Log4j – RCE-PoC Teil 2

Technischer Hintergrund

Im ersten Teil unseres Blogposts haben wir die Herkunft der Log4j- bzw. Log4Shell-Schwachstelle besprochen und die Implikationen für das Internet. In diesem Teil werden wir uns die technischen Hintergründe anschauen, um die Schwachstelle im Detail zu verstehen.

Dabei hilft es immer, den Quellcode zu untersuchen, um festzustellen, wie die Schwachstelle funktioniert. Der folgende Codeabschnitt zeigt die Schwachstelle in Zeile 7:

Quelle: Screenshot https://logging.apache.org/log4j/2.x/manual/api.html

Ohne die verwundbare Log4j-Bibiliothek, wäre diese Zeile unproblematisch, da sie nur dafür sorgt, einen bestimmten HTTP–Header (X-Api-Version), zu loggen. Im folgenden Fall, entpuppt sich diese Zeile allerdings als ein Einfallstor für Angreifer, um das System vollständig zu kompromittieren und gegebenenfalls erhöhte Privilegien zu erlangen (root). Welche Privilegien erlangt werden, hängt davon ab, welcher […]

Von Christian Gross|2022-01-12T17:30:56+01:0015. Dezember 2021|

LOG4J – Was bisher bekannt ist

1 Die Schwachstelle Log4Shell

Wer selbst schon mal eine Anwendung programmiert hat, weiß, dass man sich um verschiedene Arten Status-, Warnungs-, oder Fehlermeldungen kümmern muss. Das ist eigentlich der weniger spannende Teil, denn man möchte ja gerne neue Funktionen einbauen, anstatt zu protokollieren. Dennoch sind aussagekräftige Meldungen sehr wichtig für den Betrieb jeder Anwendung, denn nur sie ermöglichen ein effektives Debugging.

In einigen Fällen reicht es, eine simple print-Funktion zu nutzen, um Statusmeldungen auszugeben. In Java wäre das bspw. System.out.print(). Diese Funktion bietet allerdings keine weiteren Features und ist damit ungeeignet für komplexere Applikationen. Für nahezu jede Programmiersprache, bzw. jedes Framework, gibt es daher eigene Bibliotheken, die es einem Programmierer ermöglichen, Logging durchzuführen. Somit muss das Rad nicht bei jeder weiteren Anwendung neu erfunden werden. Im […]

Von Christian Gross|2021-12-23T15:35:12+01:0015. Dezember 2021|

BorgBackup: Härtung der Sicherheit von BorgBackup und Borgmatic mittels Docker (Teil 3/3)

Dieser Beitrag ist eine Fortsetzung von Teil 1 (Einführung) und Teil 2 (Automatisierung und WSL) unserer Reihe, in welchem bereits die Grundlagen von BorgBackup und Borgmatic sowie die Unterstützung von Windows mittels Windows Subsystem for Linux (WSL) vorgestellt wurden.

Soll die Sicherung auf dem Quellsystem nicht nur im Kontext eines aktuell angemeldeten Benutzers, sondern systemweit erfolgen, werden hierfür entsprechend hohe Berechtigungen (bspw. root) benötigt. Erfolgt die Sicherung zudem auf einem Remote-Zielsystem, ist die Nutzung von SSH und borg serve empfehlenswert. Um die Sicherheit von sowohl des Quell- als auch des Zielsystems zu erhöhen bzw. den etwaigen Schaden im Falle einer erfolgreichen Kompromittierung zu minimieren, können für BorgBackup, Borgmatic und SSH Container eingesetzt werden.

Nachfolgend ist eine mögliche Umsetzung mittels Docker beschrieben.

Hinweis: Bei der Nutzung von […]

Von Bernhard Doll|2021-12-13T11:11:19+01:0030. November 2021|

Härtungsmaßnahme Protected Process Light

Eine der meistverwendeten Techniken in Hacker-Angriffen oder eben auch in einem Red Team Assessment ist das Auslesen von Zugangsdaten (Passwörter, Hashes, Tickets, Sessions Keys, etc.) aus dem Arbeitsspeicher. Zentraler Angriffspunkt für diese Technik ist die Local Security Authority (LSA) bzw. der zugehörige Windows-Prozess Local Security Authority Server Service (LSASS). Dieser Prozess ist dafür verantwortlich, entfernte und lokale Login-Prozesse durchzuführen und eventuelle Einschränkungen zu erzwingen. Entsprechend befinden sich im Arbeitsspeicher des Prozesses eine Vielzahl an sensiblen Informationen, die für diese Abläufe notwendig sind. Da unter Windows jeder Administrator standardmäßig über das Debug-Privileg (SeDebugPrivilege) verfügt und daher den Arbeitsspeicher jedes Prozesses einsehen kann, sind diese Daten dort vor einem Hacker mit administrativen Rechten nicht wirklich sicher. Tools wie mimikatz oder WCE sind in der Lage, […]

