Abo
  • Services:
Anzeige
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken.
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken. (Bild: ERNW)

Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff

Um die Fireeye-Geräte zu untersuchen, mussten die Sicherheitsforscher von ENRW sich zunächst Root-Zugriff verschaffen. Die Lücken fanden sich in einer Software namens WebMPS in der Version 7.5.1, die Abkürzung steht für Malware Protection System. Selbst als Besitzer des Geräts hat man den Root-Zugang nicht automatisch, es stehen nur eine Weboberfläche und eine sehr reduzierte Client-Konsole zur Verfügung. Mittels Webinterface war der Upload von neuen Root-Zertifikaten möglich.

Anzeige

Command-Injection bei Zertifikatsupload

Hier fand sich eine Command-Injection-Lücke. Beim Upload wurden die Zertifikate mit relativ simplen Commandline-Befehlen verarbeitet. Dieser Vorgang ermöglichte es, Befehle zwischen den Zertifikaten einzuschleusen, die anschließend ausgeführt wurden. Diese Lücke stellt noch keine direkte Bedrohung dar, da sie nur ausgenutzt werden kann, wenn man bereits administrativen Zugriff auf die Weboberfläche hat. Doch sie ermöglichte den ERNW-Forschern, sich selbst einen uneingeschränkten Shell-Zugang zu verschaffen. Möglich war dies beispielsweise, indem einer der über die reduzierte Kommandozeile zugänglichen Befehle auf die Bash-Shell umgeleitet wurde.

Die Fireeye-Geräte untersuchen Malware mit zwei Methoden. In einer virtuellen Maschine (Virtual Execution Engine, VXE) werden die Ausführung und das Verhalten der Malware getestet. Weiterhin gibt es eine statische Analyse, den Malware Input Processor (MIP). Angreifbar sind diese Systeme relativ leicht: So reicht es üblicherweise, eine E-Mail an jemanden zu schicken, der die Fireeye-Geräte als Schutz einsetzt, die E-Mail-Attachments werden dann mit diesen Systemen gescannt. Denkbar wäre auch, jemanden dazu zu bringen, diese Dateien über eine Webseite aufzurufen.

Die Virtual Execution Engine simuliert für die Malware einen Netzwerkzugriff. Die Netzwerkpakete werden analysiert und bei bestimmten Paketen, beispielsweise HTTP-Anfragen oder IRC-Kommandos, wird auch eine simulierte Antwort generiert. IRC-Chatnetzwerke werden häufiger von Malware genutzt, um Kommandos auszutauschen. In diesem IRC-Simulationssystem fanden die Forscher mehrere Buffer Overflows. So wurden etwa die IRC-Befehle /NICK, /JOIN und /USER verarbeitet. Die jeweiligen Parameter wurden in einem 1024 Byte großen Stack-Buffer abgelegt. Sendet man einen längeren Parameter, kommt es zu einem Buffer Overflow.

Keine Stack-Canaries und mangelhafte Speicherrandomisierung

Hierbei stellte sich heraus, dass Fireeye bezüglich der Sicherheit ziemlich geschlampt hatte. Die Binaries der Virtual Execution Engine nutzten keine Stack-Canaries und waren nicht als Position Independent Executables kompiliert, somit war für die Binary keine Speicherrandomisierung (ASLR, Address Space Layout Randomization) möglich. Die geladenen Bibliotheken waren jedoch randomisiert. Diese beiden Schutzmechanismen - Stack-Canaries und ASLR - verhindern oder erschweren viele Angriffe. Dass diese auf den Fireeye-Geräten fehlten, ist gerade für ein IT-Sicherheitsprodukt kaum verständlich.

Mittels einer trickreichen Verkettung gelang es, einen Exploit zu erstellen, der diesen Overflow ausnutzte und Code auf den Fireeye-Geräten ausführte. Dieser Root-Exploit funktionierte allerdings nicht hundertprozentig. Auf der 44CON zeigten die Forscher den Exploit in einer Demonstration. Fireeye selbst spielt in seinem Security-Advisory die Lücke herunter. Dort ist von einem Root-Exploit nicht die Rede, es heißt lediglich, ein Angreifer könne einen "eingeschränkten Denial of Service" auslösen.

