MONTHLY SECURITY SUMMARY Ausgabe November 2016

Bildquelle: https://pixabay.com/photo-1587301/

FOKUS

HERAUSFORDERUNGEN DER ZUKUNFT

Ausgabe 11/2016

November 2016: Über Vorhersagen Arthur Ellsworth Summerfield war der 54. Postmaster General der Vereinigten Staaten von Amerika, im Amt von 1953 bis 1961. Zwei Jahre nach seinem Amtsantritt, in 1955, äusserte er sich zur Zukunft des Postverkehrs mit dem Zitat: Before man reaches the moon your mail will be delivered within hours from New York to California, to England, to India or to Australia by guided missiles. We stand on the threshold of rocket mail. Bis heute müssen (oder dürfen) wir auf die Postzustellung mittels Langstreckenraketen verzichten. Doch illustriert Summerfield‘s Aussage exzellent, dass Vorhersagen am Ende des Tages dennoch nur mögliche Szenarien einer kommenden Entwicklung mit variierenden Eintrittswahrscheinlichkeiten bleiben. Eine Tatsache, die uns in den vergangenen Tagen wiederholt vor Augen geführt wurde. Trotzdem möchten wir in der vorliegenden Ausgabe unseren Blick nach Vorne richten und gemeinsam mit Ihnen die Herausforderungen der Zukunft, unseren aktuellen Themenschwerpunkt, erkunden. Bei der Lektüre wünschen wir Ihnen viel Vergnügen. Stefan Friedli Head of Auditing

Bildquelle: https://flic.kr/p/8Nmx6h

scip AG Badenerstrasse 623 8048 Zürich Switzerland +41 44 404 13 13 https://www.scip.ch

2

Ausgabe 11/2016

NEWS

WAS IST BEI UNS PASSIERT?

EXPERTENKOMMENTAR ZU BREITFLÄCHIGEN DDOS-ATTACKEN Wie verschiedene Medien berichten, sind heute mehrere Internet-Dienste nicht erreichbar. Dazu gehören bekannte Grössen wie Twitter, Paypal, Reddit, Whatsapp, Netflix und Spotify. Die Tageszeitung Blick diskutiert den spannenden DDoS-Angriff ebenfalls und der Journalist Roman Rey interviewt dazu Marc Ruef.

INTERVIEW ZU EXPLOIT-PREISEN In der Tageszeitung 20 Minuten wird im Beitrag Das dreckige Geschäft mit digitalen Waffen die Preisstruktur von Exploits diskutiert. Im Artikel des Journlisten Tobias Bolzern kommt Marc Ruef zu Wort, der Auskunft über die Gestaltung der Preise und Hintergründe des Markts gibt.

INTERVIEW ZU DARKNET FÜR COOP RECHTSCHUTZ Die aktuelle Ausgabe des Kundenmagazin der Coop Rechtschutz AG beschäftigt sich sehr intensiv mit dem Thema Cybercrime. Unter anderem findet sich darin ein mehrseitiges Interview der Journlistin Christine Brand mit Marc Ruef, der sich zur Beschaffenheit des Darknets sowie die Ermittlungsstrategien äussert.

Weitere News zu unserer Firma finden Sie auf unserer Webseite. 3

Ausgabe 11/2016

SCIP BUCHREIHE AUSGABE 7

UNSER AKTUELLES BUCH

Das verflixte siebente Jahr merkt man Labs, der regelmässigen Publikation der scip AG nicht an: Mit der Verlässlichkeit eines Uhrwerkes erscheinen die Artikel der Mitarbeiter aus allen Geschäftsbereichen der scip AG allwöchentlich und erreichen mittlerweile eine Leserschaft, die zu den grössten im deutschsprachigen Bereich gehört. Weniger vorhersehbar sind die Themen, mit denen sich Labs beschäftigt: Der Bereich der Informationssicherheit ist so vielschichtig und schnelllebig, nicht selten finden tagesaktuelle Themen noch binnen Wochenfrist ihren Weg zur Veröffentlichung. Es überrascht daher wenig, dass der dritte Sammelband, Labs 7, eine Selektion mit interessanter Bandbreite zusammenfasst: Von Wearables über Drohnen bis hin zu klassischen Themen wie Datenverschlüsselung oder Compliance . Mit einem Vorwort von Pascal Adam, Chief Information Security Officer der Schweizer Parlamentsdienste und Dozent an der Telematikschule Bern.

