• IT-Karriere:
  • Services:

Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff

Um die Fireeye-Geräte zu untersuchen, mussten die Sicherheitsforscher von ENRW sich zunächst Root-Zugriff verschaffen. Die Lücken fanden sich in einer Software namens WebMPS in der Version 7.5.1, die Abkürzung steht für Malware Protection System. Selbst als Besitzer des Geräts hat man den Root-Zugang nicht automatisch, es stehen nur eine Weboberfläche und eine sehr reduzierte Client-Konsole zur Verfügung. Mittels Webinterface war der Upload von neuen Root-Zertifikaten möglich.

Command-Injection bei Zertifikatsupload

Stellenmarkt
  1. STADT ERLANGEN, Erlangen
  2. Allianz Deutschland AG, München Unterföhring

Hier fand sich eine Command-Injection-Lücke. Beim Upload wurden die Zertifikate mit relativ simplen Commandline-Befehlen verarbeitet. Dieser Vorgang ermöglichte es, Befehle zwischen den Zertifikaten einzuschleusen, die anschließend ausgeführt wurden. Diese Lücke stellt noch keine direkte Bedrohung dar, da sie nur ausgenutzt werden kann, wenn man bereits administrativen Zugriff auf die Weboberfläche hat. Doch sie ermöglichte den ERNW-Forschern, sich selbst einen uneingeschränkten Shell-Zugang zu verschaffen. Möglich war dies beispielsweise, indem einer der über die reduzierte Kommandozeile zugänglichen Befehle auf die Bash-Shell umgeleitet wurde.

Die Fireeye-Geräte untersuchen Malware mit zwei Methoden. In einer virtuellen Maschine (Virtual Execution Engine, VXE) werden die Ausführung und das Verhalten der Malware getestet. Weiterhin gibt es eine statische Analyse, den Malware Input Processor (MIP). Angreifbar sind diese Systeme relativ leicht: So reicht es üblicherweise, eine E-Mail an jemanden zu schicken, der die Fireeye-Geräte als Schutz einsetzt, die E-Mail-Attachments werden dann mit diesen Systemen gescannt. Denkbar wäre auch, jemanden dazu zu bringen, diese Dateien über eine Webseite aufzurufen.

Die Virtual Execution Engine simuliert für die Malware einen Netzwerkzugriff. Die Netzwerkpakete werden analysiert und bei bestimmten Paketen, beispielsweise HTTP-Anfragen oder IRC-Kommandos, wird auch eine simulierte Antwort generiert. IRC-Chatnetzwerke werden häufiger von Malware genutzt, um Kommandos auszutauschen. In diesem IRC-Simulationssystem fanden die Forscher mehrere Buffer Overflows. So wurden etwa die IRC-Befehle /NICK, /JOIN und /USER verarbeitet. Die jeweiligen Parameter wurden in einem 1024 Byte großen Stack-Buffer abgelegt. Sendet man einen längeren Parameter, kommt es zu einem Buffer Overflow.

Keine Stack-Canaries und mangelhafte Speicherrandomisierung

Hierbei stellte sich heraus, dass Fireeye bezüglich der Sicherheit ziemlich geschlampt hatte. Die Binaries der Virtual Execution Engine nutzten keine Stack-Canaries und waren nicht als Position Independent Executables kompiliert, somit war für die Binary keine Speicherrandomisierung (ASLR, Address Space Layout Randomization) möglich. Die geladenen Bibliotheken waren jedoch randomisiert. Diese beiden Schutzmechanismen - Stack-Canaries und ASLR - verhindern oder erschweren viele Angriffe. Dass diese auf den Fireeye-Geräten fehlten, ist gerade für ein IT-Sicherheitsprodukt kaum verständlich.

Mittels einer trickreichen Verkettung gelang es, einen Exploit zu erstellen, der diesen Overflow ausnutzte und Code auf den Fireeye-Geräten ausführte. Dieser Root-Exploit funktionierte allerdings nicht hundertprozentig. Auf der 44CON zeigten die Forscher den Exploit in einer Demonstration. Fireeye selbst spielt in seinem Security-Advisory die Lücke herunter. Dort ist von einem Root-Exploit nicht die Rede, es heißt lediglich, ein Angreifer könne einen "eingeschränkten Denial of Service" auslösen.

