Null Problemo
Seite 2: Ausgetrickst
Ausgetrickst
Der Code der Original-Demo, ein recht alter mhtml-Exploit, der seit langem massiv ausgenutzt wird, um Spyware zu installieren, wird von vielen Antiviren-Programmen als gefährlich erkannt.
| AntiVir | HTML/Exploit.OBJ-Mht |
| BitDefender | Exploit.Html.MhtRedir.Gen (suspected) |
| ClamAV | Exploit.HTML.MHTRedir-8 |
| eTrust-VET | HTML.MHTMLRedir!exploit |
| F-Secure | Exploit.HTML.Mht |
| Fortinet | HTML/MHTRedir.A |
| McAfee | Exploit-MhtRedir.gen |
| Kaspersky | Exploit.HTML.Mht |
| Panda | Exploit/Mhtredir.gen |
| Symantec | Bloodhound.Exploit.6 |
| Die Erkennung des mhtml-Exploits durch Antiviren-Software testeten wir mit Hilfe von AV-Test. | |
Das Schweigen der Alarmanlagen
Dass auch Intrusion-Detection und Prevention-Systeme nicht auf das merkwürdige Verhalten des Internet Explorer vorbereitet sind, bestätigte ein erster schneller Test mit Snort. Doch auch die Einbruchsverhinderungssysteme der namhaften Firma ISS ließen sich einfach austricksen. Und das obwohl doch die IPSe aus der Proventia-Serie sogar Protokoll-Anomalien erkennen sollen.
Proventia Desktop -- laut Hersteller mit denselben Erkennungsfähigkeiten wie die Standalone-Systeme ausgerüstet -- warnte zwar brav vor einem Exploit, der die Windows-Hilfefunktion ausnutzt, um Befehle auf dem System des Anwenders auszuführen, und verhinderte, dass die Seite geladen wurde.
Doch sobald Null-Zeichen ins Spiel kamen, versagten die Signaturen des Intrusion-Prevention-Systems. Und auch mit der beworbenen Anomalie-Erkennung scheint es nicht sonderlich weit her zu sein. Jedenfalls waren selbst HTML-Dateien mit 4097 NUL-Zeichen an mehreren Stellen noch normal genug, um ohne Warnung zu passieren.
heise Security hat ISS von diesem Sachverhalt unterrichtet. Der Hersteller will zum Erscheinen des Artikels für seine IDS/IPS-Produkte neue Signaturen bereitstellen, die diese Verschleierungstaktik erkennen.
Andere Intrusion-Detection oder Prevention-Systeme haben wir bisher nicht getestet, es steht jedoch zu befürchten, dass sich diese ebenso leicht austricksen lassen. Falls Sie eines im Einsatz haben, können Sie es selbst auf den speziell dafür erstellten Demo-Seiten testen.
Gewaschen
Weniger kulant zeigte sich in unserem Test die Content-Security-Lösung Webwasher. Der Proxy in Webwasher CSM 5.2 ersetzt in der Standardkonfiguration die NUL-Zeichen (0x00) durch Leerzeichen (0x20). Das hatte zur Folge, dass die Seiten zwar angezeigt wurden, der Internet Explorer HTML-Tags und Skript-Code nicht mehr als solche erkannte und interpretierte. Da solche NUL-Zeichen in normalen Webseiten eigentlich nichts zu suchen haben, sicherlich eine vernünftige Schutzmaßnahme. Reine Proxies wie Squid leiten die Nullen hingegen einfach an den Browser weiter.
