Abo
  • Services:

Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff

Um die Fireeye-Geräte zu untersuchen, mussten die Sicherheitsforscher von ENRW sich zunächst Root-Zugriff verschaffen. Die Lücken fanden sich in einer Software namens WebMPS in der Version 7.5.1, die Abkürzung steht für Malware Protection System. Selbst als Besitzer des Geräts hat man den Root-Zugang nicht automatisch, es stehen nur eine Weboberfläche und eine sehr reduzierte Client-Konsole zur Verfügung. Mittels Webinterface war der Upload von neuen Root-Zertifikaten möglich.

Command-Injection bei Zertifikatsupload

Stellenmarkt
  1. a. hartrodt (GmbH & Co) KG, Hamburg
  2. DPD Deutschland GmbH, Nürnberg

Hier fand sich eine Command-Injection-Lücke. Beim Upload wurden die Zertifikate mit relativ simplen Commandline-Befehlen verarbeitet. Dieser Vorgang ermöglichte es, Befehle zwischen den Zertifikaten einzuschleusen, die anschließend ausgeführt wurden. Diese Lücke stellt noch keine direkte Bedrohung dar, da sie nur ausgenutzt werden kann, wenn man bereits administrativen Zugriff auf die Weboberfläche hat. Doch sie ermöglichte den ERNW-Forschern, sich selbst einen uneingeschränkten Shell-Zugang zu verschaffen. Möglich war dies beispielsweise, indem einer der über die reduzierte Kommandozeile zugänglichen Befehle auf die Bash-Shell umgeleitet wurde.

Die Fireeye-Geräte untersuchen Malware mit zwei Methoden. In einer virtuellen Maschine (Virtual Execution Engine, VXE) werden die Ausführung und das Verhalten der Malware getestet. Weiterhin gibt es eine statische Analyse, den Malware Input Processor (MIP). Angreifbar sind diese Systeme relativ leicht: So reicht es üblicherweise, eine E-Mail an jemanden zu schicken, der die Fireeye-Geräte als Schutz einsetzt, die E-Mail-Attachments werden dann mit diesen Systemen gescannt. Denkbar wäre auch, jemanden dazu zu bringen, diese Dateien über eine Webseite aufzurufen.

Die Virtual Execution Engine simuliert für die Malware einen Netzwerkzugriff. Die Netzwerkpakete werden analysiert und bei bestimmten Paketen, beispielsweise HTTP-Anfragen oder IRC-Kommandos, wird auch eine simulierte Antwort generiert. IRC-Chatnetzwerke werden häufiger von Malware genutzt, um Kommandos auszutauschen. In diesem IRC-Simulationssystem fanden die Forscher mehrere Buffer Overflows. So wurden etwa die IRC-Befehle /NICK, /JOIN und /USER verarbeitet. Die jeweiligen Parameter wurden in einem 1024 Byte großen Stack-Buffer abgelegt. Sendet man einen längeren Parameter, kommt es zu einem Buffer Overflow.

Keine Stack-Canaries und mangelhafte Speicherrandomisierung

Hierbei stellte sich heraus, dass Fireeye bezüglich der Sicherheit ziemlich geschlampt hatte. Die Binaries der Virtual Execution Engine nutzten keine Stack-Canaries und waren nicht als Position Independent Executables kompiliert, somit war für die Binary keine Speicherrandomisierung (ASLR, Address Space Layout Randomization) möglich. Die geladenen Bibliotheken waren jedoch randomisiert. Diese beiden Schutzmechanismen - Stack-Canaries und ASLR - verhindern oder erschweren viele Angriffe. Dass diese auf den Fireeye-Geräten fehlten, ist gerade für ein IT-Sicherheitsprodukt kaum verständlich.

