No Security Blog

Computerwoche: Virenscanner öffnen Hackern die Türen

2008-03-03T10:47:00.003+01:00

Ok, ist schon ein paar Tage her und es ist eigentlich eine Wiederholung meines letzten Posts, aber ich komme leider jetzt erst dazu diesen wunderbaren November-Artikel aus der ~~Computerbild~~ - Entschuldigung - Computerwoche (wie konnte ich diese Qualitätszeitungen nur verwechseln) zu verlinken:

Computerwoche Einleitung (Titelstory 23. November 2007)
Computerwoche Artikel

Ohne Zweifel ist der Artikel insgesamt auf dem erwarteten Niveau der Computerwoche, insbesondere das uns die Sicherheitsexperten einer Firma "n-runs AG" (siehe letzter Post) diese Geschichte erzählen. Aber der Kern ist durchaus erwähnenswert und zeigt einmal mehr, auf welch dünnem Eis die Sicherheit durch Sicherheitsprodukte eigentlich steht.

Es geht darum, dass vor allem die Parser der Virenscanner nachweislich mit vielen Fehlern behaftet sind (wer erinnert sich nicht an die lustigen rekursiven ZIPs, die vor einigen Jahren faktisch alle Gateway-Scanner zum erliegen gebracht haben) und diese sehr oft mindestens zu einem DoS-Angriff nutzbar sind. Darüberhinaus lassen sich eben auch Exploits finden, die während des Parsings zur Codeausführung kommen und aufgrund der Tatsache, dass Virenscanner Systemrechte haben, auch mit vollen Systemrechten zuschlagen können.

Experte: Sicherheitssoftware ist gefährlich

2007-11-23T10:25:00.000+01:00

Na, da sagt es ja mal jemand fast noch deutlicher. Auch wenn ich immer etwas vorsichtig bin, wenn unbekannte Firmen mit angeblichen Experten und noch angeblicheren empirischen Studien oder eignene Analysen aufwarten, trotzdem gefällt mir dieser Artikel natürlich:

"Unternehmen, die viele Anti-Viren-Produkte installieren, erhöhen damit auch ihr Risiko, einem Hackerangriff zum Opfer zu fallen.

Das sagte Thierry Zoller, Sicherheitsexperte der Oberurseler n.runs AG, dem Branchendienst Infoworld. Zoller und sein Kollege Sergio Alvarez haben demnach zwei Jahre lang die Anti-Viren-Lösungen führender Hersteller untersucht.

Die Schwachstelle liege in der Parser Software der Anti-Viren-Produkte, hieß es. Die Parser Software wird genutzt, um Dateien zu öffnen und zu untersuchen. Zoller und Alvarez hätten als 80 Schwachstellen in der Parser Software entdeckt, von denen viele noch nicht geschlossen seien.

Auch große Hersteller seien betroffen. 80 Prozent der Lecks erlaubten es den Hackern sogar, Schadcode auf einem System auszuführen. Einige Anwender glaubten, es helfe, viele Anti-Viren-Engines einzusetzen, so Zoller. Das Gegenteil sei der Fall. "Diese Nutzer erhöhen das Risiko, weil jede Anti-Viren-Lösung Bugs hat."

Zoller Arbeitgeber sieht hier eine Marktlücke. n.runs bietet die Software 'ParsingSafe' an - die Nutzer vor Parsing-Attacken schützen soll.

Andere Experten halten die Aussagen für überzogen. Hacker hätten Schwachstellen dieser Art bislang noch nicht ausgenutzt, sagte Russ Cooper, Senior Scientist bei Verizon Business. Zum einen seien sie mit anderen Taktiken erfolgreich. Zum anderen hätten die Hacker ein höheres Entdeckungsrisiko, wenn sie sich an Anti-Viren-Software wagten – und die Lecks würden schnell geschlossen.

Die Anti-Viren-Hersteller wüssten längst, dass ihre Software Schwachstellen aufweise, sagte Marc Maiffret, CTO bei eEye Digital Security. "Sicherheitssoftware ist so verletzbar, wie jede andere Software auch."

Quelle: silicon.de

Aber es ist natürlich klar, dass die Herren Zoller und Alvarez wohl vor allem Ihr tolles neues Produkt verkaufen wollen. Womit sie sich allerdings irgendwie selbst wiedersprechen, denn noch eine weitere Software auf den Maschinen führt in der eigenen Logik doch zu einem weiteren gefährlichen Angriffsziel....

Treiber von Sicherheitssoftware gefährden Systemstabilität

2007-09-19T18:28:00.000+02:00

Weniger Sicherheit durch Sicherheitsprodukte - ein entsprechendes Bulletin kam heute von Matousec Security mti einer eindrucksvollen Beweisführung, wie angreifbar namhafte "Sicherheitsprodukte" sind. Heise hat die Nachricht aufgegriffen und folgende in folgender Liste zusammengefasst:

Betroffen sind laut der Matousec-Analyse folgende Produkte:

BlackICE PC Protection 3.6.cqn
G DATA InternetSecurity 2007
Ghost Security Suite beta 1.110 and alpha 1.200
Kaspersky Internet Security 7.0.0.125
Norton Internet Security 2008 15.0.0.60
Online Armor Personal Firewall 2.0.1.215
Outpost Firewall Pro 4.0.1025.7828
Privatefirewall 5.0.14.2
Process Monitor 1.22
ProcessGuard 3.410
ProSecurity 1.40 Beta 2
RegMon 7.04
ZoneAlarm Pro 7.0.362.000

Bei den meisten Produkten handelt es sich um die aktuellen Versionen, für die es derzeit noch keine Updates gibt.

Die detaillierte Analyse einschliesslich Code-Erklärung und Analsyse-Tool findet sich hier.

Downlad a Virus - direkt beim Anti-Virus-Hersteller

2007-09-07T10:05:00.000+02:00

Eine nette Phishing-Variante ist gerade aufgetaucht: E-Mails mit AV-Software-Werbung (wie sie ja tatsächlich auch massenhaft von Marketing-Abteilungen der AV-Hersteller versendet werden) werben mit einer kostenlosen Version und linken auf einen sehr guten Nachbau der Trend Micro Seite. Die angebotene AV-Software enthält dann aber gleich einen Virus frei Haus, schön eingepackt in den Schutz vor "anderen" Viren...

Alles nachzulesen im Blog von Trend Micro:
http://blog.trendmicro.com/trend-micro-web-site-phished21/

www.picidae.net - Content Filter Go Home

2007-09-05T09:22:00.000+02:00

Über Sinn und Unsinn von Content Filtern lässt sich ja noch weniger streiten als über Anti-Virus Produkte. Während letztere unter bestimmten Umständen als notwendiges Übel bei gut überlegtem Einsatz noch einen Rest Sinn ergeben können, so sind Content Filter zumindest als "Wir passen auf das niemand böse Seiten sieht"-Produkte eine völlig überflüssige Security-Budget-Vernichtungsidee. Mit Angstmache-Themen wie Compliance oder am besten "Schutz schutzbedürftiger Mitarbeiter (Azubis)" wird ein Zeug verkauft, dessen primäre Auswirkung die maximale Verlangsamung des produktiven Internetzugriffs ist - nicht mehr und nicht weniger.

Netterweise haben jetzt zwei Schweizer ein Stück Open Source entwickelt, welches die Sinnlosigkeit des Zensurkampfes in Perfektion aufzeigt:

http://pici.picidae.net/

Einfach mal eine beliebige URL eintippen und staunen. Das Ding ist ein einfaches Stück Code, welches eine beliebige Webseite in ein Image mit Imagelinks verwandelt und damit alle existierenden Content-Parser gegen die Wand laufen lässt: Zufälltige Struktur, keine bad words, keine eindeutige URL. Das Ergebnis ist ein angenehmes und wirklich schnelles browsing vorbei an allen Filtern.

Für alle, die mehr wissen wollen - am besten mal auf die Projektseite gehen. Dort wird auch gut beschrieben, warum das einfache sperren der picidae-URL nichts bringt und wie man selbst an dem Projekt teilnehmen kann, um zB Chinesen mehr Spass am Internet zu bescheren.

Ich bin gespannt ob es die Corporate ITs damit etwas schneller begreifen, wie sinnlos bestimmte IT-Ausgaben eigentlich sind - oder ob es wie so oft beim verzweifelten Festhalten an der Security by Obscurity Linie bleibt.

SQL Injection ganz einfach

2007-09-04T11:08:00.001+02:00

SQL Injection ist ja ein recht breites Thema und wird in vielen Blogs und Webseiten bereits ausführlich behandelt. Wenn ich es hier anspreche, dann aus folgenden Gründen: Zum einen sollte es einfach latent immer im Bewusstsein bleiben, wie mächtig dieses Hacker-Werkzeug ist und wie oft auch gut gesicherte Webseiten durch Fehler in diesem Bereich angreifbar werden. Zum anderen aber, weil ich letzte Woche ein wirklich gutes Papier gefunden habe, in dem eine Variante beschrieben wird, die das Verhältnis Einfachheit zu Auswirkung wirklich optimal beschreibt.

Erstmal zum Thema SQL Injection (Wiki-Artikel) für alle, die es noch nicht kennen:

SQL-Injektion

Üblicherweise wird eben versucht, SQL-Befehle abzusetzen. Gary Oleary-Steele beschreibt nun eine neue Variante, die er hier erklärt:

SQL E-Mail Recovery Attack (englisch, PDF-Link)

Das Papier ist wirklich lesenswert, kurz gesagt beschreibt er wie man unter bestimmten Umständen die "Passwort vergessen"-Funktion vieler Webseiten ausnutzen kann, um sich Zugang zu einen fremden Account zu verschaffen.

Wikiscanner und die Folgen

2007-08-28T17:59:00.000+02:00

Er ist eingeschlagen wie eine Bombe: Der Wikiscanner (bzw. hier für die deutsche Wikipedia) Und zugegeben, auch wenn das, was er tut, eher trivial ist, so ist es doch mal wieder die Zusammenführung von existierender Information, die plötzlich eine völlig neue Sichtweise ermöglicht.

Für alle, die sich noch nicht mit dem Wikiscanner auseinandergesetzt haben: Er analysiert einfach die IPs, die bei jeder Wiki-Änderung hinterlegt werden, gegen die offiziell zugeteilten IP-Ranges und kann damit vielen Wiki-Einträgen einen "Urheber" geben. Das ist faktisch immer nur ein Unternehmensname, aber dennoch lässt der direkte Vergleich zwischen Eintrag und Unternehmen allzuoft deutliche Rückschlüsse zu. Nicht zu sprechen von kleineren Unternehmen, bei denen man eigentlich - wenn man sie kennt - fast schon die Person ausmachen kann, die hinter einer Änderung steht.

Ein einfaches Beispiel

Die deutsche Microsoft geht über MS Dublin ins Internet, im deutschen Wiki werden primär deutsche Microsofties editieren, ein kurzer Blick in den Wikiscanner und wir dürfen uns 163 Änderungen ansehen:

http://wikiscanner.virgil.gr/f_DE.php?ip2=213.199.128.0-143.255

Neben lustigen Einträgen (was ist denn nun ActiveX?? Wie lange gibt eine Kuh Milch?) mischt Microsoft natürlich auch bei den eigenen Produkten mächtig mit. Das ganze ist sehr überschaubar und birgt wenig Anlass zur Kritik, es zeigt aber die Möglichkeiten des Scanners sehr gut.

Die Konsequenzen

Sicher kann man jetzt viel über statische IP-Ranges schreiben (oder gar dem Lifetime IP-Feature von IPv6 uns seine Folgen in diesem Kontext). Mir geht es aber um etwas anderes:

Der Wikiscanner zeigt, welche Folgen lanfristige IP-Speicherung hat. In der Debatte um "Vorratesdatenspeicherung" sollte spätestens jetzt auch der letzte Anti-Terror-Schreihals aufwachen: Die Profilierung von Individuen wird perfektioniert. Es wird immer wieder zu versehentlichen Veröffentlichungen von IP-Bewegungsdaten kommen und es gibt kein Vergessen. Auch in 10 Jahren kann die eigene Jungendsünde zwar verjährt sein, aber immer noch im Netz kursieren. Und es wird Mashups geben, die auf einen Blick alle Daten zusammentragen und sehr binär über die eigene Zukunft entscheiden.

Ich werde hoffentlich bald mal Zeit finden, das ganze prototypisch in ein eigenes Mashup gegen Wiki / Foren / AOL Suchliste / Google Groups laufen zu lassen, aber ich denke es müsste schon so recht klar geworden sein: Die eigene Spur ist mit einem Log Off oder dem Schliessen des Browserfensters noch lange nicht vernichtet...

Ein Jahr Anti-Virus und die Sicherheitslücken

2007-08-24T14:11:00.000+02:00

Die Vereinfachung meiner Grundannahmen zum Thema Security läßt sich in einer provozierenden Grundthese zusammenfassen:

"Je mehr Sicherheitsprodukte installiert werden desto geringer ist die Gesamtsicherheit".

Ich werde in nächster Zeit meine These noch weiter untermauern und vor allem genauer erläutern, da sich mit Allgemeinsätzen wenig aussagen lässt. Auch ist mir klar, dass es bei den diversen Risiken im Internet eine Strategie zum Schutz der Anwender geben muss. Aber: Der unreflektierte Glaube an den Schutz durch Schutzprodukte ist ein Irr-Glaube - viel zu oft sind es genau diese Schutzprogramme, die die Einfallstore für den nächsten Angriff erst öffnen.

Eröffnen möchte ich den Ring No Security Blog vs. Security Vendors mit einem kleinen Suchergebnis auf Heise.de: Ein Jahr und seine 35 Hacker-Einladungen durch Anti-Virus-Produkte:

Mehrere Sicherheitslücken in Trend-Micro-Produkten
(22.08.2007, dmk)
In mehreren Sicherheitsprodukten von Trend Micro können Schwachstellen dazu führen, dass Angreifer fremden Code auf betroffene Systeme schleusen. Betroffen sind sowohl Unternehmens- als auch Privatanwender-Lösungen.

Kritische Lücke in Norton Antivirus und Internet Security
(10.08.2007, dab)
Fehlerhafte ActiveX-Controls ermöglichen Angreifern, einen PC unter ihre Kontrolle zu bekommen. Dazu genügt der Besuch einer infizierten Webseite. Updates stehen zur Verfügung.

Unsichere Dateirechte in Panda Antivirus
(08.08.2007, dmk)
Durch unsichere Rechtevergabe auf die Verzeichnisse und Dateien von Panda Antivirus können Angreifer ihre Rechte auf dem Rechner ausweiten. Abhilfe ist laut Panda aber in Sicht.

CA patcht Schwachstellen in zahlreichen Produkten
(25.07.2007, dab)
Unter anderem schließt der Hersteller eine kritische Lücke in eTrust Intrusion Detection 3.0 und DoS-Lücken in den Parsern seiner Virenscanner.

Sicherheitslöcher in Antivirus-Produkten von Norman
(23.07.2007, dab)
Durch mehrere Schwachstellen können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. Die kritischen Lücken sind noch nicht gepatcht.

Lücken in Panda Antivirus und NOD32
(21.07.2007, dab)
Schwachstellen in NOD32 und Panda Antivirus ermöglichen einem Angreifer, einen Scanner zum Absturz zu bringen oder sogar eigenen Code in den Rechner eines Opfers zu schleusen und zu starten.

Pufferüberlauf in CAs Alarmierungsdienst
(18.07.2007, dmk)
CA liefert mit mehreren Produkten einen Alert Notification Server aus, der im lokalen Netz erreichbar ist und in dem Schwachstellen dazu führen, dass Angreifer Schadcode ausführen können.

Sicherheitslecks in Antivirensoftware
(13.07.2007, dmk)
In ClamAV und AVG können Sicherheitslücken zu einem Denial-of-Service führen oder Anwendern die Ausweitung ihrer Rechte ermöglichen. Microsoft startet derweil eine Betaphase für OneCare 2.0.

Mehrere Schwachstellen in Symantec-Produkten [Update]
(12.07.2007, dmk)
In Produkten von Symantec wurden mehrere Sicherheitslücken entdeckt, durch die lokale Anwender ihre Rechte ausweiten, Angreifer aus dem Netz einen Denial-of-Service auslösen oder fremden Code ausführen können.

