no one is safe ...

MS09-002 - Client Side Attacks

Bereits in einem früheren Blogeintrag verlinkte ich auf ein sehr gutes Video in dem verschiedenste Angriffsvektoren von Client basierenden Angriffen (Client Side Attacks) dargestellt werden. In diesem Blogeintrag wird die Anwendung bzw. Umsetzung eines Angriffs auf eine Schwachstelle des Internet Explorers vorgeführt. Die Schwachstelle wird im Microsoft Security Bulletin MS09-002 detailliert beschrieben und stellt einen direkten Angriff auf den Client (in diesem Fall auf den Browser) dar. Wie aus dem Bulletin erkennbar ist, wird die Schwachstelle von Microsoft kritisch eingestuft da sie sich unter Umständen zur Ausführung von Schadcode eignen soll.

Folgender Screencast stellt die Schwachstelle an einem Laboraufbau detailliert dar:



In dem dargestellten Screencast wird die Möglichkeit der Remote Code Execution anhand eines Windows XP Systems mit SP3 und Internet Explorer 7 gezeigt. Als mögliches Angriffsszenario dient jeder User der Zugriff auf das Internet hat. Um gezielte Angriffe durchzuführen lässt sich das vorhandene Angriffspotential natürlich noch mit weiteren Angriffsvektoren, wie beispielsweise Social Engineering, kombinieren. Surft ein User mit administrativen Rechten, wird es einem Angreifer ermöglicht das System, ohne weitere Umwege, vollständig zu übernehmen. Im folgenden Screencast zeigen wir wie einfach "Client Side Attacks" dieser Art durchzuführen sind und wie einfach eine Übernahme eines Client Systems nur durch das Ansurfen einer präparierten Webseite erfolgen kann.

Patcht die Client-Systeme!

Die unterschiedlichen Möglichkeiten eines erfolgreichen Angriffs häufen sich und diese sind im Normalfall, durch vorhandene Exploits und Anleitungen, auch relativ einfach umzusetzen. Da bereits ein einziges exploitetes System in einem Firmennetzwerk ausreicht um das vollständige Netzwerk unter Umständen zu übernehmen bzw. dessen Vertrauenswürdigkeit zu untergraben, sollten hier umgehend geeignete Schutzmaßnahmen getroffen werden. Sobald ein Angreifer durch einen Client basierenden Angriff, wie beispielsweise den dargestellten Browserexploit, Zugriff auf das interne Netzwerk erlangt hat, ist es ihm unter Umständen möglich weiteren Schadcode nachzuladen und diesen auch zur Ausführung zu bringen. Wie der Artikel über "portable security apps" darstellt, benötigt ein Angreifer nicht unbedingt administrative Rechte um erheblichen Schaden anrichten zu können.