Mittels einer trickreichen Verkettung gelang es, einen Exploit zu erstellen, der diesen Overflow ausnutzte und Code auf den Fireeye-Geräten ausführte. Dieser Root-Exploit funktionierte allerdings nicht hundertprozentig. Auf der 44CON zeigten die Forscher den Exploit in einer Demonstration. Fireeye selbst spielt in seinem Security-Advisory die Lücke herunter. Dort ist von einem Root-Exploit nicht die Rede, es heißt lediglich, ein Angreifer könne einen "eingeschränkten Denial of Service" auslösen.

Symlink-Angriff auf 7-Zip

Eine weitere Schwäche fand sich in der anderen Scan-Komponente der Fireeye-Geräte - im Malware Input Processor. Diese lässt sich deutlich simpler ausnutzen, da sie ohne komplexe Memory-Corruption-Angriffe auskommt. Zip-Dateien werden von diesem Scanprozess mittels der Kommandozeilenversion des Programms 7-Zip entpackt. Im Januar entdeckte der Sicherheitsforscher Alexander Cherepanov eine Lücke in 7-Zip. Legt man innerhalb einer Zip-Datei einen Symlink auf einen beliebigen Pfad im Dateisystem an, kann man dort wiederum nach Belieben Dateien ablegen. Auf den Fireeye-Geräten war diese Lücke noch nicht geschlossen. Mittels einer manipulierten Zip-Datei war es also möglich, nach Belieben Dateien im Dateisystem abzulegen.

Eine Hürde gab es dabei allerdings: Ein Großteil des Dateisystems war nur lesbar gemountet. Jedoch gab es ein Verzeichnis, in dem sich Python-Skripte zur Analyse verschiedener Dateitypen befanden. Den Namen dieses Verzeichnisses durften die ERNW-Forscher nicht nennen, doch dieses Verzeichnis war schreibbar. Legte man dort beispielsweise ein Skript mit dem Namen rtf.py ab, wurden künftig alle Dateien mit dieser Endung mit dem Skript analysiert.

Der Angriff ist somit fast schon trivial: Zunächst sendet man eine E-Mail mit einem ZIP-Anhang, der die Symlink-Lücke in 7-Zip ausnutzt und in dem Verzeichnis ein bösartiges Skript namens rtf.py ablegt. Dieses Skript kann dann etwa eine Remote-Konsole für den Angreifer öffnen. Anschließend schickt man eine beliebige Datei mit .rtf-Endung, diese wird an dieses Skript übergeben, und es wird ausgeführt.

Erneut Command-Injection

Damit hat ein Angreifer Zugriff auf das Gerät, doch die Skripte laufen nicht mit Root-Rechten. Für einen vollständigen Root-Exploit war somit ein weiterer Schritt notwendig. Auf dem lokalen Port 9900 läuft ein Ruby-Service, der einen lokalen Mechanismus zur Kommunikation zwischen Prozessen verwaltet. Hier fand sich - erneut - eine relativ simple Command-Injection-Lücke. Ein Parameter, der dort übergeben wurde, wurde direkt auf der Kommandozeile an einen Befehl angehängt. Der Ruby-Prozess lief als Root, somit war es einem lokalen Nutzer möglich, sich hierüber entsprechende Root-Rechte zu verschaffen.

Alle vorhandenen Lücken sind in der aktuellen Firmwareversion von Fireeye behoben. Wer entsprechende Geräte nutzt, sollte umgehend die Patches installieren. Die Details der Sicherheitslücken hat ERNW in einem Bericht zusammengefasst.

 Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vorHeftige Kritik an Fireeye 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. 39,99€ statt 59,99€
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  3. 88,94€ + Versand

irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...


Folgen Sie uns
       


Blackberry Key 2 - Hands on

Das Key2 ist das Nachfolgemodell des Keyone. Das Grundprinzip ist gleich. Im unteren Gehäuseteil gibt es eine fest verbaute Hardware-Tastatur. Darüber befindet sich ein Display im 3:2-Format. Das Schreiben auf der Tastatur ist angenehm. Im Juli 2018 kommt das Key2 zum Preis von 650 Euro auf den Markt.

Blackberry Key 2 - Hands on Video aufrufen
Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /