Abo
  • Services:
Anzeige
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken.
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken. (Bild: ERNW)

Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff

Um die Fireeye-Geräte zu untersuchen, mussten die Sicherheitsforscher von ENRW sich zunächst Root-Zugriff verschaffen. Die Lücken fanden sich in einer Software namens WebMPS in der Version 7.5.1, die Abkürzung steht für Malware Protection System. Selbst als Besitzer des Geräts hat man den Root-Zugang nicht automatisch, es stehen nur eine Weboberfläche und eine sehr reduzierte Client-Konsole zur Verfügung. Mittels Webinterface war der Upload von neuen Root-Zertifikaten möglich.

Anzeige

Command-Injection bei Zertifikatsupload

Hier fand sich eine Command-Injection-Lücke. Beim Upload wurden die Zertifikate mit relativ simplen Commandline-Befehlen verarbeitet. Dieser Vorgang ermöglichte es, Befehle zwischen den Zertifikaten einzuschleusen, die anschließend ausgeführt wurden. Diese Lücke stellt noch keine direkte Bedrohung dar, da sie nur ausgenutzt werden kann, wenn man bereits administrativen Zugriff auf die Weboberfläche hat. Doch sie ermöglichte den ERNW-Forschern, sich selbst einen uneingeschränkten Shell-Zugang zu verschaffen. Möglich war dies beispielsweise, indem einer der über die reduzierte Kommandozeile zugänglichen Befehle auf die Bash-Shell umgeleitet wurde.

Die Fireeye-Geräte untersuchen Malware mit zwei Methoden. In einer virtuellen Maschine (Virtual Execution Engine, VXE) werden die Ausführung und das Verhalten der Malware getestet. Weiterhin gibt es eine statische Analyse, den Malware Input Processor (MIP). Angreifbar sind diese Systeme relativ leicht: So reicht es üblicherweise, eine E-Mail an jemanden zu schicken, der die Fireeye-Geräte als Schutz einsetzt, die E-Mail-Attachments werden dann mit diesen Systemen gescannt. Denkbar wäre auch, jemanden dazu zu bringen, diese Dateien über eine Webseite aufzurufen.

Die Virtual Execution Engine simuliert für die Malware einen Netzwerkzugriff. Die Netzwerkpakete werden analysiert und bei bestimmten Paketen, beispielsweise HTTP-Anfragen oder IRC-Kommandos, wird auch eine simulierte Antwort generiert. IRC-Chatnetzwerke werden häufiger von Malware genutzt, um Kommandos auszutauschen. In diesem IRC-Simulationssystem fanden die Forscher mehrere Buffer Overflows. So wurden etwa die IRC-Befehle /NICK, /JOIN und /USER verarbeitet. Die jeweiligen Parameter wurden in einem 1024 Byte großen Stack-Buffer abgelegt. Sendet man einen längeren Parameter, kommt es zu einem Buffer Overflow.

Keine Stack-Canaries und mangelhafte Speicherrandomisierung

Hierbei stellte sich heraus, dass Fireeye bezüglich der Sicherheit ziemlich geschlampt hatte. Die Binaries der Virtual Execution Engine nutzten keine Stack-Canaries und waren nicht als Position Independent Executables kompiliert, somit war für die Binary keine Speicherrandomisierung (ASLR, Address Space Layout Randomization) möglich. Die geladenen Bibliotheken waren jedoch randomisiert. Diese beiden Schutzmechanismen - Stack-Canaries und ASLR - verhindern oder erschweren viele Angriffe. Dass diese auf den Fireeye-Geräten fehlten, ist gerade für ein IT-Sicherheitsprodukt kaum verständlich.

Mittels einer trickreichen Verkettung gelang es, einen Exploit zu erstellen, der diesen Overflow ausnutzte und Code auf den Fireeye-Geräten ausführte. Dieser Root-Exploit funktionierte allerdings nicht hundertprozentig. Auf der 44CON zeigten die Forscher den Exploit in einer Demonstration. Fireeye selbst spielt in seinem Security-Advisory die Lücke herunter. Dort ist von einem Root-Exploit nicht die Rede, es heißt lediglich, ein Angreifer könne einen "eingeschränkten Denial of Service" auslösen.

