Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

30-09-2010, 21:47 door [Account Verwijderd], 10 reacties
[Verwijderd]
Reacties (10)
30-09-2010, 22:14 door xy22
Top! Bedankt voor de info.
30-09-2010, 22:44 door Bitwiper
Peter, sorry, in m'n bijdrage in https://secure.security.nl/artikel/34584/1/Microsoft_noodpatch_voor_ASP.NET-lek.html van afgelopen dinsdag (2010-09-28) 21:46 had ik het fout toen ik stelde dat het niet om een bug in .NET ging maar in ASP.NET.

Ik heb die bijdrage zojuist aangevuld met een correctie: het gaat namelijk wel om een vulnerability in alle .NET framework versies. Echter deze bug is ontdekt als een kwetsbaarheid in ASP.NET, een Microsoft framework voor web-applicaties dat bouwt op zo'n .NET framework. Onder meer Microsoft's eigen Sharepoint server is daardoor kwetsbaar (maar vermoedelijk ook enorm veel webshops).

In hoeverre deze kwetsbaarheid exploitable is in applicaties die van .NET gebruik maken, weet ik niet, maar vermoedelijk zijn alle .NET-based applicaties, die gebruik maken van de betrokken cryptografische functies, kwetsbaar. Ik voeg zoe hieronder aanvullende gegevens toe over de kwetsbaarheid zoals deze zich via ASP.NET manifesteert.
30-09-2010, 23:01 door Spiff has left the building
Voor Vista SP2 wordt overigens een set van twee updates geleverd via automatische update:

Security Update for Microsoft .NET Framework 3.5 SP1 on Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 x86 (KB2416473)
http://support.microsoft.com/kb/2416473

Security Update for Microsoft .NET Framework 3.5 SP1, Windows Vista SP2, and Windows Server 2008 SP2 x86 (KB2416470)
http://support.microsoft.com/kb/2416470
30-09-2010, 23:35 door Bitwiper
===== Hoe check je of een website kwetsbaar is =====

In http://www.troyhunt.com/2010/09/do-you-trust-your-hosting-provider-and.html legt Troy Hunt uit hoe je vast kunt stellen of jouw ISP waar je jouw ASP.NET web-applicatie hebt gehost, de .NET patches al gedraaid heeft of niet, nl. door in je webbrowser als URL in te tikken:
http://mijn.website/WebResource.axd?d=zt87v2JeCPKYzqUfGEffpA2
Hierbij moet je natuurlijk "mijn.website" door de hostname van jouw website vervangen. De rest van de URL werkt prima, niks aan wijzigen. Lees Troy z'n page voor uitleg.

Ik heb het vandaag zelf getest op een ASP.NET website voordat en nadat ik een drietal .NET patches daarop geinstalleerd had. Welliswaar was voor het patchen het "screen of death" niet yellow (*), maar de foutmeldingen kwamen grotendeels overeen en met name de volgende tekst was zichtbaar:
Error: Padding is invalid and cannot be removed.
Thanks Microsoft, hoe makkelijk kun je het maken?

Na het patchen (aanvulling 23:50: hierbij waren geen reboots nodig!) verschijnen nog steeds foumeldingen, maar daarin is niets van crypto (zoals "rijndael", "encrypt", "decrypt" etc.) terug te vinden, en de error luidt nu:
Error: This is an invalid webresource request.
Open deur natuurlijk, op korte termijn zul je veel van dit soort pogingen (WebResource.axd en/of random cookies) terugvinden in je logs (van scriptkiddies en eventueel van klanten die zich zorgen maken over de beveiliging van jouw webshop).

(*) Info over "yellow screen of death": http://dotnetslackers.com/articles/aspnet/ErrorLoggingModulesAndHandlers.aspx
30-09-2010, 23:35 door Bitwiper
===== Redenen voor PATCH PATCH PATCH (met name ASP.NET websites en zeker DotNetNuke) =====

Gisteren heeft Microsoft een webcast gehouden over deze kwetsbaarheid. In deze page wordt daar verslag van gedaan, onderstaand 1 van de vragen die kennelijk door iemand van Microsoft is beantwoord: http://www.cupfighter.net/index.php/2010/09/ms10-070/#more-1158
door Frank Breedijk[...]
Q: Why did Microsoft release and OOB update for a vulnerability rated “only” as important?
A: The vulnerability itself is rated as Important because it is not a vulnerability that directly leads to remote code execution on the vulnerable system, however exploitation of the vulnerability will lead to disclosure of all information in the webroot including web.config. This information can be used for session hijacking, compromising backend databases and to attack associations between websites, e.g. the association of a website with PayPal. Hence an out of band patch was warranted.
[...]
Mocht er nog iemand twijfelen:
lees http://twitter.com/thaidn/status/25560279139
lees http://twitter.com/julianor/status/25808104889
bekijk http://www.youtube.com/watch?v=mP6mKLh1FBw (titel: POET vs ASP.NET: don't waste time implementing useless workarounds - you should patch ;-)
lees http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf
lees http://www.argeniss.com/research/TokenKidnappingRevengePaper.pdf (privilege escalation attacks)

De hack-tool POET die ASP.NET "overneemt" is nog niet vrijgegeven, maar anderen ontwikkelen vergelijkbare tools (en geven die deels ook al vrij):
- http://twitter.com/nicowaisman/status/25836370370
- http://www.immunityinc.com/ceu-index.shtml (bron: http://twitter.com/nicowaisman/status/25999446775)
- http://www.gdssecurity.com/l/b/2010/09/28/new-version-of-padbuster-available-for-download/

Ik was al niet zo van "kopen via internet" maar dit kon wel eens een enorm drama worden...
30-09-2010, 23:48 door Bitwiper
Door Spiff: Voor Vista SP2 wordt overigens een set van twee updates geleverd via automatische update:
Je krijgt er zoveel aangeboden als je versies van.NET framework op je PC hebt. Op m'n XPSP3 kreeg ik er 3 aangeboden. Ik hoefde (net als op die W2K3 server eerder vandaag) niet te rebooten.

Het (absurde) aantal verschillende paches afhankelijk van OS, CPU-type, woordbreedte (32/64 bit) en .NET framework is te zien in http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx (welke vandaag is geupdate in verband met de via automatic updates verspreide patches).
01-10-2010, 12:41 door Spiff has left the building
Dankjewel voor je uitgebreide bijdragen, Bitwiper.

En je hebt gelijk, het aantal verschillende patches dat te zien is op
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
dat is inderdaad vrij absurd.

Wat betreft die twee die ik kreeg aangeboden,
je schreef,
Je krijgt er zoveel aangeboden als je versies van.NET framework op je PC hebt.
Voor zover ik kan zien heb ik alleen Microsoft .NET Framework 3.5 SP1 staan, plus Microsoft .NET Framework 4 Client Profile.
Voor die .NET Framework 4 Client Profile was er geen update, voor die .NET Framework 3.5 SP1 echter twéé. De bovengenoemde KB2416470 en KB2416473.
Onder "Geschiedenis van updates" zie ik ze beide staan.
Onder "Geïnstalleerde updates" (d.w.z.: updates met de mogelijkheid ze te verwijderen) zie ik de Security Update for Microsoft .NET Framework 3.5 SP1 KB2416473 staan, maar niet de KB2416470 (die is dus niet verwijderbaar), en tevens zie ik daar nog een Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) staan, samen met KB2416473 geïnstalleerd, maar volgens de volgende bron merkwaardig genoeg al van 26-1-2009 stammend, als ik me niet vergis:
http://www.microsoft.com/downloads/details.aspx?FamilyID=B9DE7937-2C12-4F16-AD66-A31B83931953&displayLang=nl

Een hersenkraker, hoor, Microsoft's update systeem.
Moet blijkbaar gebruikt worden onder het motto "niet nadenken, maar doen".
01-10-2010, 13:51 door Anoniem
Wie vind het zo leuk om -1 uit te delen?
01-10-2010, 14:34 door Spiff has left the building
Door Anoniem: Wie vind het zo leuk om -1 uit te delen?
Geen idee, er zijn altijd wel een paar halve garen die dat leuk vinden te doen, en die het vertikken aan te geven waaróm ze dat doen.
Maar iemand heeft alles weer gecorrigeerd naar +0, zie ik. Dankjewel, hoor.
02-10-2010, 20:08 door Anoniem
Ik vond het een goede gelegenheid om .NET 1 t/m 4 maar eens te verwijderen. Ik draai toch niets wat het absoluut nodig heeft en met meer dan 100mb per stuk is het dan maar ballast.

Dat uninstallen ging nog niet eens zo eenvoudig en wilde via het configuratiescherm, software niet eens lukken. Met de dotnetfx cleanup tool ging het echter prima.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.