Software Exploitation - Exam

Aufgabe 1)

Das Verständnis und die Anwendung von Bedrohungs- und Risikoanalysen sind essenziell für die Sicherheit in der Softwareentwicklung. Sie helfen dabei, potenzielle Sicherheitslücken frühzeitig zu erkennen und Gegenmaßnahmen zu treffen, bevor es zu Sicherheitsvorfällen kommt. Zentraler Bestandteil dieser Analysen sind Methoden wie STRIDE zur Bedrohungsanalyse und Modelle wie DREAD oder Risiko-Matrizen zur Risikobewertung.

a)

Bedrohungsanalyse mit STRIDE: Wende die Methode STRIDE auf eine Webapplikation an, die persönliche Daten von Anwendern speichert. Identifiziere mindestens einen potenziellen Angreifer sowie je zwei Schwachstellen und Angriffsvektoren für die folgenden Kategorien: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege. Beschreibe prägnant jeden der gefundenen Punkte.

Lösung:

Bedrohungsanalyse mit STRIDE für eine Webapplikation, die persönliche Daten von Anwendern speichert:

Nachfolgend werden die verschiedenen Kategorien von STRIDE betrachtet und für jede Kategorie werden ein potenzieller Angreifer, zwei Schwachstellen und zwei Angriffsvektoren beschrieben.

• Spoofing (Vortäuschung)- Angreifer: Ein externer Hacker- Schwachstellen:
  • Schwache Authentifizierungsmechanismen (z.B. einfache Passwörter)
  • Mangelnde Überprüfung der Benutzeridentität bei der Anmeldung
  - Angriffsvektoren:
  • Phishing-Angriffe zur Entwendung von Anmeldedaten
  • Brute-Force-Angriffe zur Erraten von Passwörtern
• Tampering (Manipulation)- Angreifer: Ein unzufriedener Mitarbeiter- Schwachstellen:
  • Fehlende Zugangskontrollen zu Datenbanken
  • Unzureichende Integritätsprüfungen der gespeicherten Daten
  - Angriffsvektoren:
  • Direkter Zugriff auf die Datenbank und Manipulation von Einträgen
  • Über die API gesendete und manipulierte Anfragepayloads
• Repudiation (Abstreitbarkeit)- Angreifer: Ein externer Nutzer- Schwachstellen:
  • Unzureichende Protokollierung der Benutzeraktionen
  • Fehlende oder ungesicherte Zeitstempel in den Protokolldateien
  - Angriffsvektoren:
  • Änderung der Protokolldateien, um Aktionen zu vertuschen
• Information Disclosure (Informationsweitergabe)- Angreifer: Ein anderer Benutzer der Applikation- Schwachstellen:
  • Fehlende Verschlüsselung sensitiver Daten
  • Datenlecks in Fehlerberichten oder Logfiles
  - Angriffsvektoren:
  • Abhören (Sniffing) von Netzwerkverkehr
  • Chance auf ungesicherten Zugriff auf gespeicherte Daten
• Denial of Service (Dienstverweigerung)- Angreifer: Ein externer Angreifer, der die Verfügbarkeit stören möchte- Schwachstellen:
  • Fehlende Ratenbegrenzung für API-Aufrufe
  • Vernachlässigte Ressourcenbegrenzung bei Serveranfragen
  - Angriffsvektoren:
  • Überlastung des Servers durch eine Flut von Anfragen (DDoS)
  • Ausnutzung von Schwachstellen zur Erschöpfung der Serverressourcen
• Elevation of Privilege (Erhöhung von Berechtigungen)- Angreifer: Ein interner Benutzer mit eingeschränktem Zugriff- Schwachstellen:
  • Schlecht definierte Rollen und Berechtigungen
  • Fehler in der Zugriffskontrolllogik
  - Angriffsvektoren:
  • Ausnutzen von Schwachstellen in der Rollenverwaltung zur Erlangung höherer Rechte
  • Direkte Manipulation von Berechtigungstokens

Durch die Anwendung der STRIDE-Methode werden potenzielle Bedrohungen und Schwachstellen frühzeitig identifiziert und es können geeignete Sicherheitsmaßnahmen getroffen werden, um die Webapplikation zu schützen.

b)

Risikobewertung: Wähle zwei der im vorigen Teil identifizierten Schwachstellen aus und führe eine Risikobewertung durch. Nutze die Formel

• Wahrscheinlichkeitsbewertung
• Auswirkungen eines Vorfalls.

Beschreibe für jede Schwachstelle die Wahrscheinlichkeit sowie die möglichen Auswirkungen, und berechne das Risiko anhand der Formel R = P \times I

Lösung:

Risikobewertung

Für die Risikobewertung werden zwei der zuvor identifizierten Schwachstellen ausgewählt:

• Schwache Authentifizierungsmechanismen (Spoofing)
• Fehlende Verschlüsselung sensitiver Daten (Information Disclosure)

Die Risikobewertung erfolgt anhand der Formel: R = P \times I, wobei P für die Wahrscheinlichkeitsbewertung und I für die Auswirkungen eines Vorfalls steht.

• Schwäche: Schwache Authentifizierungsmechanismen (Spoofing)- Wahrscheinlichkeit (P): Hoch (9/10), da einfache Passwörter leicht zu erraten sind und Phishing-Angriffe häufig vorkommen.- Auswirkungen (I): Schwerwiegend (8/10), da ein erfolgreicher Spoofing-Angriff zu unbefugtem Zugriff auf persönliche Daten führen kann.- Berechnung des Risikos (R):
  • Wahrscheinlichkeit: 9/10
  • Auswirkungen: 8/10
  • Risiko: R = P \times I = 9 \times 8 = 72
• Schwäche: Fehlende Verschlüsselung sensitiver Daten (Information Disclosure)- Wahrscheinlichkeit (P): Mittel (6/10), da es verschiedene Sicherheitskontrollen gibt, aber dennoch Angriffe möglich sind.- Auswirkungen (I): Sehr hoch (9/10), da die unverschlüsselte Weitergabe von sensiblen Daten gravierende Datenschutzverletzungen und rechtliche Konsequenzen haben kann.- Berechnung des Risikos (R):
  • Wahrscheinlichkeit: 6/10
  • Auswirkungen: 9/10
  • Risiko: R = P \times I = 6 \times 9 = 54

Die Risikobewertung zeigt, dass beide Schwachstellen ein signifikantes Risiko darstellen, wobei die Schwäche der schwachen Authentifizierungsmechanismen das größere Risiko (R = 72) darstellt. Es ist daher ratsam, hier prioritäre Sicherheitsmaßnahmen zu ergreifen, um das Risiko zu minimieren.

c)

Risikominderungsstrategien: Basierend auf den Ergebnissen der Risikobewertung aus dem vorigen Teil, entwickle für jede der beiden Schwachstellen mindestens zwei Strategien zur Risikominderung. Begründe, wie jede Strategie dazu beiträgt, die Wahrscheinlichkeit oder die Auswirkungen eines potenziellen Sicherheitsvorfalls zu reduzieren.

Lösung:

Risikominderungsstrategien

Basierend auf den Ergebnissen der Risikobewertung entwickeln wir nun für jede der beiden identifizierten Schwachstellen Strategien zur Risikominderung.