Weitere Informationen auf unserer Webseite.

4

WER RISIKEN KENNT, KANN SIE AUCH EINGEHEN.

Bildquelle: https://pixabay.com/photo-1135923/

Ausgabe 11/2016

STEFAN FRIEDLI

INFORMATIONSSICHERHEIT SIE MUSS ERWACHSEN WERDEN

An keinem Punkt der Vergangenheit hat Onlinesicherheit mehr Beachtung in den traditionellen Newskanälen erhalten als heute. Cyberspace, die sogenannte Fifth Domain ist mittlerweile derart wichtig geworden, dass grosse Einbrüche wie der Yahoo Hack Millionen über Millionen von Benutzern betreffen. Erstaunliche Zahlen, bei denen einem durchaus schwindlig werden kann, wenn man bedenkt, dass Informationssicherheit ursprünglich eine Nische der Informatikwelt dargestellt hat. Befragt man praktizierende Experten zu Ihrer Motivation in diesem Feld zu arbeiten, nennen viele eine inhärente Neugier und den Nervenkitzel bei der Jagd nach neuen Schwachstellen. Am Ende des Tages geht es in Sicherheitsfragen aber nicht nur um den Angriff: Die defensive Seite ist mindestens genau so wichtig. Wir müssen Lösungen bauen und die breite Bevölkerung über die Risiken aufklären, denen jeder Bürger gegenübersteht. Es ist unsere Aufgabe, verschiedenen Demographien die Werkzeuge aufzuzeigen, die zur Verfügung stehen, um diesen Risiken zu trotzen.

Als Hillary Clinton’s Kampagnenmanager John Podesta vor kurzem Opfer eines Phishing-Angriffs wurde, dauerte es nicht lange, bis Kommentatoren die Schuld bei Podesta suchten. Aber die Wahrheit ist: Jeder, sogar erfahrene Informatikspezialisten, hätten ein Opfer einer solid aufgebauten Angriffskampagne werden können. Es ist unglaublich wichtig, dass wir verstehen und zur Kenntnis nehmen, dass Sicherheit nicht allein in der Verantwortung des Benutzers liegen kann oder soll. Um die alte, aber durchaus passende Auto-Metapher anzustrengen: Wenn ein Auto verkauft wird, steht der Sicherheitsgurt nicht zur Diskussion. Es besteht keine Auswahlmöglichkeit, zu deren Konstruktion oder Material. Er ist einfach da und erfüllt den angedachten Zweck und mitigierten die entsprechenden Risiken. Diesen Grad an implizierter Sicherheit müssen wir in allgemein zugänglicher Technologie erreichen, wenn wir Sicherheit wirklich mit der Signifikanz behandeln wollen, die das Thema verdient.

6

Ausgabe 11/2016

„

Wenn wir sichere Technologie eine Realität machen wollen, gibt es keinen anderen Weg als eigene, neue Lösungen zu erarbeiten.

“

Dennoch: Teile der InformationssicherheitsCommunity halten an einer technokratischen, elitären sowie teils schlicht und einfach unfreundlichen Einstellung gegenüber Individuen ausserhalb ihres inneren Zirkels – und teilweise innerhalb des Selbigen – fest. In der Vergangenheit habe ich mich wiederholt gegen dieses selbstgefällige Gefühl der Überlegenheit ausgesprochen, das wir als Gemeinschaft oftmals zeigen. Wir bezeichnen Benutzer als dumm, weil sie auf Dinge klicken, die ihnen schaden und realisieren dabei nicht, dass der Weg dieses Problem zu lösen darin liegen sicherzustellen würde, dass Security Controls bösartige Inhalte erkennen und mitigieren, bevor ein Klick überhaupt ein potenzielles Risiko darstellen könnte. Und dort hört die Problematik nicht auf. Ich könnte diesen Blog Post mit Beispielen unkonstruktiven, herablassenden Verhaltens füllen – ich habe mich jedoch bewusst entschieden darauf zu verzichten, um nicht ein Teil des selben Problems zu werden, das ich an dieser Stelle kritisiere.

Wir, die Informationssicherheits-Community, sehen uns heute mit harten und herausfordernden Zeiten konfrontiert. Das beinhaltet, dass wir uns mit dem militärischen Konzept von Acceptable Losses anfreunden müssen, zumal wir nicht am Konzept von (Un-) Sicherheit als absolutes Schwarz/Weiss Modell festhalten können. Während unsere Industrie Tag für Tag relevanter wird, müssen wir uns dieser Herausforderung stellen und die Adoleszenz unserer jungen Industrie hinter uns lassen. Wir können nicht verantworten, dass sich Cybercrime-Syndikate rapide professionalisieren, während unsere Branche von Sicherheitsexperten damit beschäftigt ist, sich gegenseitig anzugreifen und Hersteller-Parties an der BlackHat zu besuchen.

7

Ausgabe 11/2016

In den vergangenen Monaten haben wir uns wiederholt und unermüdlich dafür eingesetzt, einfache Tools einer breiten Masse zugänglich zu machen, um mehr Sicherheit für alle zu schaffen. Zwei-Faktor Authentisierung und Passwortmanager sind dabei nur zwei Aspekte. Ich beschäftige mich derzeit auch aktiv mit Secure Development Modellen und Prozessen, um Sicherheit als inhärenten Bestandteil in Software zu etablieren. Beide diese Dinge sind schwierig, aber unglaublich befriedigend. Denn klar ist: Wenn wir sichere Technologie eine Realität machen wollen, gibt es keinen anderen Weg als eigene, neue Lösungen zu erarbeiten, statt andere für unsere Probleme verantwortlich zu machen.

Stefan Friedli [email protected] +41 44 404 13 13

8

Ausgabe 11/2016

next gen vulnerability intelligence

VulDB

Melden Sie sich für die Private Beta an! Tägliche Dokumentation neuer Schwachstellen, detaillierte Analyse der technischen Hintergründe, exklusive Details zu Exploiting und Gegenmassnahmen. Melden Sie sich auf vuldb.com/?contact an und erhalten Sie einen exklusiven Invite für die Private Beta.

official data provider

> https://vuldb.com https://vuldb.com 9

Ausgabe 11/2016

MICHAEL SCHNEIDER

CREDENTIAL UND DEVICE GUARD WENDET SICH DAS BLATT?

In Microsoft Windows gibt es zwei Schwachpunkte, die seit Jahren erfolgreich für Angriffe ausgenutzt werden: Ausführen von beliebigem Code und Auslesen von Zugangsdaten aus dem Speicher. Die Gegenmassnahmen von Microsoft haben bisher nicht die erwünschte Wirkung erzielt. Es wurden verschiedene Whitelisting-Ansätze präsentiert, um die Ausführung von Code zu verhindern. Diese können jedoch teilweise umgangen, oder gar von einem Angreifer, der administrative Rechte erlangt hat, deaktiviert werden. Hat ein Angreifer Kontrolle über das Betriebssystem erlangt, kann dieser die vorhandenen Kontrollsysteme manipulieren. Dies ist das schwache Glied in der Kette. Das Auslesen von KlartextPasswörtern kann mittlerweile durch eine restriktive Konfiguration unterbunden werden.

Es ist aber nach wie vor möglich NTLM-Hashes auszulesen, die für Pass-the-Hash-Angriffe verwendet werden können. Auch hier gilt, dass ein Angreifer mit Kontrolle über das System, eine restriktive Konfiguration manipulieren kann. Mit der Einführung von Windows 10 präsentierte Microsoft die Funktionen Credential Guard und Device Guard, welche diese bestehenden Schwachstellen schliessen sollen. In diesem Beitrag stellen wir diese Funktionen vor und schätzen deren Einfluss auf die Sicherheit des Betriebssystems ein.

10

Ausgabe 11/2016

VIRTUAL SECURE MODE Die wesentliche Neuerung von Credential Guard und Device Guard ist die Nutzung von Virtualisierungstechniken, um eine Isolation dieser Funktionen vom Betriebssystem zu erreichen und somit diese besser vor einem Angreifer oder Malware schützen zu können. Beide basieren auf der Technologie Virtual Secure Mode (VSM). VSM ist ein geschützter Container, der in einem Hyper-V Hypervisor betrieben wird, und dadurch vom Windows 10 Host und dessen Kernel isoliert ist. Innerhalb dieses Containers kann nur explizit erlaubter Code ausgeführt werden. Dabei wird eine konstante Prüfung der Code-Integrität durchgeführt. Microsoft bezeichnet diese Technologie auch als Virtualization Based Security (VBS).

VSM setzt analog wie der Betrieb einer herkömmlichen virtuellen Maschine auf hardwarebasierte Schutzvorkehrungen. Der Hypervisor nutzt die Virtualisierung-Erweiterungen des Prozessors, um Zugriff auf Daten im Speicher zu schützen und sicherzustellen, dass jede Instanz nur auf eigene Daten zugreifen kann. Der Windows Kernel hat demzufolge keinen direkten Zugriff auf den VSM-Container. Aktuell können drei Funktionen in VSM ausgeführt werden: 1. Local Security Authority (LSA) 2. Code-Integrität-Kontrolle in der Form der Kernel Mode Code Integrity (KMCI) 3. Die Hypervisor eigene Code-IntegritätKontrolle namens Hypervisor Code Integrity (HVCI)

11

Ausgabe 11/2016

Anforderungen und Installation Damit der Virtual Secure Mode genutzt werden kann, muss die Hardware des Geräts die folgenden Punkte erfüllen: 

UEFI (Native Mode) und Secure Boot aktiviert



Unterstützung für Windows 64 Bit (Enterprise Version)



Second Layer Address Translation (SLAT) und Virtualization Extensions (Intel VT oder AMD V)



Trusted Platform Module (TPM) wird empfohlen

Für die Optionen Virtualization Based Protection of Code Integrity und Credential Guard Configuration kann die Einstellung Enabled with UEFI lock gewählt werden. Diese Massnahme verhindert, dass diese Optionen remote deaktiviert werden können. Um diese zu Deaktivieren, muss die UEFI-Konfiguration lokal am Gerät zurückgesetzt werden. Nach der Aktivierung des Virtual Secure Mode können Credential Guard und Device Guard eingesetzt werden.

Das Windows Feature Hyper-V Hypervisor muss anschliessend installiert werden, die Hyper-V Komponenten werden nicht benötigt. VSM selbst wird über die Group Policy Turn On Virtualization Based Security unter dem Pfad Computer Configuration\Administrative Templates\System\Device Guard verwaltet.

12

Ausgabe 11/2016

CREDENTIAL GUARD Die Funktion Credential Guard sichert den Zugriff auf System- und Benutzer-Kennwörter ab, damit im Falle einer Kompromittierung des Systems das Auslesen von Domänen-Zugangsdaten nicht mehr möglich ist. Dazu werden Zugangsdaten, die bisher im Speicher des Prozess Local Security Authority (LSA) abgelegt wurden, in einen virtualisierten und isolierten LSA-Prozess ausgelagert. Der isolierte LSAProzess namens LsaIso besteht nur aus einem reduzierten Set von Betriebssystem-Binärdateien, die für den eigentlichen Betrieb benötigt werden. Diese Binärdateien sind allesamt signiert und diese Signaturen werden jeweils vor der Ausführung validiert. Die Zugangsdaten sind für das Betriebssystem nicht mehr direkt erreichbar, der LSA-Prozess fragt diese über Remote Procedure Calls ab. Somit soll sichergestellt werden, dass ein unbefugter Zugriff auf Zugangsdaten nicht möglich ist. Zurzeit können mit Credential Guard NTLM- und KerberosZugangsdaten von Domänen-Accounts geschützt werden. Zu beachten ist, dass lokale Konten und Microsoft Accounts durch Credential Guard nicht geschützt werden.

Das Tool Mimikatz, vorgestellt im Beitrag Windows Passwörter – Ein wohlbekanntes Geheimnis, kann unter anderem Zugangsdaten aus dem Speicher des LSAProzesses lesen und ist deshalb ein idealer Testkandidat für Credential Guard. In einer Standardinstallation von Windows 10 ist es möglich den NTLMHash eines Benutzers auszulesen (siehe Bild 1 oben). Nach Aktivierung von Credential Guard kann dieser nicht mehr ausgelesen werden (siehe Bild 2 oben).

13

Ausgabe 11/2016

DEVICE GUARD Das Ziel der Funktion Device Guard ist die Ausführung von bösartigem Code zu verhindern. Es handelt sich um eine Whitelisting Lösung mit einem signaturbasierten Ansatz. Es soll nur Code ausgeführt werden, der als bewusst gutartig eingestuft wurde. Device Guard blockt das Laden von Treibern, schränkt die Ausführung von Binärdateien (inklusive DLLs) im User Mode, MSI sowie Skripte (PowerShell, Windows Script Host, VBS, JS, WSF und WSC) ein, welche nicht explizit erlaubt wurden. Bei PowerShell werden Skripte grundsätzlich im Constrained Language Mode betrieben; es sei denn, sie wurden explizit zur Ausführung freigegeben. Der Vorteil von Device Guard gegenüber anderen Lösungen, wie Microsoft AppLocker, ist die Verwendung der Virtualization Based Security und somit der Isolation vom Rest des Betriebssystems. Dadurch ist die Policy vor Manipulationen durch Administratoren oder Malware mit entsprechenden Ausführberechtigungen geschützt.

Device Guard besteht aus den folgenden drei Primärkomponenten: 

Configurable Code Integrity (CCI): Stellt sicher, dass nur vertrauenswürdiger Code nach Start des Boot Loaders ausgeführt wird



VSM Protected Code Integrity: Die CodeIntegrität-Kontrolle für Kernel Mode Code Integrity (KMCI) und Hypervisor Code Integrity (HVCI) wird isoliert im VSM ausgeführt



Platform und UEFI Secure Boot: stellt sicher, dass Boot Binärdateien und die UEFI Firmware signiert sind und nicht verändert wurden

Für die Implementierung von Device Guard gelten ähnliche Anforderungen für VSM.

14

Ausgabe 11/2016

„

Das spannende Kopf-an-Kopf-Rennen zwischen Angriff und Verteidigung wird auch mit Credential und Device Guard weitergehen.

“

Die Erstellung einer Code Integrity Policy sollte auf einem System erfolgen, das alle erforderliche Software für den Betrieb enthält (Golden Image). Über das PowerShell Cmdlet New-CIPolicy wird das System auf installierte Anwendungen untersucht und auf dieser Basis eine Policy generiert. Die Policy liegt im XML-Format vor und wird vor Gebrauch mittels ConvertFrom-CIPolicy in ein Binärformat konvertiert. Der Deploy Guide des Microsoft Mitarbeiters Brian Lich bespricht alle zur Erstellung einer solchen Policy notwendigen Schritte. Die Device Guard Policy sollte zuerst immer im Audit Mode betrieben werden. Dabei werden Verstösse gegen die Policy zugelassen und nur im Event Log Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational aufgezeichnet. Damit kann sichergestellt werden, dass die Policy nicht für den Betrieb notwendige Applikationen blockiert. Falls mehrere Policies erstellt werden, beispielsweise eine Initial Policy sowie weitere Policies, die Spezialfälle behandeln, beispielsweise das Blockieren eines Programms, müssen diese zusammengelegt werden, da nur eine bi-

näre Policy pro Rechner verwendet werden kann. Dazu wird das Cmdlet Merge-CIPolicy eingesetzt. Als zusätzliche Schutzmassnahme kann für die CI Policy selbst eine Signaturprüfung aktiviert werden. EINSCHÄTZUNG – WENDET SICH DAS BLATT? Der Einsatz von Virtualisierungstechniken bringt einen neuen Sicherheitslevel für Windows mit sich. Da die sicherheitsrelevanten Funktionen vom Betriebssystem isoliert sind, wird der bisherige Schwachpunkt, dass ein Angreifer mit Kontrolle über das System Schutzmassnahmen aushebeln kann, mitigiert. Dies alleine ist ein grosser Schritt für die Sicherheit eines Systems.

15

Ausgabe 11/2016

Credential Guard unterbindet die momentan bekannten Angriffe auf den LSA-Prozess und verhindert so bis auf weiteres das Auslesen von Zugangsdaten aus dem Speicher. Sofern die HardwareAnforderungen erfüllt sind, kann Credential Guard über eine Group Policy aktiviert werden und muss nicht weiter konfiguriert oder angepasst werden. Es ist dementsprechend verhältnismässig einfach diese Funktion einzusetzen. Die Implementation von Credential Guard im Rahmen eines Windows 10 Rollouts wird als realistisch eingeschätzt. Der Aufwand für Angreifer an Domänen-Zugangsdaten zu gelangen wird dadurch zukünftig erhöht. Credential Guard ist ein Schritt in die richtige Richtung, kann aber nicht alle Angriffsformen unterbinden. So sind Angriffe über Phishing, Key Logger, sowie auf Zugangsdaten ausserhalb Credential Guard, oder auch direkt auf die Sitzung von angemeldeten Benutzern weiterhin möglich.

Die Implementation von Device Guard ist im Gegenzug einiges komplexer als Credential Guard. Durch den Einsatz von Signaturen sollte einerseits eine eigene PKI-Umgebung zur Verfügung stehen, damit eigene Code-Signing-Zertifikate eingesetzt werden können. Zudem besteht eine Abhängigkeit zu den Software-Herstellern, dass diese ihre Anwendungen ebenfalls korrekt signieren. Es ist zwar vorgesehen, dass Anwendungen ohne Signatur mit der Aufnahme von Hashes als Ausnahme in die Policy aufgenommen werden können. Bei einer heterogenen Umgebung mit vielen verschiedenen Anwendungen kann dies eine grosse Herausforderung darstellen. Zudem ist die Konfiguration einer wirkungsvollen Code Integrity Policy zurzeit nur über die PowerShell Cmdlets und Bearbeiten der XML-Datei möglich. Das Fehlen einer grafischen Konfigurationsoberfläche könnte einen hemmenden Einfluss auf die Verbreitung von Device Guard haben. Es ist daher davon auszugehen, dass Device Guard nur in wenigen Unternehmen in den kommenden drei bis fünf Jahren eingesetzt wird.

16

Ausgabe 11/2016

Der Security Researcher Casey Smith hat bereits einige Umgehungsmöglichkeiten einer Standard Code Integrity Policy gefunden. Durch den Einsatz von Debugger, des Tools MSBuild.exe des .NET Frameworks sowie des Tools CSI.exe für C# Scripting konnte eine Policy, generiert analog des Beispiels im Kapitel Device Guard, umgangen werden und es war möglich beliebigen Code auszuführen. Alle diese Bypasses basieren darauf, dass interne und vertrauenswürdige Windows-Tools zur Ausführung von zusätzlichem Code missbraucht werden können. Darauf hat Matt Graeber eine separate Policy als Gegenmassnahme für diese bekannten Bypasses erstellt. Durch die Anpassung von Matt werden diese Tools explizit blockiert, beziehungsweise erst zugelassen, wenn die minimale Versionsnummer 99.0.0.0 erreicht wurde. Das Kopf-an-Kopf-Rennen zwischen Angriff und Verteidigung wird auch mit Device Guard weitergehen.

FAZIT Credential Guard und Device Guard haben das Potential, punktuell die Sicherheitslandschaft zu verändern. Mit diesen beiden Funktionen werden unter Windows neue Sicherheitskontrollen basierend auf Virtualisierungstechniken eingeführt. Ob dieses Potential aber genutzt werden kann, hängt davon ab, ob diese Funktionen auch in der Praxis eingesetzt werden können. Vor allem bei Device Guard werden noch Jahre vergehen, bis eine grossflächige Implementation beobachtet werden kann. Es werden noch einige Jahre vergehen, dabei viele Zeilen von bösartigen Code ausgeführt und sensitive Zugangsdaten unerlaubt ausgelesen werden, bis sich das Blatt wirklich ändert.

Michael Schneider [email protected] +41 44 404 13 13

17

JEDE VERÄNDERUNG IST DIE MÖGLICHKEIT DER VERBESSERUNG

Bildquelle: https://pixabay.com/photo-664515/

Ausgabe 11/2016

V UL N ER A B I L I T Y S UMMA RY

AUSGEWÄHLTE SCHWACHSTELLEN DES AKTUELLEN MONATS

1 2 3 4

CISCO IOS XE BIS 3.18.1S AUF ASR 9000 TRANSACTION LANGUAGE 1 PUFFERÜBERLAUF https://vuldb.com/de/?id.93247 In Cisco IOS XE bis 3.18.1S auf ASR 9000 wurde eine sehr kritische Schwachstelle ausgemacht. Gegeben ist eine Pufferüberlauf-Schwachstelle im Zusammenhang mit Transaction Language 1. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $100k-$500k. Ein Aktualisieren auf die Version 3.17.3S oder 3.18.2S vermag dieses Problem zu lösen.

GOOGLE ANDROID KERNEL MEMORY SUBSYSTEM ERWEITERTE RECHTE https://vuldb.com/de/?id.93517 In Google Android wurde eine sehr kritische Schwachstelle ausgemacht. Betroffen ist das Kernel Memory Subsystem. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Schwachstelle wurde am 07.11.2016 als Android Security Bulletin - November 2016 in Form eines bestätigten Security Bulletins (Website) öffentlich gemacht. Ein Exploit zur Schwachstelle wird momentan etwa USD $25k-$100k kosten. Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen.

VMWARE WORKSTATION/FUSION DRAG AND DROP OUT-OF-BOUNDS PUFFERÜBERLAUF https://vuldb.com/de/?id.93603 Es wurde eine kritische Schwachstelle gefunden. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird. Ein Aktualisieren vermag dieses Problem zu lösen.

LINUX KERNEL 4.0 TCP_COLLAPSE DENIAL OF SERVICE https://vuldb.com/de/?id.93614 Eine Schwachstelle wurde in Linux Kernel 4.0, ein Betriebssystem, gefunden. Sie wurde als kritisch eingestuft. Hierbei geht es um die Funktion tcp_collapse. Durch Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Ein Upgrade auf die Version 4.9-rc1 vermag dieses Problem zu beheben.

19

Ausgabe 11/2016

VULNERABILITY LANDSCAPE

AKTUELLE STATISTIKEN AUS UNSERER VULDB MEISTEXPONIERTE PRODUKTE IM VERGANGENEN MONAT

VERLAUF DER RISIKEN DER VERGANGENEN 12 MONATE 100% 90%

80% 70% 60% 50%

40% 30% 20%

10% 0%

Nov 15

Dez 15

Jan 16

Feb 16

Mar 16

Apr 16

Mai 16

Jun 16

Jul 16

Aug 16

Sep 16

Okt 16

7

3

7

7

7

25

30

6

109

8

8

46

25

kritisch

191

470

349

199

282

383

401

296

551

308

425

519

219

problematisch

157

171

402

166

138

311

222

227

308

212

414

364

179

sehr kritisch

Nov 16

Datenquelle: https://vuldb.com/de/ 20

Ausgabe 11/2016

S CI P M ON T H LY S ECUR I T Y S UM M A RY

IMPRESSUM ÜBER DEN SMSS Das scip Monthly Security Summary erscheint monatlich und ist kostenlos. Anmeldung: [email protected] Abmeldung: [email protected] Verantwortlich für diese Ausgabe: Stefan Friedli & Marc Ruef

Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion des Herausgebers, den Redaktoren und Autoren nicht übernommen werden. Die geltenden gesetzlichen und postalischen Bestimmungen bei Erwerb, Errichtung und Inbetriebnahme von elektronischen Geräten sowie Sende und Empfangseinrichtungen sind zu beachten.

ÜBER DIE SCIP AG

Wir überzeugen durch unsere Leistungen. Die scip AG wurde im Jahr 2002 gegründet. Innovation, Nachhaltigkeit, Transparenz und Freude am Themengebiet sind unsere treibenden Faktoren. Dank der vollständigen Eigenfinanzierung sehen wir uns in der sehr komfortablen Lage, vollumfänglich herstellerunabhängig und neutral agieren zu können und setzen dies auch gewissenhaft um. Durch die Fokussierung auf den Bereich Information Security und die stetige Weiterbildung vermögen unsere Mitarbeiter mit hochspezialisiertem Expertenwissen aufzuwarten.

Weder Unternehmen noch Redaktion erwähnen Namen von Personen und Firmen sowie Marken von Produkten zu Werbezwecken. Werbung wird explizit als solche gekennzeichnet. scip AG Badenerstrasse 623 8048 Zürich Switzerland +41 44 404 13 13 www.scip.ch

21