Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:
> > Es wird immer wieder vergessen, daß es auch sog. "Connectback"-Shells
> > gibt. D.h. ein von außen erlaubter Dienst wird dazu gebracht, daß er
> > auf einem beliebigen anderen Port mit einer connectback-shell
> > zurück-connected. Und die macht dann *wirkliche* Swinigeleien.
>
> Verstehe ich noch nicht so ganz. Meinst du den Fall, dass der auf meinem
> Server installierte Dienst ganz ,,legal" zur Rückkonnektierung gebracht
> wird.
Sowohl als auch.
Nehmen wir mal an, Du hast einen SQL-Server mit der Möglichkeit
stored-procedures auf ihm auszuführen, hinter einer von außen abweisenden
Firewall, die z.B. den Port 1433 ;-) von außen nicht zuläßt.
Schafft es nun jemand, dem SQL-Server "irgendwie" ein "cmd.exe" ;-)
unterzujubeln, das auf einem beliebigen Port zurückconnected, ist der
Bösling "drin" und kann dann als User, der den SQL-Server gestartet hat,
wirken wie er will und durch eine lokale Privilegien-Eskalation den
Rechner brechen.
> oder dass da bereits ein Sicherheitsloch im Dienst ausgenutzt wird?
Sowohl als auch. Sobald jemand auf deinem System Programme seiner Wahl
ausführen kann, hast Du ziemlich wahrscheinlich verloren.
Bei den cback-Shells geht's erst mal nur um Schadensbegrenzung durch
Wegnehmen eines Angriffsvektors indem man verhindert, daß der erste
Schaden (das wahlfreie Ausführen als unterprivilegierter User) zu einem
noch höheren (dem local root-exploit durch externe Beeinflussung) führt.
Zuallererst gehört aber natürlich, daß das wahlfreie, anonyme Ausführen
verhindert wird.
> Solche Sicherheitslöcher könnten natürlich auch ohne Back-Connecting
> negative Konsequenzen haben. Und was sind die genauen Probleme mit
> Back-Connecting?
Daß man sie stets vergisst und daß fast jeder erst mal so denkt... :-)
Man macht ein System von außen so dicht wie es nur geht und läßt aber im
Gegenzug sämtliche ausgehenden Connections zu. Jeder denkt erst mal so.
Und das wird gerne ausgenutzt. Der Logfile-Ausschnitt sollte nur zeigen,
daß die Bedrohung nicht nur hypothetisch ist.
t++
Reply to: