Web

Die zehn schlimmsten Sicherheitslöcher im Netz

05.06.2000
Top-10-Liste des SANS Institute

MÜNCHEN (COMPUTERWOCHE) - Das unabhängige und gemeinnützige SANS (System Administration, Networking and Security) Institute, Maryland, hat eine Liste der zehn größten Sicherheitslücken veröffentlicht, die Angriffe auf Netzwerke ermöglichen. Neben einer detaillierten Beschreibung der einzelnen Probleme geben die Experten - zu den SANS-Mitgliedern zählen über 96 000 System- und Netzadministratoren sowie Sicherheitsfachleute - auch Hilfestellung, wie sich Anwender jeweils schützen können.

Nachdem zu Beginn dieses Jahres große E-Commerce-Sites wie Amazon.com, eBay, E*Trade und Yahoo sowie andere prominente Web-Auftritte wie die von CNN und FBI durch Hackerangriffe teilweise völlig lahm gelegt wurden, wollen wir Ihnen die SANS-Liste nicht vorenthalten.

BIND-Schwachstellen: nxt, quiv und in.named erlauben Root-Missbrauch

Das vor allem im Bereich Domain Name Services (DNS) weit verbreitete "BIND"-Package (Berkeley Internet Name Domain) besitzt eine Reihe von Schwachstellen, die es Angreifern erlauben, sich Root-Rechte zu verschaffen und entsprechend große Schäden anzurichten. Betroffen sind derzeit alle Versionen vor 8.2.2. pl5 auf verschiedenen Unix- und Linux-Systemen.

Abhilfe:

Auf allen Systemen, die nicht ausdrücklich als DNS-Server dienen, den BIND name daemon ("named") abschalten; evtl. die DNS-Software sogar komplett entfernen.

Auf DNS-Systemen das aktuelle Release BIND 8.2.2 pl5 einspielen.

BIND als non-privilieged user laufen lassen. Allerdings dürfen nur Root-Prozesse Ports unterhalb von 1024 nutzen (Voraussetzung für DNS). BIND muss daher so konfiguriert werden, dass es nach Zuweisung eines Ports seine User-ID ändert.

BIND auf einer chroot()-Verzeichnisstruktur installieren.

Angreifbare CGI-Programme und Applikations-Erweiterungen (z.B. ColdFusion) auf Web-Servern

Viele Web-Server besitzen eine Schnittstelle für CGI-Programme (Common Gateway Interface), um die Einrichtung interaktiver Sites zu erleichtern. Oft werden Beispiel-CGI-Skripts installiert, die Sicherheitslücken aufweisen. Gleiches gilt für den Application Server Cold Fusion von Allaire, der ebenfalls mit gefährlichen Musterskripts geliefert wird. Aber auch andere CGI-Programme sind nicht immer sicher. Betroffen sind prinzipiell alle Web-Server.

Abhilfe:

Web-Server nicht als Root laufen lassen.

CGI-Interpreter aus bin-Verzeichnissen entfernen.

Unsichere CGI-Skripts löschen.

Bei der Entwicklung eigener CGI-Programme auf Sicherheit achten.

Auf Web-Servern, die keine CGI-Unterstützung benötigen, diese deaktivieren.

Den Web-Server in einer chroot()-Umgebung installieren.

RPC-Schwachstellen (Remote Procedure Call): rpc.ttdbserverd (Tool Talk), rpn.csmd (Calendar Manager) und rpc.statd erlauben Root-Missbrauch

Remote Procedure Calls, die häufig für den Zugriff auf bestimmte Netzwerkdienste genutzt werden, erlauben den Aufruf von Programmen auf entfernten Maschinen. Fehler in RPC ermöglichen es Hackern, ein System zu übernehmen. Betroffen sind verschiedene Unix- und Linux-Dialekte.

Abhilfe:

Wo immer das möglich ist, sollte RPC von Systemen mit direktem Kontakt zum Internet entfernt werden.

Wenn RPC unverzichtbar ist, stets die aktuellsten Patches installieren (Tipp: Datenbanken der Hersteller nach "tooltalk patches" durchsuchen).

RDS-Sicherheitsloch in Microsofts Internet Information Server (IIS)

Fehler in den Remote Data Services (RDS) von Microsofts Web-Server, der auf vielen NT- und Windows-2000-Servern installiert ist, gestatten Angreifern die Ausführung externer Kommandos mit Administrator-Privilegien. Betroffen sind NT/Windows-2000-Systeme mit installiertem IIS.

Abhilfe:

Eigene Handlers installieren und den Verweis auf "VbBusObj" in der Registrierdatenbank (Schlüssel "HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/Parameters/ADCLaunch/VbBusObj.VbBusObjCls") entfernen.

Die vom Hersteller selbst veröffentlichten Informationen beachten, um RDS abzuschalten oder die Sicherheitslücken zu beseitigen.

Sendmail Buffer Overflow, Pipe Attacks und MIMEbo erlauben Root-Missbrauch

Der populäre MTA (Mail Transfer Agent) "Sendmail" weist eine Reihe von Sicherheitslecks auf. Beispielsweise lässt sich die Software über eine manipulierte Mail anweisen, die Passwort-Datei des jeweiligen Rechners an einen Angreifer zu senden, der diese dann in Ruhe auf seinem System entschlüsseln kann. Betroffen sind verschiedene Unix- und Linux-Varianten.

Abhilfe:

Die aktuelle Sendmail-Version oder entsprechende Patches installieren.

