|  |
ActiveX Exploitation - Der Internet Explorer als Zielscheibe
Immer seltener ist das System des Nutzers selbst das Ziel eines Angriffs, sondern vielmehr die darauf eingesetzte Software. Durch Drive-by-Downloads versuchen Angreifer unbemerkt Schadsoftware zu installieren und zielen dabei vorwiegend auf den Internet Explorer ab.
Früher wurden Viren, Würmer und andere Schadsoftware noch vorwiegend per massenhaften Spamversand unter die Leute gebracht. Millionen E-Mails wurden versendet, in der Hoffnung genug Menschen öffnen den Dateianhang und werden Teil eines Botnetzes (Zusammenschluss vieler gekaperter Rechner), um mit Hilfe dieser so genannten Zombies weiter zu erstarken. Zwar gibt es diese Methode auch heute noch und der berühmt gewordene StormWorm nutzte die E-Mail als wichtigste Plattform sich auf immer mehr Rechnern zu vermehren, doch diese Methode gerät bei einem neuen Trend immer mehr in Vergessenheit:
Drive-by-Downloads
Immer öfter werden Webseiten namhafter Firmen oder anderer Instiutionen dazu verwendet Schadsoftware automatisiert zu installieren. Gegenüber dem massenhaften Versenden von Emails bietet dies einen klaren Vorteil: Nutzt das Opfer die verwundbare Applikation auf seinem System (etwa eine veraltete Version des Internet Explorers) und surft die Seite an, welche als Plattform dient, wird es unweigerlich zur Zielscheibe. Zudem hat diese Seite oftmals viele tausend Besucher täglich, es besteht also kein Bedarf E-Mails zu verschicken, die auf die Seite aufmerksam machen und das Opfer locken sollen (Wie es zum Beispiel der StormWorm oft zu wichtigen Ereignissen tat, etwa dem Finale der NFL in den USA).
Alles geschieht passiv, perfekt automatisiert. Malware Packs übernehmen die Analyse des Browsers, mit welchem die Person auf die Seite zugreift und versuchen gezielt Exploitcode zu starten, um mit einer möglichst hohen Erfolgsquote den Besucher mit einem Virus oder dergleichen zu infizieren. Doch der Internet Explorer ist ein recht schweres Ziel, im Vergleich zu den etlichen ActiveX Controls, die im Umlauf sind. Wird eine Schwachstelle im Browser selbst eher selten gefunden, so scheint fast täglich eine neue Schwachstelle in einem der vielen AddOns aufzutauchen. Und diese werden immer häufiger zum Ziel des Angriffs.
ActiveX Controls
Einige dieser Plugins für den Internet Explorer kommen von Microsoft selbst, andere werden bei der Installation von bestimmten Programmen mitgeliefert und wieder andere werden separat über Webseiten verteilt. Sinn dieser Zusatzprogramme ist es oftmals die Arbeit mit einer Webseite (zum Beispiel Facebook oder MySpace) zu erleichtern, um so etwa auf einfachste Weise neue Dateien hochzuladen oder Einträge zu erstellen. Sie werden aber auch eingesetzt um auf das System zuzugreifen, etwa für einen Online Virenscan oder die Überprüfung auf das aktuelle Patchlevel von Windows. Dies stellt insofern schon eine Gefahr dar, wenn nicht vertrauenswürdige ActiveX Controls installiert wurden, doch ebenso können auch alle anderen dieser AddOns eine Gefahr darstellen, wenn sie fehlerhaft programmiert wurden.
Häufige Fehler
Die drei am meisten zu beobachtenden Fehler sind alt bekannte Buffer Overflows, welche zu einem Absturz des Browser führen oder die Ausführung von Shellcode erlauben können. Weiterhin sind File Overwrite/Corruption Exploits vielfach vorhanden, welche das Überschreiben wichtiger Dateien oder das Erstellen komplett neuer erlauben.
Letzlich gibt es noch die Controls, die Funktionen bereitstellen, welche falsch genutzt eine Gefahr darstellen, wie sie vom Programmierer nicht bedacht worden war (etwa das Hochladen von Dateien auf einen beliebigen Server oder das Ausführen von Kommandos über die CMD). Lassen Sie uns nun das ganze praktisch betrachten anhand mehrerer Exploits, welche alle auf milw0rm.com zu finden sind.
Angriff 1: Buffer Overflows I
Der am häufigsten anzutreffende und gefährlichste Fall, wenn mann nach ActiveX Exploits sucht sind die schon jahrelang bekannten und viel diskutierten Buffer Overflows. Diese erlauben es eine Variable mit mehr Daten zu füllen als dies ursprünglich vorgesehen war und so im einfachsten Fall das Programm (in diesem Fall der Internet Explorer) zum Absturz zu bringen oder aber gezielt Werte zu überschreiben und so die Ausführung von Shellcode zu ermöglichen.
Der in Listing 1 dargestellte Exploit greift auf das vom DivX Player genutzte ActiveX Control zu, welches unter der für jedes Objekt eindeutigen CLSID (Class Identifier) ansprechbar ist, in diesem Fall: D050D736-2D21-4723-AD58-5B541FFB6C11. Diese Zeichenfolge, sowie andere Werte werden in der Windows Registry hinterlegt und abgerufen. Der Code ruft die von dem Objekt bereitgestellte Funktion SetPassword() auf und übergibt dieser eine sehr lange Folge von Zeichen, welche zu einem Absturz führen.
Angriff 1: Buffer Overflows II
Durch Hinzufügen eines Shellcodes, welcher ganz einfach durch Metasploit und das Benutzen des Encoders Alpha2 erstellt werden kann, lässt sich das System auch vollständig kompromittieren (siehe Listing 2). Der Exploitcode soll hier nicht weiter diskutiert werden, da dies einer Abhandlung der Thematik von Buffer Overflows zu stark ähneln würde.
Angriff 2: File Overwrite/ Corruption
Der am zweithäufigsten zu beobachtende Fehler den Programmierer bei der Erstellung von derartigen AddOns für den Internet Explorer machen, ist das fehlerhafte Verwenden von Funktionen zum Speichern von Dateien auf dem System. Es kommt oftmals zu keinerlei Überprüfung, wo die Datei gespeichert wird und ob diese möglicherweise schon existiert. Dadurch lassen sich wichtige Systemdateien ersetzen bzw. beschädigen. Schauen Sie sich dazu bitte Listing 3 an. Der Code demonstriert eine Schwachstelle in einem der von MW6 Technologies bereitgestellten ActiveX Controls, welche es erlaubt eine beliebige Datei zu erstellen, selbst wenn dies das System schädigen könnte. Mit Hilfe der Funktionen SaveAsBMP() oder SaveAsWMF() wird in C:\Windows eine neue Datei erstellt, welche ohne den Unterstrich eine bereits existierende Überschreiben würde. Die Verwendung von VBScript als Sprache ist hierbei optional und nicht zwingend notwendig.
Angriff 3: Logikfehler
Ähnlich dem Überschreiben von Dateien durch das Ausnutzen schlecht bis gar nicht gesicherter Funktionen zum Speichern und Erstellen dergleichen, erlauben Logikfehler Zugriff auf das System, wie es nicht vorgesehen war. Manche ActiveX Controls haben Funktionen zum Verändern von Werten in der Registry, zum Herunterladen und Starten von Programmen oder zum Ausführen von Befehlen auf der Kommandozeile. Richtig programmiert durchaus nützlich, doch schlecht gesichert, erlauben sie es auch jeder beliebigen anderen Webseite davon Gebrauch zu machen und etwa Schadsoftware zu installieren. Das wohl beste Beispiel ist ein ActiveX Control, welches vorinstalliert auf einer Reihe von Notebooks der Firma Hewlett-Packard ausgeliefert wurde und solche Aktionen erlaubte.
Der in Listing 4 abgedruckte Exploit veranschaulicht die Problematik einer Funktion namens LaunchApp(), welche es erlaubt ein Programm mit Argumenten zu starten und zu entscheiden ob dieses sichtbar oder unsichtbar gestartet werden soll. Mit Hilfe dieser Funktion wird auf einen beispielhaften und nicht existenten FTP Server zugegriffen, eine Datei heruntergeladen, gestartet und wieder entfernt.
Fuzzing und Untersuchung von ActiveX Controls
Mit Hilfe des Programms COMRaider von iDefense lassen sich alle auf dem System installierten ActiveX Controls enumerieren und untersuchen. Es wird übersichtlich dargestellt welche Funktionen das jeweilige AddOn zur Verfügung stellt, wodurch das Untersuchen auf typische Fehler vereinfacht wird. Funktionen wie ExecuteCommand() oder SaveAsFile() deuten schon auf eine potentielle Gefahr hin und sollten dahingehend näher untersucht werden.