Symlink-Angriff auf 7-Zip

Eine weitere Schwäche fand sich in der anderen Scan-Komponente der Fireeye-Geräte - im Malware Input Processor. Diese lässt sich deutlich simpler ausnutzen, da sie ohne komplexe Memory-Corruption-Angriffe auskommt. Zip-Dateien werden von diesem Scanprozess mittels der Kommandozeilenversion des Programms 7-Zip entpackt. Im Januar entdeckte der Sicherheitsforscher Alexander Cherepanov eine Lücke in 7-Zip. Legt man innerhalb einer Zip-Datei einen Symlink auf einen beliebigen Pfad im Dateisystem an, kann man dort wiederum nach Belieben Dateien ablegen. Auf den Fireeye-Geräten war diese Lücke noch nicht geschlossen. Mittels einer manipulierten Zip-Datei war es also möglich, nach Belieben Dateien im Dateisystem abzulegen.

Eine Hürde gab es dabei allerdings: Ein Großteil des Dateisystems war nur lesbar gemountet. Jedoch gab es ein Verzeichnis, in dem sich Python-Skripte zur Analyse verschiedener Dateitypen befanden. Den Namen dieses Verzeichnisses durften die ERNW-Forscher nicht nennen, doch dieses Verzeichnis war schreibbar. Legte man dort beispielsweise ein Skript mit dem Namen rtf.py ab, wurden künftig alle Dateien mit dieser Endung mit dem Skript analysiert.

Der Angriff ist somit fast schon trivial: Zunächst sendet man eine E-Mail mit einem ZIP-Anhang, der die Symlink-Lücke in 7-Zip ausnutzt und in dem Verzeichnis ein bösartiges Skript namens rtf.py ablegt. Dieses Skript kann dann etwa eine Remote-Konsole für den Angreifer öffnen. Anschließend schickt man eine beliebige Datei mit .rtf-Endung, diese wird an dieses Skript übergeben, und es wird ausgeführt.

Erneut Command-Injection

Damit hat ein Angreifer Zugriff auf das Gerät, doch die Skripte laufen nicht mit Root-Rechten. Für einen vollständigen Root-Exploit war somit ein weiterer Schritt notwendig. Auf dem lokalen Port 9900 läuft ein Ruby-Service, der einen lokalen Mechanismus zur Kommunikation zwischen Prozessen verwaltet. Hier fand sich - erneut - eine relativ simple Command-Injection-Lücke. Ein Parameter, der dort übergeben wurde, wurde direkt auf der Kommandozeile an einen Befehl angehängt. Der Ruby-Prozess lief als Root, somit war es einem lokalen Nutzer möglich, sich hierüber entsprechende Root-Rechte zu verschaffen.

Alle vorhandenen Lücken sind in der aktuellen Firmwareversion von Fireeye behoben. Wer entsprechende Geräte nutzt, sollte umgehend die Patches installieren. Die Details der Sicherheitslücken hat ERNW in einem Bericht zusammengefasst.

 Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vorHeftige Kritik an Fireeye 

eye home zur Startseite
irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...



Anzeige

Stellenmarkt
  1. Carmeq GmbH, Wolfsburg/Berlin
  2. TenneT TSO GmbH, Bayreuth
  3. Lahnpaper GmbH, Lahnstein
  4. ADAC Nordbayern e.V., Nürnberg


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 69,99€ (Vorbesteller-Preisgarantie)
  3. (-78%) 7,99€

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: OffTopic: Konto löschen?

    Cok3.Zer0 | 00:20

  2. Re: Warum gibts Heimautomation immer nur als...

    Lyve | 00:17

  3. Re: Wundert mich nicht, die löschen auch...

    Eheran | 00:09

  4. Re: Kommt mir auch auf Kundenseite bekannt vor.

    My1 | 00:01

  5. Re: Mafia 3

    Umaru | 23.05. 23:58


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel