Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.06.2000 - 

Hilfestellung für System- und Netzverwalter

Die zehn schlimmsten Lücken in Internet-Software

MÜNCHEN (CW) - Bei vielen Firmen haben Hacker oft leichtes Spiel, da sie bekannte Schwachstellen von Softwareprodukten ausnutzen. Das unabhängige und gemeinnützige System Administration, Networking and Security Institute (SANS) aus den USA hat eine Liste der zehn größten Sicherheitslücken inklusive Gegenmaßnahmen veröffentlicht.

Dem SANS gehören über 96000 System- und Netzadministratoren sowie Sicherheitsfachleute an. Sie geben Anwendern Hilfestellung beim schützen ihrer IT-Umgebungen.

1.BIND-Schwachstellen:

nxt, quiv und in.named erlauben Root-Missbrauch.

Das vor allem im Bereich Domain Name Services (DNS) weit verbreitete "BIND"-Package (Berkeley Internet Name Domain) besitzt eine Reihe von Schwachstellen, die es Angreifern erlauben, sich Root-Rechte zu verschaffen und entsprechend große Schäden anzurichten. Betroffen sind derzeit alle Versionen vor 8.2.2. pl5 auf verschiedenen Unix- und Linux-Systemen.

Abhilfe:

- Auf allen Systemen, die nicht ausdrücklich als DNS-Server dienen, den BIND name daemon ("named") abschalten; eventuell die DNS-Software sogar komplett entfernen.

- Auf DNS-Systemen das aktuelle Release BIND 8.2.2 pl5 einspielen.

- BIND als non-privilieged user laufen lassen. Allerdings dürfen nur Root-Prozesse Ports unterhalb von 1024 nutzen (Voraussetzung für DNS). BIND muss daher so konfiguriert werden, dass es nach Zuweisung eines Ports seine User-ID ändert.

- BIND auf einer chroot()-Verzeichnisstruktur installieren.

2. Angreifbare CGI-Programme und Applikations-Erweiterungen (etwa ColdFusion) auf Web-Servern

Viele Web-Server besitzen eine Schnittstelle für CGI-Programme (Common Gateway Interface), um die Einrichtung interaktiver Sites zu erleichtern. Oft werden Beispiel-CGI-Skripts installiert, die Sicherheitslücken aufweisen. Gleiches gilt für den Application Server Cold Fusion von Allaire, der ebenfalls mit gefährlichen Musterskripts geliefert wird. Aber auch andere CGI-Programme sind nicht immer sicher. Betroffen sind prinzipiell alle Web-Server.

Abhilfe:

- Web-Server nicht als Root laufen lassen.

- CGI-Interpreter aus bin-Verzeichnissen entfernen.

- Unsichere CGI-Skripts löschen.

- Bei der Entwicklung eigener CGI-Programme auf Sicherheit achten.

- Auf Web-Servern, die keine CGI-Unterstützung benötigen, diese deaktivieren.

- Den Web-Server in einer chroot()-Umgebung installieren.

3. RPC-Schwachstellen (Remote Procedure Call):

Die Module rpc. ttdbserverd (Tool Talk), rpn.csmd (Calendar Manager) und rpc.statd erlauben Root-Missbrauch.

Remote Procedure Calls, die häufig für den Zugriff auf bestimmte Netzwerkdienste genutzt werden, erlauben den Aufruf von Programmen auf entfernten Maschinen.

Fehler in RPC ermöglichen es Hackern, ein System zu übernehmen. Betroffen sind verschiedene Unix- und Linux-Dialekte.

Abhilfe:

- Wo immer das möglich ist, sollte RPC von Systemen mit direktem Kontakt zum Internet entfernt werden.

- Wenn RPC unverzichtbar ist, stets die aktuellsten Patches installieren (Tipp: Datenbanken der Hersteller nach "tooltalk patches" durchsuchen).

4. RDS-Sicherheitsloch in Microsofts Internet Information Server (IIS)

Fehler in den Remote Data Services (RDS) von Microsofts Web-Server, der auf vielen NT- und Windows-2000-Servern installiert ist, gestatten Angreifern die Ausführung externer Kommandos mit Administrator-Privilegien. Betroffen sind NT/Windows-2000-Systeme mit installiertem IIS.

Abhilfe:

- Eigene Handlers installieren und den Verweis auf "VbBusObj" in der Registrierdatenbank (Schlüssel "HKEY_LOCAL_MACHINE/ System/CurrentControlSet/Services/W3SVC/Parameters/ADC Launch/VbBusObj.VbBusObj Cls") entfernen.

- Die vom Hersteller selbst veröffentlichten Informationen beachten, um RDS abzuschalten oder die Sicherheitslücken zu beseitigen.

5. Sendmail Buffer Overflow, Pipe Attacks und MIMEbo erlauben Root-Missbrauch.

Der populäre MTA (Mail Transfer Agent) "Sendmail" weist eine Reihe von Sicherheitslecks auf. Beispielsweise lässt sich die Software über eine manipulierte Mail anweisen, die Passwort-Datei des jeweiligen Rechners an einen Angreifer zu senden, der diese dann in Ruhe auf seinem System entschlüsseln kann. Betroffen sind verschiedene Unix- und Linux-Varianten.

Abhilfe:

- Die aktuelle Sendmail-Version oder entsprechende Patches installieren.

- Auf Maschinen, die keine Mail-Server oder -Relays sind, Sendmail nicht im Daemon-Modus laufen lassen (Schalter "-bd" abschalten).

6. sadmind und mountd

"Sadmind" erlaubt die Remote-Verwaltung von Solaris-Hosts mittels grafischer Benutzerschnittstelle; "Mountd" dient zur Kontrolle des Network File System (NFS) auf Unix-Systemen. Buffer Overflows gestatten bei beiden Programmen die Übernahme des Rechners mit Root-Rechten. Betroffen sind zahlreiche Unix-Dialekte (bei Sadmind nur Sun Solaris)

Abhilfe:

- Auf Rechnern mit direktem Internet-Zugang die Programme möglichst deinstallieren.

- Wo dies nicht möglich ist, in jedem Fall die aktuellsten Patches des jeweiligen Herstellers einspielen.

7. File Sharing über Netze:

NetBIOS und Windows NT (Ports 135-139, Windows 2000 Port 445), Unix NFS-Export (Port 2049), Macintosh Web Sharing/Appleshare IP (Ports 80, 427, 548)

Gemeinsamer Dateizugriff über das Netzwerk ermöglicht es unter Umständen unerwünschten Dritten, kritische Systemdateien auszulesen oder die vollständige Kontrolle über ein System zu erlangen. Betroffen sind Unix, Windows- und Macintosh-Systeme.

Abhilfe:

- Beim Sharing gemounteter Laufwerke nur die wirklich nötigen Verzeichnisse frei geben.

- Sharing nur für dedizierte IP-Adressen freigeben (DNS-Namen lassen sich spoofen = vortäuschen)

- Auf Windows-Systemen alle Freigaben mit starken Passwörtern sichern.

- Auf NT-Hosts das anonyme Hinzufügen von Benutzern, Gruppen, Systemkonfigurationen oder Registrierschlüsseln durch

- "null-session"-Verbindung verhindern; eingehende Verbindungen auf den NetBIOS Session Service (TCP 139) blockieren;

- eventuell den Registrierschlüssel "Restrict Anonymous" (siehe Microsoft Knowlegede Base) installieren.

- Auf Macintosh-Rechnern File Sharing und Web Sharing nur einschalten wenn unbedingt nötig. Andernfalls durch starke

- Passwörter absichern und zwischenzeitig abschalten.

8. Benutzerkennungen, vor allem Root/Administator, ohne oder mit nicht sicherem Passwort

Viele Systeme werden mit "Demo"- oder "Gast"-Accounts ohne Passwort oder mit weidlich bekannten Passwörtern ausgeliefert. Darüber hinaus neigen überbeschäftigte Systemverwalter dazu, wichtige Zugänge entweder ohne Passwortschutz oder mit leicht zu erratenden Begriffen anzulegen. Betroffen sind grundsätzlich alle Systeme.

Abhilfe:

- Strenge Richtlinien für die Passwortvergabe und Update-Häufigkeit festlegen (auch für die Chefetage), für alle Rechner mit

- Internet-Zugang vorgegebene Passwörter ersetzen.

- Passwörter mit entsprechenden Crack-Programmen testen. Dafür ist allerdings die schriftliche Erlaubnis der Nutzer erforderlich.

- Tools installieren, die Passwörter beim Wechseln auf Tauglichkeit überprüfen.

- Regelmäßigen Passwortwechsel erzwingen (Passwörter ablaufen lassen).

- Passwort-History einrichten, so dass die Anwender nicht zuvor benutzte Begriffe erneut verwenden.

9. IMAP und POP3

Die E-Mail-Protokolle IMAP und POP3 sind äußerst populär. Weil sie naturgemäß zugänglich sein müssen, werden sie oftmals in Firewalls ausgespart. Hackerangriffe, etwa durch Buffer Overflow, ermöglichen unter Umstände eine komplette Kontrolle des jeweiligen Systems. Betroffen sind verschiedene Unix- und Linux-Derivate.

Abhilfe:

- Die Services auf allen Maschinen deaktivieren, die keine Mail-Server sind.

- Aktuelle Patches installieren und Ratschläge beachten.

- Unter Umständen den Zugriff auf die Dienste durch verschlüsselte TCP-Wrapper wie SSH oder SSL kontrollieren.

10. SNMP-Kennungen "public" und "private"

Das von vielen Adminstratoren verwendete Simple Network Management Protocol (SNMP) nutzt als einzigen Authentifizierungsmechanismus einen so genannten Community String, der unverschlüsselt übers Netz geht. Damit nicht genug: Meist bleibt die Voreinstellung "public" unverändert oder wird nur in das Gegenteil "private" geändert. Angreifer können einfach die Konfiguration von Geräten manipulieren oder diese remote abschalten. Außerdem ermöglicht das Sniffen (Schnüffeln) von SNMP-Traffic ein Ausspähen der Netzwerkstruktur für die Planung detaillierterer Angriffe. Betroffen sind prinzipiell alle System- und Netzwerkgeräte.

Abhilfe:

- SNMP abschalten, wenn nicht zwingend nötig.

- Andernfalls für die Community Names die gleichen strengen Regeln anwenden wie für Passwörter unter Punkt 8.

- Community Names mit "snmpwalk" überprüfen.

- MIBs (Management Information Bases) möglichst als "read only" anlegen.

"Außer Konkurrenz" verweist das SANS-Dokument ferner auf die durch den "ILOVEYOU"-Virus populär gewordenen Sicherheitslücken durch Scripting-Probleme auf Windows-Rechnern mit Internet Explorer und Microsoft Office. Die Experten empfehlen in diesem Zusammenhang, den entsprechenden Hinweisen von Microsoft zu folgen.

Das Originaldokument der SANS befindet sich unter http://www.sans.org/10threats.doc.

Abb: Web-Server mit starker Verschlüsselungstechnik sind in Europa noch Mangelware. Dabei dürfte es nicht bleiben: Seit Anfang des Jahres haben die USA ihre Exportrestriktionen auf Kryptografie gelockert. Quelle: Jupiter Communications, Netcraft SSL Survey vom Oktober 1999