Andere Funktionen könnten anschließend mit Hilfe von Fuzzing auf Buffer Overflows überprüft werden. Alle Tests laufen automatisiert ab und am Ende erhält der Nutzer eine Liste mit allen von COMRaider erzeugten Exceptions. Diese lassen sich dann im Internet Explorer starten und weitergehend untersuchen.
Schutzvorkehrungen
Um wirklich sicher zu gehen, dass man nicht Gefahr läuft durch ActiveX Controls sein eigenes System einem Angreifer offenzulegen, bleibt nur das Abschalten dieser Technologie oder das Umsteigen auf einen anderen Browser. Möchte man auf ActiveX nicht vollständig verzichten, gibt es auch noch die Möglichkeit darauf zu achten, für welche Controls derzeit ein 0day (ein Exploit für dessen Ziel es noch keinen Patch gibt) im Umlauf ist und dieses Control gezielt per Kill Bit abzuschalten. Dies geschieht durch Verändern des Compatibility Flags Wertes auf 0x00000400 für die jeweilig betroffene CLSID in der Registry. Zu finden unter: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\ ActiveX Compatibility\.
Zusammenfassung
Im Vergleich zu vielen anderen Exploits sind solche für ActiveX Controls recht standardisiert und sich oft sehr ähnlich. Auch das Ausnutzen unsicherer Funktionen erweist sich als nicht allzu schwer. Mit Hilfe von etwas Übung und dem Benutzen der richtigen Programme, können auch Neulinge sich schnell in die Thematik einarbeiten und so verwundert es nicht, dass immer mehr Exploits dieser Art auftauchen und die Gefahr für Anwender zunehmend steigt. Mit neueren Versionen des Internet Explorers (seit 7) versucht Microsoft diesem Trend entgegenzuwirken und hat die Einstellungen für den Umgang mit ActiveX sicherer gestaltet. Doch all dies hilft wenig, wenn der Anwender jegliche Warnungen ignoriert und allem zustimmt, solange das System oberflächlich das tut, was er erwartet (etwa eine Webseite anzeigen ohne andauernde Warnungen, welche eigentlich seinem Schutz dienen sollen).
Im Internet
09/2009, Marcell Dietl
| | Marcell Dietl beschäftigt sich seit vielen Jahren mit den verschiedenen Bereichen der IT Sicherheit und arbeitet freiberuflich als Autor, Sicherheitsberater und -tester.
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Der noch recht junge Zweig des E-Commerce bietet zurzeit ein breites Spielfeld für neue Vertriebs- und Kommunikationsstrategien. Social Commerce bezieht ganz massiv den Nutzer mit ein... | |  | | Deutsche Parteistrategen waren begeistert vom US-Wahlkampf. Nicht wenige sind nach Amerika gepilgert, um sich anzuschauen, wie das Internet als Wahlkampfinstrument funktioniert. Doch haben sie für den Wahlkampf in Deutschland dazugelernt? | |  | | Anhand der Intranets von Nokia, Thomson Reuters und Aviva wurde deutlich, wie stark Intranets derzeit ihren Scope und Umfang erweitern. Das ist eine grosse Chance für die Unternehmen... | |  | | Unter dem gemeinsamen Deckmantel "Future Internet" haben sich unterschiedliche nationale und internationale Initiativen zum Ziel gesetzt, das Internet der Zukunft aktiv zu gestalten... | |  | | In unserem Interview mit Thomas Witt beantwortet der Director Product & Business Development bei der Infopark AG Fragen rund um die Zukunft von Content Management Systemen... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Im Interview spricht der Schirmherr der Initiative Prof. Dieter Spath über "Das Konstruktionsbüro für Dienstleistungen" und vieles mehr. Am 12. Oktober eröffnet Prof. Dieter Spath den VOICE Days plus Kongress... | |  | | Die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter bringt nicht zu unterschätzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt... | |  | | Datenschutz spielt auch im eCommerce eine große Rolle. So müssen z.B. für den Betrieb eines Onlineshops die gesetzlichen Vorschriften zum Datenschutz eingehalten werden... | |
| | | |
