Marcus Murray
Einer meiner Lieblingsspeaker auf der teched – Marcus Murray
und passend zur letzten Session bleibe ich dem Securitythema treu
kleines Beispiel:
Ein Hacker baut ein Excel-Game und stellt es aufs Netz, du lädst es runter (coolest game ever Suche in Google bringt es als ersten Hit)
und führst es auf einer Win7Box 64bitmit Office 2007, fully Patched aus
Excel schreit, Makros sind disabled – Du enablest Makros, und damit gehört diese Box mir (“Verdammt, ist der Junge gut”)
Ich hab eine Commandline von deinem Rechner
mit einem 1-Liner erzeuge ich nun einen Webdownloader und compiliere ihn direkt auf deiner Maschine
damit kann ich nun über die Commandline auf meinen Rechner Dinge aus dem Web downloaden, die ich halt so zum hacken brauche
hast Du normalen Win7 Einstellungen(UAC) , kann ich auf deiner Kiste wenig machen – hat der User aber grundsätzlich lokale Adminrechte, verbindet sich der Hacker (mit dem Useraccount) auf andere Rechner und hat damit dort lokale Adminrechte – und stiehlt dann dort die Hashes – mit denen kann ich mich dann auf andere Rechner verbinden, solange, bis mir ein Server gehört.
Hilft es, User zu schulen ? Nicht wirklich !
UAC hilft nicht, wenn ich Admin bin, weil sich the bad guy unter meinem Account auf andere Maschinen verbinden kann
adv. Firewall – würde helfen, weil ich mich nicht weiterverbinden kann
Hardening (nur Signed Makros) – ja, würde helfen
Applocker – ja, würde auch helfen !
LAW 1: Wenn ein Bad Guy dich dazu bringen kann, sein Programm auf deinem Rechner auszuführen, ist es nicht mehr dein Rechner
AppLocker hilft dagegen !
Application Identity Service = automatic
und User sollte kein lokaler Admin sein, weil er dann den Applocker ändern kann
MArcus empfiehlt ein Whitelisting beim Applocker – Referenzmaschine aufbauen, alle Apps und alle Scripte durchsuchen lassen und das für alle gültig machen (oder halt fast alle, wo es halt geht)
UAC
ist der Weg, um Applikationsprogramierer dazu zu bringen, Apps zu developen, die keine lokalen Adminrechte brauchen
ideal sind User, die keine lokalen Adminrechte haben
gib ihnen einen zusätzlichen lokalen Useraccount mit Adminrechten, mit dem sie sich im Notfall einloggen können (kein RunAs) – sehr sicher
Advanced Firewall
ein Konzept haben sie bei einem Kunden gemacht:
alle Clients sind in einem Netz (office), alle Frontendserver in einem zweiten Netz und alle Backends im dritten
zu den clients könne sich nur def. AdminPCs verbinden, die IPSec haben, sonst niemand
das Officenetz kann sich nur zu den Frontend-Servern verbinden
das Frontend Netz zu den Backend Servern
und auch bei diesen Zugriffen ist genau definiert, welcher Rechner wohin zugreifen kann
hat 1 Woche gedauert, ein Proof of Concept zu bauen
dauert, besonders um alte Systeme einzubinden, ist aber das Ziel
Die nächste Demo funktioniert auch nur, wenn ein XP Rechner im Spiel ist, weil in Win7 sehr viele Dinge nicht mehr funktionieren
Ich hab Angst vor dem Typen – wieder mal – jede Session ist ernsthaft deprimierend und lässt mich nur hoffen, dass da draußen weniger böse Jungs sind mit seinem Wissen (leider glaube ich es nicht wirklich) – Was lernen wir aber draus ? Mach es den bösen Jungs nicht zu leicht (und ich sehe ihn seit 4 Jahren, die Attacken werden von System zu System komplizierter)
Die Demo funkt nicht, wenn du eine reine Kerberos Authentifizierung hast, was in einem Win7/2008 System kein Problem ist – und ich mache vorher das ganze mit Auditing, dann kenne ich auch die Ausnahmen, die ich brauche
Christian – live von der teched in Berlin
Comments
- Anonymous
December 07, 2009
http://web.archive.org/web/*/http://www.excelworm.com