8. November 2007

Patchmanagement und Risikoanalyse von Vulnerabilities

Category: Hacking,Produktion,Work — Christian @ 16:20

Es gibt viele Sicherheitslücken für die keine öffentlichen Exploits verfügbar sind und scheinbar auch nicht mehr entwickelt werden. Ein Beispiel ist eine der aktuellen Sicherheitslücken in Apple Quicktime. Hier gibt es auf SecurityFocus eine Meldung „Apple QuickTime Panorama Sample Atoms Remote Heap Buffer Overflow Vulnerability“ mit der Bugtraq-ID 26342 und wenn man nach dem Exploit schauen möchte erhält man die Meldung:

    „Currently we are not aware of any exploits for this issue. If you feel we are in error or if you are aware of more recent information, please mail us at: vuldb@securityfocus.com.“

Klingt gut. Die Risikobewertung sieht dann vielleicht so aus:

Risikobewertung Beschreibung
sehr hoch Exploits sind verfügbar und werden großflächig eingesetzt. Dies würde beispielsweise bei einem Browser-Exploit zutreffen, der von einer Vielzahl von Webseiten genutzt wird die auch noch aktiv z.B. per Spam beworben werden.
hoch Exploits existieren, sind jedoch nicht öffentlich verfügbar. Das Risiko wird hoch eingestuft, da diese Exploits vermutlich käuflich zu erwerben sind oder jederzeit veröffentlicht werden können, die Exploits werden jedoch voraussichtlich nicht sofort weit verbreitet eingesetzt.
normal Eine Sicherheitslücke existiert, es gibt jedoch keine bekannten Exploits. Das kann daran liegen, dass entweder nicht klar ist wie die Lücke tatsächlich ausgenutzt werden kann oder der Fehler wurde vom Hersteller entdeckt und behoben, daher gibt es keine Exploits.
gering Sicherheitslücken existieren möglicherweise, es gibt jedoch keine bekannte bestätigte Lücke und folglich auch keinen Exploit. Potentiell besteht jedoch immer die Gefahr von Zero Day Vulnerabilities

Das Problem mit dieser Risikobewertung ist der zeitliche Verlauf. Aufgrund der Einstufung einer Schwachstelle als „normal“ unterbleibt gerade bei Systemen in einer Produktionsanlage oft das Testen und Installieren eines Patches. Gerne auch mal für einige Jahre. Wenn dann sehr viel später ein Exploit programmiert wird, springt das Risiko von „normal“ auf „hoch“, es gibt jedoch niemanden mehr, der diese Schwachstelle und das zugehörige Exploitpotential beobachtet.

Ein sehr schönes Beispiel ist gerade auf SecurityFocus zu finden. Die Schwachstelle „Sun Solaris RWall Daemon Syslog Format String Vulnerability“ mit der BID 4639 ist schon etwas älter, genau genommen 2002 von Gobbles (kann sich eigentlich noch jemand an den Gobbles-Krieg gegen Theo de Raad und den Apache-scalp.c chunked encoding Bug Exploit erinnern?) entdeckt worden und hat lange keine größere Rolle gespielt.

Jetzt steht diese uralte Lücke plötzlich ganz weit oben mit dem Vermerk „Updated: Nov 08 2007 12:05 AM“ und auf der Exploit-Seite findet man den Hinweis:

    „UPDATE: Core Security Technologies has developed a working commercial exploit for its CORE IMPACT product. This exploit is not otherwise publicly available or known to be circulating in the wild.“

Den gleichen Vermerk findet man in mehreren Einträgen, vermutlich Folge eines neuen Releases von Core Impact. Betroffen sind mindestens die BID 3681, 4639 und 1480.

Beobachtet eigentlich noch irgendwer die alten ungepatchten Lücken über die man vor vier oder fünf Jahren mal lange diskutiert hatte?

4 Comments

  1. hi, finds schade das du nie kommentare kriegst, da deine postings eigentlich meistens ziemlich interessant sind.
    in diesem sinne: weiter so 🙂 ich empfehle diesen blog jedenfalls gern weiter.

    ps: die drei felder in diesem formular hier (name, mail, website) sind farblich ungeschickt… weiß auf grau

    Comment by NexNo — 8. November 2007 @ 18:59

  2. Ich stimme NexNo in *allen* Punkten zu 🙂 Schoenes Wochenende!

    ports

    Comment by ports — 9. November 2007 @ 09:32

  3. Ach ja … Kommentare … im Grunde schreibe ich das Blog erstmal für mich. Viele Beiträge sind sozusagen eine Gedächtnisstütze für mich, damit ich Themen die mich interessieren auch wiederfinde. Die Suche ist da meine größte Hilfe. Ob die Seite Traffic erzeugt oder hohe Zugriffe ist mir im Grunde egal. Hier wird jetzt und auch in Zukunft (ausgenommen für NESEC, wo ich arbeite) keine Werbung geschaltet. Es gibt höchstens die Schleichwerbung für die Veranstaltungen an denen ich beteiligt bin.

    Folglich sind mir die Zugriffszahlen auch nicht besonders wichtig und werden auch nicht ausgewertet. Ich habe ehrlich nicht die geringste Ahnung, wie viele hier mitlesen und ich möchte sowas wie Google Analytics auch nicht einsetzen, das ist mir ein zu starker Eingriff in die Privatsphäre. Ich freue mich natürlich über Kommentare und ich kenne auch eine Menge Leute die mir Kommentare per Mail schicken und sie nicht hier reinschreiben. Andererseits ist IT-Security halt ein Spezialthema und das zieht natürlich weniger Kommentare an als z.B. das Blog von Robert Basic oder Björn Harste, wo jeder mitreden kann.

    Zum Thema Design/Layout … ich werde mal kucken, was ich am CSS machen kann aber da ich davon auch nicht wirklich Ahnung habe keine Garantie, daß sich was ändert. Ich habe nur das freundlicherweise von Vlad zur Verfügung gestellte WP-Design genommen und fertig. Und ich finde das Bahnhofsbild oben einfach gut. „Restmüll“ ist doch ein hervorragendes Motto, oder? 🙂

    Comment by Christian — 10. November 2007 @ 17:08

  4. Kommentare gesperrt wegen Spam

    Comment by Christian — 15. März 2009 @ 20:10

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.