26C3: Schwächen im Netzwerk-Design

Laut dem Sicherheitsforscher Fabian Yamaguchi erlaubt die Kombination einer Reihe von typischen Schwachstellen gefährliche Angriffe auf viele durchschnittliche Netzwerke .

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Lesezeit: 3 Min.

Der Sicherheitsforscher Fabian Yamaguchi hat auf dem 26. Chaos Communication Congress (26C3) in Berlin eine Reihe von Schwachstellen vorgeführt, die in vielen durchschnittlichen Kommunikationsnetzwerken anzutreffen seien und die sich von der Zugangs- bis zur Anwendungsebene hin erstrecken. Genutzt würden viele kleine Design-Fehler, die aber zusammengenommen einen "gefährlichen Angriff" erlaubten, erklärte der Berliner Security-Experte, der im Vorjahr Schwächen im grundlegenden Internetprotokoll TCP beleuchtet hatte. Insgesamt sei es über die Ausnutzung der "Bugs" möglich, einen Proxy-Server wie Squid zu beherrschen und den gesamten darüber laufenden Netzwerkverkehr zu kontrollieren.

Üblich sei es etwa bei einem Unternehmensnetzwerk, eine "entmilitarisierte Zone" (DMZ) mit eingeschränkten Zugriffsmöglichkeiten auf angeschlossene Server einzurichten, erläuterte Yamaguchi sein Vorgehen. Falls ein Angreifer ein dort verfügbares System kompromittiere, sei er noch nicht im lokalen Netzwerk. Er müsse dafür noch eine Firewall überwinden. Es ergebe nun wenig Sinn, eine in diesem Zwischenbereich aufgestellte Maschine direkt anzugreifen. Es empfehle sich stattdessen der Umweg über einen der angesprochenen Clients, um die herum sich ein "Zoo von Technologien" wie Flash, Media Player oder Chat-Systeme gruppiere.

Konkret suchte sich "fabs" im geschilderten Fall die Instant-Messenger-Software Pidgin aus, bei der sich Emoticons im MSN-Chat als besonders anfällig für Angriffe gezeigt hätten. So ersetzt das verwendete "lausige" Protokoll dem Sicherheitsexperten zufolge Zeichen- und Wortgruppen durch Bilder, wobei das dargestellte Symbol mehr oder weniger frei angefragt werden könne. Durch eine vom Protokoll vorgegebene falsche Codierung eines Texts in Binärform sei es letztlich möglich gewesen, den Download eines ausführbaren Programms zu veranlassen und einen ersten Fuß ins Netzwerk zu bekommen.

Im Anschluss machte Yamaguchi nach eigenen Angaben einen Schritt zurück auf die Zugangsebene mit dem Ziel, einen Treiber für eine Ethernet-Netzwerkkarte ins Visier zu nehmen und so auf die Vermittlungsebene überzugreifen. Dabei sei er in seinem Fall bei einem e1000-Linux-Treiber für Intel-Geräte auf einen Fehler in der Berechnung der maximal zulässigen Paket- bzw. Rahmengröße, der sogenannten Maximum Transmission Unit (MTU), gestoßen. Dieser beziehe sich auf das mangelnde Vermögen, zwischen "Jumbo Frames" für Gigabit-Ethernet und ihren Pendants in Netzwerken mit geringeren Übertragungsraten sicher und auch unter besonderen Umständen zu unterscheiden. Alle diesbezüglich ausgegebenen Sicherheitshinweise von Intel oder Red Hat hätten den Fehler zusätzlich falsch interpretiert, sodass die Firewall ebenfalls habe überwunden werden können.

Beim letzten Schritt zur Erlangung der Kontrolle über den Webverkehr half dem Hacker zufolge die Tatsache, dass der vorgefundene Squid-Server auch eine 24-stündige Speicherung des vom Domain Name Systems (DNS) ausgelösten Verkehrs in einem Cache vornehme. Der dabei verwendete Authentifizierungsvorgang sei schon oft kritisiert worden, da man für seinen Hack nur 32 passende Bits finden müsse. Mit gezielten Abfragen habe sich nun der Cache verwirren und ein offener, missbrauchbarer Port ausfindig machen lassen. Abschließend sei eine fehlerhafte TCP-Implementierung dazugekommen, über die sich der Hardware-Filter in einem Hin und Her nutzloser Patches hätte ausschalten lassen. Yamaguchis Schlussfolgerung: "Es gibt keine isolierten Schwachstellen." Die Sicherheit von Netzwerk-Komponenten hänge von der ihrer Umgebung ab. (it)