Symlink-Angriff auf 7-Zip

Eine weitere Schwäche fand sich in der anderen Scan-Komponente der Fireeye-Geräte - im Malware Input Processor. Diese lässt sich deutlich simpler ausnutzen, da sie ohne komplexe Memory-Corruption-Angriffe auskommt. Zip-Dateien werden von diesem Scanprozess mittels der Kommandozeilenversion des Programms 7-Zip entpackt. Im Januar entdeckte der Sicherheitsforscher Alexander Cherepanov eine Lücke in 7-Zip. Legt man innerhalb einer Zip-Datei einen Symlink auf einen beliebigen Pfad im Dateisystem an, kann man dort wiederum nach Belieben Dateien ablegen. Auf den Fireeye-Geräten war diese Lücke noch nicht geschlossen. Mittels einer manipulierten Zip-Datei war es also möglich, nach Belieben Dateien im Dateisystem abzulegen.

Eine Hürde gab es dabei allerdings: Ein Großteil des Dateisystems war nur lesbar gemountet. Jedoch gab es ein Verzeichnis, in dem sich Python-Skripte zur Analyse verschiedener Dateitypen befanden. Den Namen dieses Verzeichnisses durften die ERNW-Forscher nicht nennen, doch dieses Verzeichnis war schreibbar. Legte man dort beispielsweise ein Skript mit dem Namen rtf.py ab, wurden künftig alle Dateien mit dieser Endung mit dem Skript analysiert.

Der Angriff ist somit fast schon trivial: Zunächst sendet man eine E-Mail mit einem ZIP-Anhang, der die Symlink-Lücke in 7-Zip ausnutzt und in dem Verzeichnis ein bösartiges Skript namens rtf.py ablegt. Dieses Skript kann dann etwa eine Remote-Konsole für den Angreifer öffnen. Anschließend schickt man eine beliebige Datei mit .rtf-Endung, diese wird an dieses Skript übergeben, und es wird ausgeführt.

Erneut Command-Injection

Damit hat ein Angreifer Zugriff auf das Gerät, doch die Skripte laufen nicht mit Root-Rechten. Für einen vollständigen Root-Exploit war somit ein weiterer Schritt notwendig. Auf dem lokalen Port 9900 läuft ein Ruby-Service, der einen lokalen Mechanismus zur Kommunikation zwischen Prozessen verwaltet. Hier fand sich - erneut - eine relativ simple Command-Injection-Lücke. Ein Parameter, der dort übergeben wurde, wurde direkt auf der Kommandozeile an einen Befehl angehängt. Der Ruby-Prozess lief als Root, somit war es einem lokalen Nutzer möglich, sich hierüber entsprechende Root-Rechte zu verschaffen.

Alle vorhandenen Lücken sind in der aktuellen Firmwareversion von Fireeye behoben. Wer entsprechende Geräte nutzt, sollte umgehend die Patches installieren. Die Details der Sicherheitslücken hat ERNW in einem Bericht zusammengefasst.

 Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vorHeftige Kritik an Fireeye 

eye home zur Startseite
irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. über Provadis Professionals GmbH, Frankfurt am Main
  4. Robert Bosch GmbH, Abstatt


Anzeige
Blu-ray-Angebote
  1. 69,99€ (DVD 54,99€)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. The Hateful 8 7,97€, The Revenant 8,97€, Interstellar 7,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  2. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  3. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  4. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  5. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  6. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  7. Supercomputer

    Der erste Exaflop-Rechner wird in China gebaut

  8. Thomas de Maizière

    Doch keine Vorratsdatenspeicherung für Whatsapp

  9. Automatisierung

    Europaparlament fordert Roboterregeln

  10. Elitebook 810 Revolve G3

    HP gibt die klassischen Convertible-Notebooks auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

  1. Re: Interessant am Rande...

    Trollversteher | 16:34

  2. Schulungskosten seien für beide Systeme gleich...

    n0x30n | 16:34

  3. Re: Wer sind diese "Mitarbeiter"

    L_Starkiller | 16:27

  4. Re: Es führt kein Weg an Windows vorbei

    Kondratieff | 16:25

  5. Re: Karten

    Dwalinn | 16:23


  1. 16:27

  2. 15:23

  3. 14:00

  4. 13:12

  5. 12:07

  6. 12:06

  7. 11:59

  8. 11:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel