Abo
  • Services:
Anzeige
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken.
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken. (Bild: ERNW)

Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff

Um die Fireeye-Geräte zu untersuchen, mussten die Sicherheitsforscher von ENRW sich zunächst Root-Zugriff verschaffen. Die Lücken fanden sich in einer Software namens WebMPS in der Version 7.5.1, die Abkürzung steht für Malware Protection System. Selbst als Besitzer des Geräts hat man den Root-Zugang nicht automatisch, es stehen nur eine Weboberfläche und eine sehr reduzierte Client-Konsole zur Verfügung. Mittels Webinterface war der Upload von neuen Root-Zertifikaten möglich.

Anzeige

Command-Injection bei Zertifikatsupload

Hier fand sich eine Command-Injection-Lücke. Beim Upload wurden die Zertifikate mit relativ simplen Commandline-Befehlen verarbeitet. Dieser Vorgang ermöglichte es, Befehle zwischen den Zertifikaten einzuschleusen, die anschließend ausgeführt wurden. Diese Lücke stellt noch keine direkte Bedrohung dar, da sie nur ausgenutzt werden kann, wenn man bereits administrativen Zugriff auf die Weboberfläche hat. Doch sie ermöglichte den ERNW-Forschern, sich selbst einen uneingeschränkten Shell-Zugang zu verschaffen. Möglich war dies beispielsweise, indem einer der über die reduzierte Kommandozeile zugänglichen Befehle auf die Bash-Shell umgeleitet wurde.

Die Fireeye-Geräte untersuchen Malware mit zwei Methoden. In einer virtuellen Maschine (Virtual Execution Engine, VXE) werden die Ausführung und das Verhalten der Malware getestet. Weiterhin gibt es eine statische Analyse, den Malware Input Processor (MIP). Angreifbar sind diese Systeme relativ leicht: So reicht es üblicherweise, eine E-Mail an jemanden zu schicken, der die Fireeye-Geräte als Schutz einsetzt, die E-Mail-Attachments werden dann mit diesen Systemen gescannt. Denkbar wäre auch, jemanden dazu zu bringen, diese Dateien über eine Webseite aufzurufen.

Die Virtual Execution Engine simuliert für die Malware einen Netzwerkzugriff. Die Netzwerkpakete werden analysiert und bei bestimmten Paketen, beispielsweise HTTP-Anfragen oder IRC-Kommandos, wird auch eine simulierte Antwort generiert. IRC-Chatnetzwerke werden häufiger von Malware genutzt, um Kommandos auszutauschen. In diesem IRC-Simulationssystem fanden die Forscher mehrere Buffer Overflows. So wurden etwa die IRC-Befehle /NICK, /JOIN und /USER verarbeitet. Die jeweiligen Parameter wurden in einem 1024 Byte großen Stack-Buffer abgelegt. Sendet man einen längeren Parameter, kommt es zu einem Buffer Overflow.

Keine Stack-Canaries und mangelhafte Speicherrandomisierung

Hierbei stellte sich heraus, dass Fireeye bezüglich der Sicherheit ziemlich geschlampt hatte. Die Binaries der Virtual Execution Engine nutzten keine Stack-Canaries und waren nicht als Position Independent Executables kompiliert, somit war für die Binary keine Speicherrandomisierung (ASLR, Address Space Layout Randomization) möglich. Die geladenen Bibliotheken waren jedoch randomisiert. Diese beiden Schutzmechanismen - Stack-Canaries und ASLR - verhindern oder erschweren viele Angriffe. Dass diese auf den Fireeye-Geräten fehlten, ist gerade für ein IT-Sicherheitsprodukt kaum verständlich.

Mittels einer trickreichen Verkettung gelang es, einen Exploit zu erstellen, der diesen Overflow ausnutzte und Code auf den Fireeye-Geräten ausführte. Dieser Root-Exploit funktionierte allerdings nicht hundertprozentig. Auf der 44CON zeigten die Forscher den Exploit in einer Demonstration. Fireeye selbst spielt in seinem Security-Advisory die Lücke herunter. Dort ist von einem Root-Exploit nicht die Rede, es heißt lediglich, ein Angreifer könne einen "eingeschränkten Denial of Service" auslösen.

Symlink-Angriff auf 7-Zip

Eine weitere Schwäche fand sich in der anderen Scan-Komponente der Fireeye-Geräte - im Malware Input Processor. Diese lässt sich deutlich simpler ausnutzen, da sie ohne komplexe Memory-Corruption-Angriffe auskommt. Zip-Dateien werden von diesem Scanprozess mittels der Kommandozeilenversion des Programms 7-Zip entpackt. Im Januar entdeckte der Sicherheitsforscher Alexander Cherepanov eine Lücke in 7-Zip. Legt man innerhalb einer Zip-Datei einen Symlink auf einen beliebigen Pfad im Dateisystem an, kann man dort wiederum nach Belieben Dateien ablegen. Auf den Fireeye-Geräten war diese Lücke noch nicht geschlossen. Mittels einer manipulierten Zip-Datei war es also möglich, nach Belieben Dateien im Dateisystem abzulegen.

Eine Hürde gab es dabei allerdings: Ein Großteil des Dateisystems war nur lesbar gemountet. Jedoch gab es ein Verzeichnis, in dem sich Python-Skripte zur Analyse verschiedener Dateitypen befanden. Den Namen dieses Verzeichnisses durften die ERNW-Forscher nicht nennen, doch dieses Verzeichnis war schreibbar. Legte man dort beispielsweise ein Skript mit dem Namen rtf.py ab, wurden künftig alle Dateien mit dieser Endung mit dem Skript analysiert.

Der Angriff ist somit fast schon trivial: Zunächst sendet man eine E-Mail mit einem ZIP-Anhang, der die Symlink-Lücke in 7-Zip ausnutzt und in dem Verzeichnis ein bösartiges Skript namens rtf.py ablegt. Dieses Skript kann dann etwa eine Remote-Konsole für den Angreifer öffnen. Anschließend schickt man eine beliebige Datei mit .rtf-Endung, diese wird an dieses Skript übergeben, und es wird ausgeführt.

Erneut Command-Injection

Damit hat ein Angreifer Zugriff auf das Gerät, doch die Skripte laufen nicht mit Root-Rechten. Für einen vollständigen Root-Exploit war somit ein weiterer Schritt notwendig. Auf dem lokalen Port 9900 läuft ein Ruby-Service, der einen lokalen Mechanismus zur Kommunikation zwischen Prozessen verwaltet. Hier fand sich - erneut - eine relativ simple Command-Injection-Lücke. Ein Parameter, der dort übergeben wurde, wurde direkt auf der Kommandozeile an einen Befehl angehängt. Der Ruby-Prozess lief als Root, somit war es einem lokalen Nutzer möglich, sich hierüber entsprechende Root-Rechte zu verschaffen.

Alle vorhandenen Lücken sind in der aktuellen Firmwareversion von Fireeye behoben. Wer entsprechende Geräte nutzt, sollte umgehend die Patches installieren. Die Details der Sicherheitslücken hat ERNW in einem Bericht zusammengefasst.

 Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vorHeftige Kritik an Fireeye 

eye home zur Startseite
irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...



Anzeige

Stellenmarkt
  1. IHK für München und Oberbayern, München
  2. Thomas Sabo GmbH & Co. KG, Lauf / Pegnitz
  3. Robert Bosch GmbH, Böblingen
  4. Robert Bosch GmbH, Leonberg


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 18 EUR, TV-Serien reduziert, Box-Sets reduziert)
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Elektronikkonzern Toshiba kann Geschäftsbericht nicht vorlegen
  2. Zahlungsabwickler Start-Up Stripe kommt nach Deutschland
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  2. Quantenoptik Vom Batman-Fan zum Quantenphysiker
  3. Ionencomputer Wissenschaftler müssen dumme Dinge sagen dürfen

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Sega does what Nintendon't ;)

    ManMashine | 03:35

  2. Re: Nope

    sofries | 03:14

  3. "Rundfunk" im Internet gibt es nicht.

    ManMashine | 03:09

  4. Re: Autos, gibts das noch?

    Noro_Eisenheim | 02:42

  5. Re: So langsam wird es was werden mit den...

    Ach | 02:24


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel