Akzeptieren

Die Cookies helfen mir bei der Bereitstellung der Inhalte und Dienste. Durch die Nutzung meines Blogs erklärst du dich damit einverstanden, dass ich Cookies setzen darf. Mehr erfahren

»: Thank you for visiting my Blog!
       
   
  • {_allianz_com2}

    Deine IP Adresse:

    34.200.218.187

    Dein Browser:

    Other Dein Host:

    ec2-34-200-218-187.compute-1.amazonaws.com


    Freitag 07. 08. 2020 - 09:30 Uhr - Stuxnet 2.0: Forscher erwecken alten Security-Alptraum zu neuem Leben

    Allgemein


    Der Computerwurm Stuxnet griff ab 2007 erfolgreich Steuerungssysteme von Industrieanlagen (SCADA-Systeme) des Herstellers Siemens an. Um die Anlagensteuerung zu infiltrieren, nahm er den Umweg über angebundene Windows-Systeme und bediente sich dabei einer Exploit-Kette aus Remote Code Execution und anschließender lokaler Privilegienausweitung.

    Forscher der Firma SafeBreach Labs gingen nun der Frage nach, ob trotz mittlerweile längst erfolgter Lücken-Fixes ein "Stuxnet 2.0"-Szenario denkbar wäre. Im Rahmen einer Präsentation auf der Black Hat 2020 mit dem Titel "A Decade After Stuxnet's Printer Vulnerability: Printing is Still the Stairway to Heaven" erklärten und zeigten sie, warum sich diese Frage nach ihrer Einschätzung mit einem klaren "Ja" beantworten lässt.

    Besondere Aufmerksamkeit widmete das Team dem letzten Glied in der Exploit-Kette – dem Windows-Druckerspooler, den Stuxnet damals zum finalen Sprung auf SCADA-Systeme nutzte. Dabei entdeckten sie zwei neue Zero-Day-Schwachstellen, die sie an Microsoft meldeten. Eine der Schwachstellen (CVE-2020-1337) wird voraussichtlich noch diesen Monat, vermutlich kommende Woche zum Patch Tuesday, geschlossen. Die andere befand Microsoft (im Gegensatz zu den Forschern) nicht für ausreichend relevant, um sie zu schließen.

    Alte Exploit-Chain weiterhin gefährlich
    Anhand Stuxnets fünfteiliger Original-Exploit-Chain erläuterten die Forscher im Vortrag, auf welche Weise Microsoft damals die Lücken schloss. Dabei bemängelten sie vor allem sehr spezielle/eng gesteckte Fixes, sogenannte "Narrow Patches", die mitunter schon durch leichte Abänderungen des ursprünglichen Angriffs ausgehebelt werden können. Alternativ sei es auch problemlos möglich, alte Lücken durch gleichwertige Einfallstore zu ersetzen.

    Wie die Forscher erklärten, ist die die ursprüngliche Stuxnet-Strategie und deren offensichtliche Reaktivierbarkeit noch heute hochrelevant und problematisch, da sie nach wie vor immer wieder als Entwurf für ganz unterschiedliche Malware-Kampagnen verwendet werden.

    CVE-2020-1337 – ein "Patch-Bypass-Bypass"

    Die von Microsoft bestätigte Sicherheitslücke CVE-2020-1337, für die zeitnah ein Patch veröffentlicht werden soll, ist ein "Bypass des Bypassses" zweier früherer Patches – wenig überraschend ein Resultat des "Narrow Patching".

    Die Vorgeschichte: Der allererste Patch gegen die ursprünglich von Stuxnet missbrauchte Druckerspooler-Lücke CVE-2010-2729 / MS10-061 hatte sich als umgehbar erwiesen. In der Konsequenz folgte im Mai 2020 ein Fix für den Bypass, dem die CVE-Nummer CVE-2020-1048 zugewiesen wurde.

    Der neu entdeckte Bypass für CVE-2020-1048, der die CVE-Nummer CVE-2020-1337 erhielt, reißt die alte Lücke wieder auf und ermöglicht einem Angrifer das Erlangen von Admin-Rechten und die anschließende (Remote-)Codeausführung – natürlich nicht nur auf SCADA-Systemen. Angreifbar sind nach Angaben der Forscher die Windows-Versionen 7 bis 10 (32- and 64-Bit). Weitere Details werden in Kürze Microsofts Sicherheitshinweis zur Lücke zu entnehmen sein.

    Zweiter Bug: Kein Patch geplant

    Das zweite von SafeBreachLabs entdeckte Sicherheitsproblem ist nach Angaben der Forscher schon über 20 Jahre alt und betrifft 32- und 64-Bit-Windows-Releases ab Version 2000. Sie entdeckten es durch sogenanntes Fuzzing, eine Variante automatisierter Tests, innerhalb von etwa 20 Minuten. Der Bug ist lokal ausnutzbar und könnte von einem lokalen Angreifer missbraucht werden, um einen Crash des Druckerspoolers (Denial-of-Service, DoS) zu provozieren. Microsoft stuft die daraus resultierende Gefahr aber nicht als hoch genug ein, um ein Update zu veröffentlichen.

    PoC-Code und weitere Informationen
    Die Forscher haben ein GitHub-Repository mit ihren "Print Spooler Research Tools" angelegt. Es enthält unter anderem Proof-of-Concept-Code zum Spooler-DoS-Bug sowie einen Minifilter-Treiber, der unbefugte Schreibzugriffe durch Nutzer mit eingeschränkten Rechten verhindern soll.

    Die Idee zu letzterem ergab sich aus entsprechenden, teils wieder aus mangelhaften Patches resultierenden Gefahren, auf die die Forscher während der Exploit-Chain-Analyse aufmerksam wurden. Allerdings, so betonen sie, ist auch der Filter vorrangig als PoC gedacht und sollte (vor allem ohne vorherige Tests) nicht in Produktivumgebungen eingesetzt werden. Details sind der zugehörigen REDAME.md zu entnehmen.

    Ein PoC zu CVE-2020-1337 soll erst folgen, wenn die Lücke geschlossen wurde. Das SafeBreach Labs-Team hat außerdem angekündigt, auch die bei der Black Hat verwendeten Präsentationsfolien zeitnah dem Repository hinzuzufügen.

    Quelle: Heise

    Geschrieben von D3n1s.Net Benutzerinfo: D3n1s.Net Kommentare (12694) Diese News einen Freund senden Druckoptimierte Version 60034 mal gelesen
    Teilenclose





  • D3n1s.Net