Re: Neues Mitglied - Fragen zu Sicherheitskomponenten

To: debian-user-german@lists.debian.org
Subject: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
From: Thomas Antepoth <debian@antepoth.de>
Date: Sat, 25 Mar 2006 18:11:06 +0100 (CET)
Message-id: <[🔎] Pine.LNX.4.61.0603251756560.26721@sofa.so.antepoth.de>
In-reply-to: <[🔎] 200603251741.57387.wolfgang@jeltsch.net>
References: <[🔎] 200603232339.53528.info@viadimezzo.de> <[🔎] 200603251657.19589.wolfgang@jeltsch.net> <[🔎] Pine.LNX.4.61.0603251718310.26721@sofa.so.antepoth.de> <[🔎] 200603251741.57387.wolfgang@jeltsch.net>

On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:

> > Es wird immer wieder vergessen, daß es auch sog. "Connectback"-Shells 
> > gibt. D.h. ein von außen erlaubter Dienst wird dazu gebracht, daß er 
> > auf einem beliebigen anderen Port mit einer connectback-shell 
> > zurück-connected. Und die macht dann *wirkliche* Swinigeleien.
> 
> Verstehe ich noch nicht so ganz. Meinst du den Fall, dass der auf meinem 
> Server installierte Dienst ganz ,,legal" zur Rückkonnektierung gebracht 
> wird.

Sowohl als auch.

Nehmen wir mal an, Du hast einen SQL-Server mit der Möglichkeit 
stored-procedures auf ihm auszuführen, hinter einer von außen abweisenden 
Firewall, die z.B. den Port 1433 ;-) von außen nicht zuläßt.

Schafft es nun jemand, dem SQL-Server "irgendwie" ein "cmd.exe" ;-) 
unterzujubeln, das auf einem beliebigen Port zurückconnected, ist der 
Bösling "drin" und kann dann als User, der den SQL-Server gestartet hat, 
wirken wie er will und durch eine lokale Privilegien-Eskalation den 
Rechner brechen.

> oder dass da bereits ein Sicherheitsloch im Dienst ausgenutzt wird? 

Sowohl als auch. Sobald jemand auf deinem System Programme seiner Wahl 
ausführen kann, hast Du ziemlich wahrscheinlich verloren.

Bei den cback-Shells geht's erst mal nur um Schadensbegrenzung durch 
Wegnehmen eines Angriffsvektors indem man verhindert, daß der erste 
Schaden (das wahlfreie Ausführen als unterprivilegierter User) zu einem 
noch höheren (dem local root-exploit durch externe Beeinflussung) führt.

Zuallererst gehört aber natürlich, daß das wahlfreie, anonyme Ausführen 
verhindert wird.

> Solche Sicherheitslöcher könnten natürlich auch ohne Back-Connecting 
> negative Konsequenzen haben. Und was sind die genauen Probleme mit 
> Back-Connecting?

Daß man sie stets vergisst und daß fast jeder erst mal so denkt... :-)

Man macht ein System von außen so dicht wie es nur geht und läßt aber im 
Gegenzug sämtliche ausgehenden Connections zu. Jeder denkt erst mal so.

Und das wird gerne ausgenutzt. Der Logfile-Ausschnitt sollte nur zeigen, 
daß die Bedrohung nicht nur hypothetisch ist.

t++

Reply to:

Follow-Ups:
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>

References:
- Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: "info@viadimezzo.de" <info@viadimezzo.de>
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Thomas Antepoth <debian@antepoth.de>
- Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>

Prev by Date: Re: pppoe und ip-up.d: Skript wird nicht ausgeführt
Next by Date: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
Previous by thread: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
Next by thread: Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
Index(es):
- Date
- Thread