Wie der Titel schon andeutet, geht es dabei nicht um HTML 5 alleine sondern auch umd das Zusammenspiel von Browsern und Plugins wie Flash und Silverlight. Er beschreibt darin detailliert, wie man aktuelle Webanwendungen gezielt auf Schwachstellen untersucht und diese dann ausnutzt.

Es werden dabei kaum  grundsätzlich neue Angriffstechniken vorgestellt, sondern gezeigt, wie bestehende Angriffstechniken (Cross-Site Scripting, Cross-Site Request Forgery, Clickjacking) mit aktuellen Browsern und Plugins noch wirksamer eingesetzt werden können.

Oktober 25, 2011

Durch Fehler in Flash lassen sich Computerbenutzer über die Webcam ausspionieren

Filed under: Allgemein — sebastiankuebeck @ 14:14
Tags: , , , , , , , ,

In Abschnitt 10.5 meines Buches beschreibe ich Clickjacking, eine Angriffstechnik, mit der Angreifer Teile einer Webseite auf ihrer eigenen einblenden, um Besucher dazu zu bringen, Aktivitäten auf der legitimen Webseite durchzuführen, die der Benutzer gar nicht beabsichtigt. Es ist also eine Variante von Cross-Site Request Forgery für die allerdings gar keine Schwachstelle in der Webanwendung notwendig ist. Damit der Benutzer nur jene Teile zu sehen bekommt, die ihm der Angreifer zeigen will, verwendet letzterer beispielsweise ein DIV-Element das er vor einem IFrame platziert.

„Klassischer“ Clickjaking-Angriff auf Facebook von 2010.

Da sich auch Flash-Inhalte durch ein DIV-Element abdecken lassen, war es bis vor einiger Zeit möglich, den arglosen Benutzer dazu zu bringen, die Webcam aufzudrehen. So konnte der Angreifer alles mitverfolgen, was die Webcam des Benutzers erfasste, wie folgendes Video demonstriert.

Clickjaking-Angriff auf Webcam des Seitenbesuchers 2008.

Inzwischen hat Adobe das Problem durch ein Update das Flash-Plugins behoben, indem das Plugin eine Technik namens Framebusting verwendet, die das Anzeigen des Plugins (genauer gesagt, das Anzeigen der Dialogbox, mit der der Benutzer das Aktivieren der Webcam genehmigt) innerhalb eines IFrames verhindert. Wie sich allerdings inzwischen herausstellt, lässt sich dieser Schutz umgehen. Feross Aboukhadijeh, Student der Stanford Universität, fand einen Weg, den Framebusting-Code des Plugins (Details dazu sind in meinem Buch und in diesem Paper zu finden) zu umgehen: Dazu platzierte er einfach die SWF-Datei für die Einstellungen in einem IFrame, was Clickjaking-Angriffe wieder möglich macht.

Feross Aboukhadijeh’s erweiterter Clickjaking-Angriff, der den Schutz des Flash-Plugins umgeht.

Laut Feross Aboukhadijeh funktioniert der Angriff mit allen Flash-Plugin-Versionen, die er getestet hat, für den Mozilla Firefox und den Safari-Browser auf dem Mac. Durch einen Fehler in der CSS-Implementierung funktioniert der Angriff weder auf dem Chrome-Browser für den Mac noch auf den meisten Windows und Linux-Brwosern. Aboukhadijeh veröffentlichte einen Proof-Of-Concept-Code (PoC) auf seinem Blog, nachdem Adobe nicht auf seinen Fehlerbericht reagiert hatte.
Wie es aussieht hat Adobe inzwischen eine Lösung für das Problem gefunden.

Auch wenn das Problem jetzt behoben zu sein scheint, sollte man die Webcam hardwareseitig (oder softwareseitig, wenn das hardwareseitig nicht möglich ist) deaktivieren, wenn man sie nicht benötigt. In der Vergangenheit wurden Webcams bereits dazu missbraucht, Kinder bei der Bedienung ihrer Notebooks zu beobachten.

August 19, 2011

Laut Adobe wurden keine Flash-Player-Lücken unterschlagen

Filed under: Allgemein — sebastiankuebeck @ 09:56
Tags: , , , , , ,

Vor einer Woche behauptete der Sicherheitsspezialist Tavis Ormandy will 400 Sicherheitslücken in Adobes Flash-Player gefunden haben. Daraufhin kritisierte er Adobe dafür, die Lücken zwar geschlossen zu haben, ihn (Ormandy) aber nicht im offiziellen Fehlerbericht erwähnt zu haben.
Nun nimmt Brad Arkin, Sicherheitsbeauftragter von Adobe in einem Blog-Post zu den Vorwürfen Stellung. Laut Arkin hätten sich die 400 Schwachstellen auf insgesamt 104 Fehler reduzieren lassen. Da die Fehler im Zuge der Kooperation mit Google aufgedeckt worden sind, würden sie als interne Fehler behandelt und daher nicht extra ausgewiesen. Adobe hat den Bericht nun aktualisiert, in dem alle Fehler zusammengefasst werden und hat Ormandy explizit an erster Stelle genannt.

Damit hat Adobe auch indirekt zugegeben, die Software niemals selber mit Fuzzing-Werkzeugen getestet zu haben, obwohl diese Technik schon seit Jahren von Hackern und Autoren von Schadsoftware intensiv genutzt wird. So wurde beispielsweise in das Sicherheitsunternehmen RSA Security unter Ausnutzung einer Schwachstelle im Flash-Player eingebrochen. Die Angreifer stahlen dabei die Schlüssel des populären Authentifizierungssystems SecurID und verwendeten diese um bei Lockheed-Martin und anderen US-Rüstungsunternehmen einzubrechen. Schlussendlich musste RSA Security 40 Millionen SecureID-Tokens austauschen.

August 11, 2011

Adobe unterschlägt angeblich 400 Lücken im Flash-Player

Filed under: Allgemein — sebastiankuebeck @ 15:24
Tags: , , , , ,

Sicherheitsspezialist Tavis Ormandy will 400 Sicherheitslücken in Adobes Flash-Player gefunden haben. Nun kritisiert er den Hersteller, der diese zwar geschlossen hat, sie aber im offiziellen Fehlerbericht nicht erwähnt hat.

Ormandy will nach eigenen Angaben einen eigenen Fehlerbericht in Kürze veröffentlichen. Ormandy ist kein Unbekannter; er deckt regelmäßig kritische Lücken in Software auf und legte sich etwa im vergangenen Jahr mit Microsoft an.

Warum Adobe nur 13 Lücken erwähnt und die restlichen nicht offiziell dokumentiert, ist noch unklar. Ein Grund könnte die Kooperation zwischen Google und Adobe bei der Fehlersuche im Flash Player sein. Die in diesem Rahmen aufgedeckten Fehler werden vermutlich als intern entdeckte Fehler behandelt – und diese werden laut Richtlinie von Adobe nicht in offiziellen Berichten explizit erwähnt. Ähnlich geht auch Microsoft mit intern gefundenen Lücken um.

Die Chance ist jetzt natürlich groß, dass der Ormandy seine Entdeckungen künftig an einen professionellen Schwachstellen-Verwerter verkauft, also einer Firma, die für Sicherheitslücken zahlt und diese dann an Hersteller weiterverkauft. Dann müssten die Hersteller für etwas bezahlen, was sie jetzt gratis bekommen.
Die enorme Anzahl an Schwachstellen und die relativ mechanische Art, mit der die Schwachstellen gefunden wurden (Ormandy benutzte ein Fuzzing-Werkzeug, das ist ein Programm, das nichts anderes macht als zufällige Daten zu generieren und darauf zu achten, ob das zu testende Programm abstürzt, wenn man es mit dem Datensalat füttert, oder nicht) deuten darauf hin, dass Adobe den Flash-Player noch nie wirklich auf Sicherheit getestet hat. Womit das beliebteste Vorurteil der IT-Sicherheitsbranche, nämlich das der Benutzer an allem Schuld ist, eindrucksvoll widerlegt wäre…

Bloggen auf WordPress.com.