Auf Maschinen, die keine Mail-Server oder -Relays sind, Sendmail nicht im Daemon-Modus laufen lassen (Schalter "-bd" abschalten).

sadmind und mountd

"Sadmind" erlaubt die Remote-Verwaltung von Solaris-Hosts mittels grafischer Benutzerschnittstelle; "Mountd" dient zur Kontrolle des Network File System (NFS) auf Unix-Systemen. Buffer Overflows gestatten bei beiden Programmen die Übernahme des Rechners mit Root-Rechten. Betroffen sind zahlreiche Unix-Dialekte (bei Sadmind nur Sun Solaris) Abhilfe:

Auf Rechnern mit direktem Internet-Zugang die Programme möglichst deinstallieren.

Wo dies nicht möglich ist, in jedem Fall die aktuellsten Patches des jeweiligen Herstellers einspielen.

File Sharing über Netze: NetBIOS und Windows NT (Ports 135-139, Windows 2000 Port 445), Unix NFS-Export (Port 2049), Macintosh Web Sharing/Appleshare IP (Ports 80, 427, 548)

Gemeinsamer Dateizugriff über das Netzwerk ermöglicht es unter Umständen unerwünschten Dritten, kritische Systemdateien auszulesen oder die vollständige Kontrolle über ein System zu erlangen. Betroffen sind Unix, Windows- und Macintosh-Systeme.

Abhilfe:

Beim Sharing gemounteter Laufwerke nur die wirklich nötigen Verzeichnisse frei geben.

Sharing nur für dedizierte IP-Adressen freigeben (DNS-Namen lassen sich spoofen = vortäuschen)

Auf Windows-Systemen alle Freigaben mit starken Passwörtern sichern.

Auf NT-Hosts das anonyme Hinzufügen von Benutzern, Gruppen, Systemkonfigurationen oder Registrierschlüsseln durch "null-session"-Verbindung verhindern; eingehende Verbindungen auf den NetBIOS Session Service (TCP 139) blockieren; evtl. den Registrierschlüssel "RestrictAnonymous" (siehe Microsoft Knowlegede Base) installieren.

Auf Macintosh-Rechnern File Sharing und WebSharing nur einschalten wenn unbedingt nötig. Andernfalls durch starke Passwörter absichern und zwischenzeitig abschalten.

Benutzerkennungen, vor allem Root/Administator, ohne oder mit nicht sicherem Passwort

Viele Systeme werden mit "Demo"- oder "Gast"-Accounts ohne Passwort oder mit weidlich bekannten Passwörtern ausgeliefert. Darüber hinaus neigen von überbeschäftigte Systemverwalter dazu, wichtige Zugänge entweder ohne Passwortschutz oder mit leicht zu erratenden Begriffen anzulegen. Betroffen sind grundsätzlich alle Systeme.

Abhilfe:

Strenge Richtlinien für die Passwortvergabe und Updatehäufigkeit festlegen (auch für die Chefetage), für alle Rechner mit Internet-Zugang vorgegebene Passwörter ersetzen.

Passwörter mit entsprechenden Crack-Programmen testen (vorher schriftliche Erlaubnis der Nutzer einholen!).

Tools installieren, die Passwörter beim Wechseln auf Tauglichkeit überprüfen.

Regelmäßigen Passwortwechsel erzwingen (Passwörter ablaufen lassen).

Passwort-History einrichten, so dass die Anwender nicht zuvor benutzte Begriffe erneut verwenden.

IMAP und POP3

Die E-Mail-Protokolle IMAP und POP3 sind äußerst populär. Weil sie naturgemäß zugänglich sein müssen, werden sie oftmals in Firewalls ausgespart. Hackerangriffe, etwa durch Buffer Overflow, ermöglichen unter Umstände eine komplette Kontrolle des jeweiligen Systems. Betroffen sind verschiedene Unix- und Linux-Derivate.

Abhilfe:

Die Services auf allen Maschinen deaktivieren, die keine Mail-Server sind.

Aktuelle Patches installieren und Ratschläge beachten.

Unter Umständen den Zugriff auf die Dienste durch verschlüsselte TCP-Wrapper wie SSH oder SSL kontrollieren.

SNMP-Kennungen "public" und "private"

Das von vielen Adminstratoren verwendete Simple Network Management Protocol (SNMP) nutzt als einzigen Authentifizierungsmechanismus einen so genannten Community String, der unverschlüsselt übers Netz geht. Damit nicht genug: Meist bleibt die Voreinstellung "public" unverändert oder wird nur in das Gegenteil "private" geändert. Angreifer könne einfach die Konfiguration von Geräten manipulieren oder diese remote abschalten. Außerdem ermöglicht das Sniffen (Schnüffeln) von SNMP-Traffic ein Ausspähen der Netzwerkstruktur für die Planung detaillierterer Angriffe. Betroffen sind prinzipiell alle System- und Netzwerkgeräte.

Abhilfe:

SNMP abschalten, wenn nicht zwingend nötig.

Andernfalls für die Community Names die gleichen strengen Regeln anwenden wie für Passwörter unter Punkt 8.

Community Names mit "snmpwalk" überprüfen.

MIBs (Management Information Bases) möglichst als "read only" anlegen.

"Außer Konkurrenz" verweist das SANS-Dokument ferner auf die durch den "ILOVEYOU"-Virus populär gewordenen Sicherheitslücken durch Scripting-Probleme auf Windows-Rechnern mit Internet Explorer und Microsoft Office. Die Experten empfehlen in diesem Zusammenhang, den entsprechenden Hinweisen von Microsoft zu folgen und - sobald verfügbar - das Sicherheits-Update für "Outlook" zu installieren. Es reiche nicht aus, nur die (hoffentlich installierte) Antivirensoftware auf dem neuesten Stand zu halten.

Allen interessierten oder potenziell betroffenen Systemverwaltern empfehlen wir über die Lektüre hinaus den Download der kompletten Liste (im Word-Format), die zahlreiche Detailinformationen und weiterführende Verweise enthält.