Mailserver unter Shellshock

2014-10-25 - Der Schock sitzt tief in den Knochen der Mailserver - Shellshock ist noch nicht vorbei.

Nach Informationen von heise Security stehen derzeit vermehrt Mailserver im Fokus der Cyber-Kriminellen, die durch Lücken im Mailserver auf die bash des Betriebsystems zugreifen wollen. Dabei übertragen sie speziell präparierte Mails an die SMTP-Server, in deren Headern an mehreren Stellen Shell-Befehle stecken, mit denen ggf. die  Shellshock-Schwachstelle ausgenutzt werden können. Auf einem ungeschützten System wird dieser Code unter Umständen ausgeführt, wenn der Mailserver eine Shell mit einem dieser Header-Werte ausführt – zum Beispiel, um die Metadaten der Mail an einen Spam-Filter weiterzugeben.

Seit geraumer Zeit existiert ein Exploit für Postfix, prinzipiell können aber auch andere Server wie qmail anfällig sein. Server-Betreiber sollten daher auf Nummer sicher gehen und die in der Bash klaffenden Lücken durch ein passendes Update schließen. Wie schon bei den Attacken auf Webserver versuchen die Angreifer auch im aktuellen Fall, eine Backdoor einzuschleusen. Infizierte Server melden sich in einem IRC-Channel, in dem sie auf weitere Instruktionen der Angreifer warten.

Gartner Report - 97% aller Firmen mit Malware verseucht

2014-10-21 Basierend auf den Ergebnissen von FireEye, dass in 97% aller Firmen Malware zu finden ist, gibt es einen neuen Gartner Report zu diesem Thema.

Im Gartner Report "Malware is Already inside Your Organization: Deal With It" finden Sie unter anderem folgende Empfehlungen:

  • Verteilen Sie Ihre Investments über den Security Life Cycle
  • Gehen Sie davon aus, dass Ihr Organisation schon durch Malware infiziert ist
  • Sehen Sie sich neue Lösungen und Tools an, die Ihnen helfen, die komplexen Aufgaben im Security Bereich einfacher zu lösen.

 

ShellShock - noch drei weitere Sicherheitslücken

28. Sep 2014 ShellShock - immer neue Sicherheitslücken werden gefunden

Jetzt geht es Schlag auf Schlag: immer mehr Securitylücken werden in der Bash gefunden.

CVE-2014-6271 ... die "Originallücke"

CVE-2014-7169 ... die schon seit einigen Tagen bekannte zweite Lücke

CVE-2014-7186 ... neuer Off-by-One-Fehler im Parser-Code

CVE-2014-7187 ... neuer Off-by-One-Fehler im Parser-Code

CVE-2014-6277 ... ein Bug im ASLR - Address Space Layout Randomizer der Bash

Für die ersten beiden BUGs gibt es von den Herstellern (RedHat, Oracle,...) schon die ersten Patches. RedHat behauptet, dass auch die zwei Off-by-One Fehler im Patch vom Freitag, 26. September 2014 behoben werden - so ganz sicher ist das aber noch nicht.

Testen Sie, ob auch Ihre Bash anfällig ist!

Unter https://github.com/hannob/bashcheck finden Sie ein Script, mit dem Sie feststellen können, welche der bis jetzt bekannten Sicherheitslücken in der Bash bei Ihnen noch nicht behoben sind.

So schützen Sie sich vor dem Poodle

2014-10-15 - Der kürzlich veröffentlichte Poodle-Angriff erzwingt einen Rückfall einer verschlüsselten Verbindung auf das längst veraltete Protokoll SSLv3. Lässt sich das verhindern?

Ja - meistens!

Ein Poodle Angriff erzwingt in der Verschlüsselung einen Rückfall auf das veraltete Protokoll SSLv3. Aus Kompatibiltätsgründen unterstützen das nahezu alle Browser und auch die Server noch. Wirklich benötigt wird es jedoch eigentlich nicht mehr. Der beste Schutz ist also: abschalten.TLS v1.0 ist seit mehr als 10 Jahren Standard - alle gängigen Client und Server Produkte unterstützen sowohl dieses Protokoll als auch der Nachfolgeversionen.

Schützen Sie Ihren Browser

SSLv3 wird heutzutage nicht mehr benötigt. Bei Internet Storm Center finden Sie eine einfache Seite, die testet, ob Ihr Browser anfällig für Poodle-Angriffe ist. Relativ einfach geht das Abschalten von SSLv3 in Firefox. Dort öffnet man in der Adressleiste about:config, sucht dann nach tls und stellt die Option security.tls.version.min auf 1.

Dies ist im Grunde ungefährlich - Sie kommen damit dem Browser-Hersteller nur etwas zuvor. Mozilla hat bereits angekündigt, SSLv3 in Firefox 34, der am 25. November veröffentlicht werden soll, standardmäßig abzuschalten.