Symlink-Angriff auf 7-Zip

Eine weitere Schwäche fand sich in der anderen Scan-Komponente der Fireeye-Geräte - im Malware Input Processor. Diese lässt sich deutlich simpler ausnutzen, da sie ohne komplexe Memory-Corruption-Angriffe auskommt. Zip-Dateien werden von diesem Scanprozess mittels der Kommandozeilenversion des Programms 7-Zip entpackt. Im Januar entdeckte der Sicherheitsforscher Alexander Cherepanov eine Lücke in 7-Zip. Legt man innerhalb einer Zip-Datei einen Symlink auf einen beliebigen Pfad im Dateisystem an, kann man dort wiederum nach Belieben Dateien ablegen. Auf den Fireeye-Geräten war diese Lücke noch nicht geschlossen. Mittels einer manipulierten Zip-Datei war es also möglich, nach Belieben Dateien im Dateisystem abzulegen.

Eine Hürde gab es dabei allerdings: Ein Großteil des Dateisystems war nur lesbar gemountet. Jedoch gab es ein Verzeichnis, in dem sich Python-Skripte zur Analyse verschiedener Dateitypen befanden. Den Namen dieses Verzeichnisses durften die ERNW-Forscher nicht nennen, doch dieses Verzeichnis war schreibbar. Legte man dort beispielsweise ein Skript mit dem Namen rtf.py ab, wurden künftig alle Dateien mit dieser Endung mit dem Skript analysiert.

Der Angriff ist somit fast schon trivial: Zunächst sendet man eine E-Mail mit einem ZIP-Anhang, der die Symlink-Lücke in 7-Zip ausnutzt und in dem Verzeichnis ein bösartiges Skript namens rtf.py ablegt. Dieses Skript kann dann etwa eine Remote-Konsole für den Angreifer öffnen. Anschließend schickt man eine beliebige Datei mit .rtf-Endung, diese wird an dieses Skript übergeben, und es wird ausgeführt.

Erneut Command-Injection

Damit hat ein Angreifer Zugriff auf das Gerät, doch die Skripte laufen nicht mit Root-Rechten. Für einen vollständigen Root-Exploit war somit ein weiterer Schritt notwendig. Auf dem lokalen Port 9900 läuft ein Ruby-Service, der einen lokalen Mechanismus zur Kommunikation zwischen Prozessen verwaltet. Hier fand sich - erneut - eine relativ simple Command-Injection-Lücke. Ein Parameter, der dort übergeben wurde, wurde direkt auf der Kommandozeile an einen Befehl angehängt. Der Ruby-Prozess lief als Root, somit war es einem lokalen Nutzer möglich, sich hierüber entsprechende Root-Rechte zu verschaffen.

Alle vorhandenen Lücken sind in der aktuellen Firmwareversion von Fireeye behoben. Wer entsprechende Geräte nutzt, sollte umgehend die Patches installieren. Die Details der Sicherheitslücken hat ERNW in einem Bericht zusammengefasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vorHeftige Kritik an Fireeye 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. WD Black SN850 PCIe-4.0-SSD 1TB 189€ (inkl. Direktabzug), WD Red Plus NAS-Festplatte 4 TB...
  2. (u. a. Xiaomi Redmi Note 9 128GB 6.53 Zoll FHD+ inkl. Kopfhörer für 179,90€, Xiaomi Mi 10T...
  3. (u. a. Eufy Smart-Home-Produkte, Xiaomi Redmi Note 9T 5G 64GB, 6.53 Zoll FHD+ DotDisplay 90Hz für...
  4. (u. a. MatePad T 10s 10,1 Zoll 64GB für 175€, MateBook D 15 Zoll Ultrabook Ryzen 7 8GB 512GB SSD...

irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...


Folgen Sie uns
       


Assassin's Creed Valhalla - Fazit

Im Video stellt Golem.de das Action-Rollenspiel Assassins's Creed Valhalla vor, das Spieler als Wikinger nach England schickt.

Assassin's Creed Valhalla - Fazit Video aufrufen
Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

Blackwidow V3 im Test: Razers Tastaturklassiker mit dem Ping
Blackwidow V3 im Test
Razers Tastaturklassiker mit dem Ping

Die neue Version der Blackwidow mit Razers eigenen Klickschaltern ist eine grundsolide Tastatur mit tollen Keycaps - der metallische Nachhall der Switches ist allerdings gewöhnungsbedürftig.
Ein Test von Tobias Költzsch

  1. Gaming-Notebook Razer Blade 15 mit Geforce RTX 3080 und gestecktem RAM
  2. Project Brooklyn Razer zeigt skurrilen Gaming-Stuhl mit ausrollbarem OLED
  3. Razer Book 13 im Test Razer wird erwachsen

    •  /