Category Archives: Security

WinSec: Zugangsdatenhash in unter 2 Sekunden geklaut

Posted on by

Der Rechnerarbeitsplatz ist verwaist, der Screensaver mit Passworteingabe saved so vor sich in, und doch sind die Logindaten jetzt bei jemand anderem?

Was nach Magie klingt, ist lediglich das Ausnutzen von aktuellen Mechanismen unter Windows, MacOs und vielleicht auch Linux. Der Angreifer ist dabei ein kleiner USB Stick, der sich als Netzwerkkarte ausgibt und eine schnellere und bessere Netzwerkanbindung verspricht, als die Netzwerkkarte zu bieten hat. Akzeptiert das Betriebssystem die neue Netzwerkkarte als besser, trennt es die bisherigen Netzwerkverbindungen auf und erstellt über den neuen Link sofort neue Verbindungen.  (DHCP ist da nicht ganz schuldlos dran.)

Was kann dabei schon schief gehen, ist doch alles verschlüsselt !

Ja, was kann da schon schief gehen, wenn man sich als SMB Client, Unixern besser bekannt als Samba, als ein Netzwerklaufwerk neu an einem Netzwerkgerät anmeldet ? Na, das Passwort wird erneut übertragen, was im Fall von Samba ein Passwordhash ist und der ist bei Nativem Windows, wer hätte es erraten, nicht sicher. Deswegen Blocken Router Samba auch per Default, damit es keine Passwörter und Usernamen verrät. Ja, der Username wird in Klartext übermittelt 😀

Der Gag am Rande, SMB schickt den Usernamen und Hash unaufgefordert zum Netzwerkgerät, selbst wenn man da noch nie angemeldet war, weil es könnte ja einen User mit dem Passwort dort geben und dann soll der verdammt nochmal auch gleich das Laufwerk benutzen können.

SMB Entwickler: Laßt Euch von der Marketingabteilung nicht immer alles  gefallen, Ihr Weicheier ! Steht auch mal für ein „Nein, ist uns zu unsicher.“ ein !

Wer wars, was benutzte er dazu ?

Hacker Mubix beschreibt in seinem Beitrag wie er mit einer 50 US$ Hardware den Angriff in 15 Sekunden durchführt. Dazu läuft auf dem USB Stick ein Minicomputer mit Linux der einen Sambashare simuliert und einfach alle IPs bedient.

Besser verständlich ist allerdings ein Video von Hak5 über einen anderen Angriff, der die gleiche Lücke von SMB ausnutzt, aber nur funktioniert, wenn der User eingeloggt ist. Dafür braucht er nur 1,5 Sekunden dafür, und dafür reicht schon ein simples Ablenkungsmanöver.

Gegenmaßnahmen

So leid es mir tut, dies zu sagen, aber außer Ausschalten hilft da nichts, weil aus einem Standby könnte der Angreifer den Rechner rausholen, die Netzwerkkarte zu deaktivieren und damit das Netz lahmlegen nutzt auch nichts, weil das USB Gerät ist ja eine Netzwerkkarte und genau die will das OS haben.  Man müßte schon in Windows das automatische akzeptieren von USB Geräten abschalten. Lustigerweise wird das für Storage-Sticks auch gemacht, aber eine USB-Ethernetkarte ist halt kein Storage-Stick 😀  Mal sehen ob M$ ein Einsehen hat und einen Patch rausbringt, daß wenn der Screensafer läuft, keine Automatismen greifen.

Neuer User-Land RootKit aufgetaucht

Posted on by

Trend Micro hat einen neuen RootKit für Linux auf Basis von 686, x64 und ARM entdeckt und analysiert. Der Bericht ist ganz interessant und jedem nur zu empfehlen. Das RootKit wurde Umbreon getauft, da sich der RootKit-Author bei der Namensfindung im Pokemon Umfeld bedient hat.

Kurz zusammengefaßt hat das RootKit folgende Eigenschaften:

Es läuft im Usermodus, also ohne Kernelmodule
es erlaubt einen Backdoorzugang u.a. per SSH/FTP zum System, den man nur beim Zugriff sieht,es filtert Ausgaben von Programm geschickt, so daß seine Existenz nicht mit Bordmitteln aufzudecken ist,
es filtert den Netzwerktraffic der Backdoors aus, so daß ein Tcpdump das nicht anzeigen würde,
und es patched so ziemlich jede wichtige Funktion der Libc Bibliothek.

Es kann daher nur mit einer LiveCD entfernt werden.

Finden kann man es durch ein spezielles Testprogramm, daß die Funktionen der LibC Bibliothek umgeht und direkt mit dem Kernel spricht. Damit das nicht zu einfach ist, erweitert das RootKit seine Dateien mit zufälligen Zeichenfolgen, die, wenn sie dem User auffallen, es verraten, was der RootKit dem Benutzer gegenüber erfolgreich verschleiert, aber eine automatisierte Suche mit einem Testtool erschwert.

Trend Micro hat auch gleich noch eine Anleitung veröffentlicht, wie man das Kit wieder los wird. Da es in erster Linie manuell installiert wird, also der Hacker Zugang zum System hat, ist es vergleichsweise schwer ein System zu infizieren, wenn man seinen Rechner nicht unbeaufsichtigt rumstehen hat und alle Updates einspielt. Auf das Nicht-Ausführen von per Email ankommenden Dateien, brauche ich ja meine Leser nicht extra hinzuweisen.

Eine Anmerkung: Seit wir in der Firma die Schranken für unfreiwillig zugeschickte ZIP / Docx usw. Dateien hochgezogen haben, verhungern bei uns die Spamanalysten 😀

Cold-Calls: Die OEG aus München

Leute, wieder eine neue Nummer die man getrost blocken kann in seinem Handy oder der Fritzbox:

0152 18944871

Die Nummer gehört zur „OEG“ den (selbsternannten) „Optimierungs-Experten-Gruppe“ aus München.

Cold-Calls kommen ja häufig vor und einige am Telefon sind ja auch wenigsten ganz nett, aber diese Firma ist wohl einfach nur peinlich. Grund des Anrufs war „Gesetzliche Änderungen zur Privaten Krankenversicherung“ .. is klar, aber müßte man dazu nicht auch Privat versichert sein und würde das nicht auch durch die Krankenkasse erläutert werden, wie das bei „Gesetzlichen Änderungen“ so üblich ist ? Wir werden es nie erfahren, denn auf die Rückfrage, wer denn zum Geier die OEG wäre, haben die einfach aufgelegt 😀

Der nächste Satz wäre übrigens gewesen : „Ich möchte Sie informieren, daß dieses Gespräch, beginnend mit diesem Satz, aufgezeichnet wird. Falls Sie damit nicht … “ und weiter werdet Ihr nicht kommen, denn das wäre das Ende aller unseriös erquatschten Verträge 😀

Siehe: https://www.antispam-ev.de/forum/showthread.php?38481-(Cold-Call)-0152-18944871-Optimierungs-Experten-Gruppe-M%FCnchen