In Chrome ist es ein bisschen aufwändiger, da man den Browser mit der Kommandozeilen-Option --ssl-version-min=tls1 starten muss. Am einfachsten legt man sich einen entsprechenden Shortcut an. Im Internet Explorer kann man in den Internetoptionen unter Erweitert SSL 3.0 verwenden abwählen – und bei der Gelegenheit auch gleich TLS 1.1 und 1.2 aktivieren.

Server und andere Dienste

Alle gängigen Webserver unterstützen in den SSL Optionen TLS in verschiedenen Varianten. Bei anderen Programmen mit verschlüsselter Übertragung sollte Ihr Softwarehersteller auch auf dem neuesten Stand sein.

Quelle: Heise.de (http://www.heise.de/security/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html)

Bash-Lücke: ShellShock ist noch nicht vorbei

2014-09-25 - Die Sicherheitslücke in der Linux-Shell Bash, die nun unter dem Namen "ShellShock" firmiert, wird bereits als der schlimmere Bruder von Heartbleed bezeichnet. Sicher ist, dass der am Mittwoch ausgelieferte Patch weitere Lücken enthält.

Stimmen in der Security-Szene bezeichnen ShellShock bereits als ein größeres Sicherheitsdebakel als Heartbleed. So können unter anderem Webserver, die CGI-Skripte ausführen, darüber angreifbar sein. Diese Einschätzung ist durchaus diskutabel, sicher aber ist, dass die Lücke Systemadministratoren noch gehöriges Kopfzerbrechen bereiten wird. Außerdem ist sie wohl seit der ersten Bash-Version vorhanden, was bedeutet, dass Systeme bereits seit gut 25 Jahren verwundbar sind.

Unwirksamer Patch

Ähnlich wie bei Heartbleed schaut die ganze Hacker-Szene gerade auf Bash und klopft es nach weiteren Problemen ab. So ist jetzt schon herausgekommen, dass der am gestrigen Mittwoch von fast allen Linux-Distributionen ausgegebene Patch wohl die Lücke nicht vollständig stopft. Mit ein paar kreativen Änderungen lassen sich die Exploits zum Teil immer noch nutzen. Linux-Distributor Red Hat untersucht das neue Problem gerade. Im Unterschied zur Original-Lücke (CVE-2014-6271) wurde dem neuen Problem nun die CVE-Nummer 2014-7169 zugeteilt, um weitere Patches zu koordinieren. Auf Mac OS sind immer noch beide Lücken offen.

Mittlerweile gibt es ein Metasploit-Modul, um Schadcode mit Root-Rechten aus einer virtuellen Maschine in VMware Fusion heraus auf Mac OS auszuführen und mit einem weiteren kann man verwundbare Systeme im Netz aufspüren. Außerdem soll ein DDoS-Botnetz die Lücke bereits ausnutzen.
Das ganze Ausmaß der Katastrophe

Wie auch schon bei Heartbleed hat Robert Graham von Errata Security das Internet nach angreifbaren Systemen durchsucht, fand aber nur einige Tausende im Gegensatz zu Hunderttausenden beim SSL-Gau – wobei sein Skript wohl einen Fehler enthielt und er beim nächsten Scan mehr Treffer erwartet. Die niedrigere Zahl von verwundbaren Systemen hat wahrscheinlich damit zu tun, dass neuere Web-Frameworks in der Regel kein CGI einsetzen. Bei den Treffern wird es sich um ältere CGI-Anwendungen handeln, welche in Bash geschrieben sind oder die Funktionen der C-Bibliothek system() und popen() verwenden.

Obwohl also weniger Server anfällig zu sein scheinen als bei Heartbleed, ist die Sicherheitslücke für betroffene Systeme doch gravierend, da der Angreifer sofort die volle Kontrolle über den Server an sich reißen kann. Graham warnt deshalb davor, dass die Lücke ausgenutzt werden könnte, um einen Wurm zu schreiben, der von Server zu Server springt. Er will bereits Angreifer ausgemacht haben, die sein Portscanner-Tool Masscan einsetzen, um Schadcode an betroffene Rechner zu verteilen.

Ein Grund zum Aufatmen ist allerdings, dass Busybox nicht betroffen ist. Damit sind die meisten Embedded-Linux-Systeme wie zum Beispiel Router, die Busybox an Stelle von Bash und den GNU-Kommandozeilentools einsetzen, nicht angreifbar. Andererseits sollen eine Reihe von ICS- und SCADA-Systemen, die in Industrieanlagen zum Einsatz kommen, trotzdem angreifbar sein, da auf ihnen Bash vorhanden ist. Das Problem hier ist, dass es in der Regel Monate dauert, bis die Hersteller Updates liefern – wenn sie es überhaupt tun.

Quelle: heise online http://heise.de/-2403607