DoS-Lücke in Kaspersky-Treiber
(18.06.2007, dmk)
Ein Treiber aus Kasperskys Antivirenprodukten klinkt sich in Systemfunktionen ein. Durch fehlerhafte Überprüfungen von daran übergebenen Parametern können Angreifer den Rechner zum Absturz bringen.

CA patcht zwei kritische Lücken in zahlreichen Produkten
(06.06.2007, dab)
Zwei Fehler bei der Verarbeitung von CAB-Archiven können zum Absturz führen oder einem Angreifer die Gelegenheit geben, ein System zu kompromittieren.

Mehrere Sicherheitslücken in F-Secure
(30.05.2007, dmk)
Durch Schwachstellen in den Antivirenprodukten von F-Secure können bösartige Individuen mit präparierten Archiven oder ausführbaren Dateien fremden Code ausführen oder einen Denial-of-Service provozieren.

Avast führt Code aus CAB-Dateien aus
(24.05.2007, dmk)
Der Virenscanner Avast von Alwil ließ sich mit manipulierten CAB-Dateien beliebigen Programmcode unterschieben.

NOD32 führt Schadcode aus
(23.05.2007, cr)
Der Antivirus-Hersteller Eset behebt zwei Schwachstellen in seinem Scanner, die unter Umständen Angreifern lokal und übers Netz die Pforten öffnen.

Sicherheitslücke in Symantec-ActiveX-Modul
(10.05.2007, dmk)
Ein von Norton-Produkten installiertes ActiveX-Modul kann durch einen Design-Fehler dazu führen, dass weitere, eigentlich für den Browser gesperrte ActiveX-Module geladen und Sicherheitslücken darin ausgenutzt werden.

Mehrere CA-Produkte für Unternehmen ermöglichen Codeschmuggel
(10.05.2007, dmk)
CA hat eine Sicherheitsmeldung veröffentlicht, die Fehler in den Produkten für Unternehmen beschreibt. Angreifer können die Lücken zum Einschmuggeln beliebigen Programmcodes ausnutzen.

Kaspersky stopft kritische Lücken in Antiviren-Produkten [Update]
(05.04.2007, dab)
Ein Maintenance Pack 2 löscht unter anderem ActiveX-Controls, mit dem sich beliebige Dateien vom System eines Opfers herunterladen lassen.

Fehler in Trend Micros Virenscanner bringt Windows zum Stillstand
(16.03.2007, dab)
Eine Division durch Null beim Scannen präparierter Dateien führt zum Bluescreen of Death.

Kaspersky-DoS durch manipulierte UPX-Dateien
(03.03.2007, dmk)
Präparierte UPX-Dateien können dazu führen, dass nicht aktualisierte Versionen der Virenscanner von Kaspersky in eine Endlosschleife geraten.

Symantecs Controls für Online-Support waren Einfallstor für Angreifer
(23.02.2007, dab)
Über fehlerhafte Active-Controls in Norton AntiVirus 2006, Norton Internet Security 2006 und Norton System Works 2006, konnte ein Angreifer einen Windows-PC unter seine Kontroller bringen.

Sicherheitslecks in Virenscannern
(08.02.2007, dmk)
In Trend Micros Virenscannern können bösartige Individuen beliebigen Code einschleusen. Avast für Server fragt nicht immer nach dem eingestellten Passwort.

Sophos beseitigt Lücken in Anti-Virus
(09.12.2006, ju)
In den letzten zwei Wochen verteilte Sophos Updates, die eine Reihe von Lücken in ihren Anti-Virus-Produkten beseitigen. Diese hätten sich durch speziell präparierte E-Mails ausnutzen lassen, um Schadcode einzuschleusen.

Lücke in NOD32 ermöglichte Code-Ausführung
(20.12.2006, dmk)
Der Virenscanner NOD32 von Eset hatte ein Schwachstelle, durch die Angreifer mit manipulierten Word-Dokumenten einen auftretenden Pufferüberlauf zum Einschleusen von beliebiger Software ausnutzen konnten.