Von Benedikt Strobl|2021-11-23T16:58:53+01:0023. November 2021|

OS-Login Bypass via Bootloader-Manipulation (Single-User-Mode)

Auch wenn folgender Angriff schon seit Jahren bekannt ist und daher etwas in Vergessenheit geraten ist, so zeigte ein aktuelles IoT Hardware Assessment in unserem Hause, dass dieser bei aktuellen IoT-Geräten immer noch brandaktuell ist. Die Rede ist von einer Bootloader-Manipulation, um einen gesetzten Login zum Linux-System zu umgehen.

Wie bereits in früheren Blogbeiträgen erwähnt, ist es (leider) bei aktuellen IoT-Geräten immer noch üblich, eine serielle UART-Schnittstelle auf der Platine zu exponieren.

Exponierte UART Schnittstelle (Quelle: http://www.devttys0.com/2012/11/reverse-engineering-serial-ports/)

Die im IoT-Bereich stark vertretene UART Schnittstelle kommt vermehrt bei Linux-basierenden Geräten zum Einsatz und exponiert hier oft eine interaktive System Command-Shell sowie den Boot-Prozess (Bootlog). Oft ist aber der System-Zugang durch ein Passwort geschützt.

Bootprozess und passwortgeschützter System-Zugang

Von Alexander Poth|2021-12-13T11:13:53+01:0029. Oktober 2021|

BorgBackup: Automatisierung durch Borgmatic und Unterstützung von Windows mittels Windows Subsystem for Linux (Teil 2/3)

Dieser Beitrag ist eine Fortsetzung von Teil 1 unserer Reihe, in welchem bereits die Grundlagen von BorgBackup vorgestellt wurden.

Nachfolgend werden weitere Tools und Einsatzmöglichkeiten gezeigt, die den Umgang mit BorgBackup erleichtern sowie auf Windows ermöglichen.

Automatisierung Borgmatic

Borgmatic ist ein Werkzeug, das die Definition von Sicherungs- und Wartungsaufgaben durch BorgBackup mittels Konfigurationsdateien im YAML-Format ermöglicht. Damit wird eine übersichtlichere Konfiguration ermöglicht sowie die vereinfachte Durchführung von wiederkehrenden Aufgaben, wie das Erstellen einer Sicherung, Integritätsprüfungen, Löschen von alten Sicherungen etc.

Eine Konfigurationsdatei sieht beispielsweise wie folgt aus:

Die obige Konfigurationsdatei stellt jedoch nur einen Auszug der verfügbaren Optionen dar. In der Dokumentation ist eine Beispieldatei angegeben, die alle Konfigurationsoptionen enthält.

Borgmatic bietet dabei einige hilfreiche Funktionen:

Durch die Angabe mehrerer Repositorys können Backups redundant, […]

Von Bernhard Doll|2021-12-13T10:59:15+01:0019. Oktober 2021|

Seitenkanalangriffe

Als Entwickler müssen wir oft über Fragen des Datenschutzes und der Sicherheit nachdenken. Seitenkanalangriffe, die einst Spionen und Regierungen vorbehalten waren, werden zunehmend für weniger gut finanzierte Angreifer möglich. Es kann eine Herausforderung sein, Möglichkeiten zum Schutz vor diesen Angriffen zu entwickeln. Es ist wichtig, hier einen Überblick über die möglichen Angriffsarten zu haben, um schutzbewusst zu planen und zu entwickeln. Nicht nur sensible Daten können kompromittiert werden, sondern ganze Kontrollsysteme könnten gefährdet sein.

Ein Seitenkanalangriff (sog. Side-Channel-Attack) greift sensible Daten nicht direkt an. Hier werden oft physikalische Nebeneffekte gesammelt und versucht, durch Analyse dieser Nebeneffekte geschützte Informationen zu extrahieren. Genutzt werden beispielsweise der Energieverbrauch eines Geräts oder Chips, elektromagnetische Abstrahlungen oder der Zeitbedarf zum Ausführen bestimmter Funktionen.

Tempest / Van-Eck-Phreaking

Das im Zweiten Weltkrieg von den […]

Von Alexander Poth|2021-12-08T16:12:57+01:0012. Oktober 2021|

Abwehr von Phishing: Defense in Depth

Bei NSIDE ATTACK LOGIC hören wir einige Fragen immer wieder. Dazu zählen „Was kann man denn gegen Phishing überhaupt machen?“ oder „Gegen Phishing kann man doch eh nichts tun, oder?“. Auch wir erleben immer wieder in Red Team Assessments, dass bei einem stark auf das Ziel zugeschnittenen Spear Phishing trotz ausgefeilter technischer Abwehrmaßnahmen am Ende doch unsere RATs („Remote Access Trojan“) ausgeführt werden und wir einen Zugang zum internen Netzwerk unseres Kunden erhalten. Auch Phishing Simulationen, die wir im Rahmen von Awareness Trainings bei unseren Kunden durchführen, haben wir – trotz teilweise häufiger Wiederholungen – noch nie auf 0 % Fehlverhalten gelenkt bekommen. Selbst Kunden, die regelmäßig, also z.B. einmal im Quartal, ein Phishing mit ihren Mitarbeitern durchführen, schaffen es im Durchschnitt auf […]

Von Benedikt Strobl|2021-10-06T10:20:34+02:006. Oktober 2021|

BorgBackup: Einführung – Verschlüsselte inkrementelle Datensicherung (Teil 1/3)

Die Menge an Daten sowie deren Bedeutung für den Geschäftsbetrieb wächst laut EMC Globaler Data-Protection-Index (2018) in einem rasanten Tempo: Von 1.45 PB (Petabyte) in 2016 auf 9.70 PB in 2018. Zusätzlich gaben in der Studie 41 % der befragten Unternehmen an, innerhalb der letzten 12 Monate bereits Datenverluste oder unerwartete Ausfallzeiten verzeichnet zu haben. Mit $996.000 sind die Durchschnittskosten im Falle von Datenverlust dabei fast doppelt so hoch wie die Kosten für ungeplante Systemausfallzeiten, die im Schnitt bei $527.000 liegen.

Längst ist jedoch Datenverlust nicht mehr nur ein Resultat von Hardware- oder Anwenderfehlern, auch Hackerangriffe und Schadsoftware wie Ransomware stellen ein erhebliches Risiko für die Verfügbarkeit und Integrität von Daten dar. Gemäß einer Studie von Sophos (2020) gaben von 5.000 […]

Von Bernhard Doll|2021-10-19T11:01:53+02:0022. September 2021|

Bluetooth-Sicherheit: Ein genereller Überblick

Wenn man sich aus sicherheitstechnischer Sicht mit Bluetooth beschäftigt, sind Neuigkeiten häufig negativer Natur. Nach über 20-jähriger Verfügbarkeit des Drahtlos-Standards sind Veröffentlichungen von neuen Schwachstellen und verwundbaren Geräten nach wie vor keine Seltenheit. Dieser Artikel soll einen kurzen Überblick liefern, welche Möglichkeiten Bluetooth Angreifern bietet und wie Hersteller und Nutzer diese Angriffsfläche reduzieren können.

Bluetooth-Technologie

Die jüngste Bluetooth-Spezifikation, die Version 5.3, veröffentlicht durch die Bluetooth Special Interest Group (SIG), umfasst inzwischen über 3000 Seiten. Über den Internetauftritt der SIG sind die technischen Beschreibungen des Protokolls abrufbar, welche hier den Rahmen des Artikels sprengen würden.

Prinzipiell ist zwischen Bluetooth BR/EDR („Classic Bluetooth“) und Low Energy zu unterscheiden. Das Low Energy Protokoll wurde dem Standard in Version 4.0 hinzugefügt und ist mit der klassischen Variante nicht kompatibel. Wie […]

Von Sarah Mader|2021-11-19T08:37:34+01:0021. September 2021|

NSIDE Tech Blog

BLEIBEN SIE AUF DEM LAUFENDEN