Re: Firewall mit Whitelist f?r IPs
Robert Jasiek
>>> Whiteliste mit Software Restriction Policies oder AppLocker die
>>> Softwares
>>Das hilft nichts gegen akute Privileg-Erhoehungs-Luecken in Verbindung
>>mit entsprechend aktueller Schadware.
>http://en.wikipedia.org/wiki/Privilege_escalation
Auf der Webpage steht nur allgemein, was Privilege-Escalation ist,
aber nicht, warum es tats�chlich unter Vista / W7 geht, wenn
Softwareeinschr�nkungs-Whitelists verwendet werden. Du klingst so, als
w�re es unter diesen Umst�nden m�glich:
- Der als Standardbenutzer eingeschr�nkte Benutzer surft mit Browser
B, bei dem Java deaktiviert ist.
- B hat einen Bug, der einen Bufferoverflow verursacht.
- Auf der Softwareeinschr�nkungs-Whitelist stehen ausschlie�lich das
Systemverzeichnis und das Programmverzeichnis von B, w�hrend cmd.exe,
command.com, cscript.exe und wscript.exe geblacklistet sind.
- Der Benutzer darf nicht in Systemverzeichnis oder
Programmverzeichnis von B schreiben oder deren Zugriffsrechte �ndern.
- Malware M oder ein Malware-Javascript M' auf einer angesurften
Webseite nutzen den Bufferoverflow von B (oder alternativ einen
Betriebssystem-Bug mit Bufferoverflow) zur Privileg-Erh�hung.
Wie schafft M das nun tats�chlich konkret? (Bitte nicht mit Quellcode
bombardieren, sondern konzeptionell erkl�ren!) Geht ggf. nur
horizontale Privileg-Erh�hung (vielleicht mit Cross-Site-Scripting)
oder gar auch vertikale?
Thomas Dreher
> Thomas Dreher wrote:
>>>> Whiteliste mit Software Restriction Policies oder AppLocker die
>>>> Softwares
>>>Das hilft nichts gegen akute Privileg-Erhoehungs-Luecken in Verbindung
>>>mit entsprechend aktueller Schadware.
>>http://en.wikipedia.org/wiki/Privilege_escalation
>
> Auf der Webpage steht nur allgemein, was Privilege-Escalation ist,
> aber nicht, warum es tatsächlich unter Vista / W7 geht, wenn
> Softwareeinschränkungs-Whitelists verwendet werden. Du klingst so, als
> wäre es unter diesen Umständen möglich:
>
> - Der als Standardbenutzer eingeschränkte Benutzer surft mit Browser
> B, bei dem Java deaktiviert ist.
> - B hat einen Bug, der einen Bufferoverflow verursacht.
> - Auf der Softwareeinschränkungs-Whitelist stehen ausschließlich das
> Systemverzeichnis und das Programmverzeichnis von B, während cmd.exe,
> command.com, cscript.exe und wscript.exe geblacklistet sind.
> - Der Benutzer darf nicht in Systemverzeichnis oder
> Programmverzeichnis von B schreiben oder deren Zugriffsrechte ändern.
> - Malware M oder ein Malware-Javascript M' auf einer angesurften
> Webseite nutzen den Bufferoverflow von B (oder alternativ einen
> Betriebssystem-Bug mit Bufferoverflow) zur Privileg-Erhöhung.
>
> Wie schafft M das nun tatsächlich konkret? (Bitte nicht mit Quellcode
> bombardieren, sondern konzeptionell erklären!) Geht ggf. nur
> horizontale Privileg-Erhöhung (vielleicht mit Cross-Site-Scripting)
> oder gar auch vertikale?
Ein schön beschriebenes Beispiel, wie das gehen kann, findest du hier:
http://hype-free.blogspot.com/2008/10/limitations-of-software-
restriction.html
Allerdings wird hier vba verwendet.
Gruß
Thomas
Robert Jasiek
<tho...@linuxsumpf.de> wrote:
>Ein sch�n beschriebenes Beispiel
In der Tat, danke!
Stefan Kanthak
> Robert Jasiek wrote:
>
>> Thomas Dreher wrote:
>>>>> Whiteliste mit Software Restriction Policies oder AppLocker die
>>>>> Softwares
>>>>Das hilft nichts gegen akute Privileg-Erhoehungs-Luecken in Verbindung
>>>>mit entsprechend aktueller Schadware.
>>>http://en.wikipedia.org/wiki/Privilege_escalation
Mit SRP alias SAFER kannst Du erstmal keine fremde Software und keinen
fremden Code (direkt) ausfuehren. Du brauchst einen nicht von SAFER
beschraenkten Host, der Deinen Code ausfuehrt, und dieser Code muss
schreibenden Zugriff auf das Dateisystem sowie ggf. die Registry haben,
um sich dauerhaft einnisten zu koennen. Die Ausfuehrung des eingenisteten
Schaedlings, die fast immer ausserhalb des Hosts erfolgt, wird dann
jedoch wieder von SAFER verhindert.
>> Auf der Webpage steht nur allgemein, was Privilege-Escalation ist,
>> aber nicht, warum es tats�chlich unter Vista / W7 geht, wenn
>> Softwareeinschr�nkungs-Whitelists verwendet werden. Du klingst so, als
>> w�re es unter diesen Umst�nden m�glich:
>>
>> - Der als Standardbenutzer eingeschr�nkte Benutzer surft mit Browser
>> B, bei dem Java deaktiviert ist.
>> - B hat einen Bug, der einen Bufferoverflow verursacht.
>> - Auf der Softwareeinschr�nkungs-Whitelist stehen ausschlie�lich das
>> Systemverzeichnis und das Programmverzeichnis von B, w�hrend cmd.exe,
>> command.com, cscript.exe und wscript.exe geblacklistet sind.
Im Browser wird JavaScript nicht unter Kontrolle des WSH ausgefuehrt,
also auch nicht von SAFER verhindert. Die Ausfuehrung von JavaScript
oder auch VBScript per [WC]Script.exe dagegen wird von SAFER verhindert.
>> - Der Benutzer darf nicht in Systemverzeichnis oder
>> Programmverzeichnis von B schreiben oder deren Zugriffsrechte �ndern.
>> - Malware M oder ein Malware-Javascript M' auf einer angesurften
>> Webseite nutzen den Bufferoverflow von B (oder alternativ einen
>> Betriebssystem-Bug mit Bufferoverflow) zur Privileg-Erh�hung.
>>
>> Wie schafft M das nun tats�chlich konkret? (Bitte nicht mit Quellcode
>> bombardieren, sondern konzeptionell erkl�ren!) Geht ggf. nur
>> horizontale Privileg-Erh�hung (vielleicht mit Cross-Site-Scripting)
>> oder gar auch vertikale?
>
> Ein sch�n beschriebenes Beispiel, wie das gehen kann, findest du hier:
>
> http://hype-free.blogspot.com/2008/10/limitations-of-software-
> restriction.html
Dein Link ist kaputt!
> Allerdings wird hier vba verwendet.
... welches dummerweise nicht von SAFER beschraenkt wird, ebensowenig
wie Batch/JavaScript/ActionScript/... in Interpretern ungleich dem
Windows Kommando-Interpreter oder dem Windows Scripting Host.
Der sicherheitsbewusste Anwender/Administrator sollte also tunlichst
Programme vermeiden, die fremden/injizierten Code ausfuehren koennen,
oder dieses Feature abschalten.
Zur generellen Kritik an SAFER resp. den im "User Space" implementierten
Policies: AppLocker arbeitet AFAIK ab Windows 7 im Kernel.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)