Lücke in Viren-Scannern von BitDefender gestopft
(18.12.2006, dab)
BitDefender verteilte den Patch über das automatische Update bereits im August. Anders als aktuell bei Symantec-Produkten dürften daher kaum noch verwundbare Systeme anzutreffen sein.

Yellow Worm verbreitet sich über Lücke in Symantecs Virenscannern
(17.12.2006, dab)
eEye warnt vor "Yellow Worm", auch das ISC stellt erhebliche Portscans auf den Symantec Client Port 2967 fest. Symantec will zunächst keinen Unterschied zum Hintergrundrauschen festgestellt haben.

E-Mail-Scanner patzen bei MIME-kodierten Anhängen
(07.12.2006, dab)
Hendrik Weimer hat einen Fehlerbericht veröffentlicht, in dem er eine Methode beschreibt, wie sich Schädlinge in Mailanhängen an Virenscannern vorbeischmuggeln lassen.

Kritische Sicherheitslücken in AVG geschlossen
(13.11.2006, dmk)
Hinter dem Changelog-Eintrag "Anfälligkeiten in der Archiv- und Dateiverarbeitungs-Engine behoben", den Grisoft bereits vor mehreren Wochen zu einem AVG-Update herausgegeben hat, verbergen sich einige kritische Sicherheitslücken.

Trojaner benutzt Virenscanner
(21.10.2006, bbe)
Ein Trojaner namens SpamThru bekämpft seine Malware-Kollegen mit Hilfe eines Virenscanners.

AV-Scanner Dr.Web führt Schadcode aus
(20.09.2006, cr)
Durch manipulierte LHA-Archive kommt es zu einem Pufferüberlauf auf dem Heap, durch den Angreifer unter Umständen die vollständige Kontrolle über den PC übernehmen können.

Format-String-Schwachstelle in Symantecs AntiVirus Corporate Edition (19.09.2006, dab)
Lokal angemeldete Anwender mit eingeschränkten Nutzerrechten können die Lücke ausnutzen, um eigene Programme mit Systemrechten zu starten. Prinzipiell könnten auch eingedrungene Schädlinge so an Systemrechte gelangen und den Virenschutz aushebeln.

Rechteausweitung in Symantecs Firmen-Antivirus
(14.09.2006, dmk)
Symantecs Antivirenlösungen für Unternehmensnetze erlauben lokalen Nutzern, ihre Rechte auszuweiten.

Avast-Virenscanner anfällig für Codeschmuggel
(11.09.2006, dmk)
Durch Avast-Virenscanner können Angreifer mit manipulierten LHA-Archiven beliebigen Programmcode einschleusen.

Panne bei CA-Antivirus legte Windows 2003 lahm
(06.09.2006, ju)
Ein fehlerhaftes Signatur-Update des CA-Virenscanners eTrust erkannte die System-Datei lsass.exe auf Windows-2003-Server-Systemen als Schädling und löschte sie kurzerhand.

ClamAV führt UPX-komprimierte .EXEs aus
(08.08.2006, dmk)
In ClamAV kann beim Entpacken von UPX-komprimierten Programmen ein Pufferüberlauf auftreten. Dadurch könnten Angreifer mit manipulierten Dateien beliebigen Code einschleusen und ausführen.

Sicherheitsleck im Online-Virenscanner von CA erlaubt Codeausführung
(07.08.2006, dmk)
Durch Schwachstellen in den eingesetzten Active-X-Modulen könnten Angreifer auf Systemen Schadcode einschleusen, die den Online-Virenscan von Computer Associates genutzt haben.

No Security?

2007-08-24T12:45:00.000+02:00

Hallo,

mein Name ist Jan Peterson und ich arbeite seit vielen Jahren in der IT - genauer gesagt im Bereich IT-Sicherheit. Speziell Verschlüsselung, Signatur und Zertifikatsmanagement und all die Facetten dieser Technologien gehören zu meinem täglichen Kampf und mir begegnet dabei soviel Nonsens, dass ich mich jetzt entschlossen habe in einem Blog die ganze "Security by Obscurity" dieser Branche zu sammeln. Dabei soll aber auch das Thema Anti-Virus, Intrusion-Detection, Personal Firewall etc. nicht zu kurz kommen.

Viel Spass,
Jan