• Schwäche: Schwache Authentifizierungsmechanismen (Spoofing)- Strategie 1: Implementierung einer Multi-Faktor-Authentifizierung (MFA)- Begründung: Die Einführung von MFA erhöht die Sicherheit, indem sie neben dem Passwort einen zweiten Faktor erfordert (z.B. SMS-Code, Authentifizierungs-App, Fingerabdruck). Dies macht es einem Angreifer erheblich schwerer, unbefugten Zugang zu erlangen, selbst wenn das Passwort gestohlen wurde. Dadurch wird die Wahrscheinlichkeit eines erfolgreichen Spoofing-Angriffs stark reduziert.- Strategie 2: Stärkere Passwortanforderungen und regelmäßige Passwortänderungen- Begründung: Das Erzwingen komplexer Passwörter und regelmäßiger Passwortänderungen erhöht die Schwierigkeit für Angreifer, Passwörter durch Brute-Force-Angriffe oder Social Engineering zu erraten. Diese Maßnahme verringert ebenfalls die Wahrscheinlichkeit, dass ein Spoofing-Angriff erfolgreich ist.
• Schwäche: Fehlende Verschlüsselung sensitiver Daten (Information Disclosure)- Strategie 1: Verwendung von HTTPS für die gesamte Kommunikation- Begründung: Die Implementierung von HTTPS stellt sicher, dass die Datenübertragung zwischen Benutzer und Server verschlüsselt erfolgt. Dies verhindert, dass sensible Daten während der Übertragung abgefangen und gelesen werden können, wodurch die Wahrscheinlichkeit eines erfolgreichen Abhörangriffs reduziert wird.- Strategie 2: Verschlüsselung der Datenbankinhalte- Begründung: Durch die Verschlüsselung sämtlicher gespeicherter Daten in der Datenbank werden die Auswirkungen eines potenziellen Datendiebstahls abgeschwächt. Selbst, wenn ein Angreifer auf die Datenbank zugreifen kann, bleiben die verschlüsselten Daten ohne den Schlüssel unlesbar. Dies verringert die Auswirkungen eines Informationslecks erheblich.

Diese Risikominderungsstrategien tragen erheblich dazu bei, die Wahrscheinlichkeit und Auswirkungen potenzieller Sicherheitsvorfälle zu reduzieren und erhöhen somit die allgemeine Sicherheit der Webapplikation.

d)

Vergleich der Methoden: Vergleiche die Methoden STRIDE und DREAD hinsichtlich ihrer Einsatzfelder und Nutzen in der Bedrohungs- und Risikoanalyse. Diskutiere dabei, wann welche Methode vorzuziehen ist und ob es sinnvoll ist, eine Kombination beider Methoden anzuwenden. Untermauere Deine Argumentation mit konkreten Beispielen.

Lösung:

Vergleich der Methoden: STRIDE und DREAD

• STRIDE- Übersicht: STRIDE ist ein Modell zur Bedrohungsanalyse, entwickelt von Microsoft, das sechs Kategorien von Bedrohungen (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) identifiziert und analysiert.- Einsatzfeld: STRIDE wird hauptsächlich in der Phase der Bedrohungsidentifikation verwendet. Es hilft Entwicklern, potenzielle Angriffspunkte systematisch zu identifizieren und zu kategorisieren.- Nutzen: Identifiziert spezifische Bedrohungen und Schwachstellen in einem System, ermöglicht es Entwicklern, gezielte Sicherheitsmaßnahmen zu implementieren.- Beispiel: Bei der Entwicklung einer Webanwendung kann STRIDE verwendet werden, um Bedrohungen wie das Abfangen von Daten (Information Disclosure) oder unbefugten Zugriff (Elevation of Privilege) frühzeitig zu erkennen und zu adressieren.
• DREAD- Übersicht: DREAD ist ein Modell zur Risikobewertung, das fünf Kriterien (Damage Potential, Reproducibility, Exploitability, Affected Users, Discoverability) verwendet, um das Risiko von Bedrohungen zu bewerten.- Einsatzfeld: DREAD wird typischerweise nach der Bedrohungsidentifikation eingesetzt, um die identifizierten Bedrohungen hinsichtlich ihrer Kritikalität und des damit verbundenen Risikos zu bewerten.- Nutzen: Bewertet das Risiko einzelner Bedrohungen und hilft bei der Priorisierung von Sicherheitsmaßnahmen.- Beispiel: Nach der Identifikation von Bedrohungen in einer Webanwendung durch STRIDE kann DREAD verwendet werden, um diese Bedrohungen zu bewerten und zu priorisieren, z.B. zu entscheiden, welche Sicherheitslücken zuerst behoben werden sollten.

Vergleich und Kombination

• Unterschiede:
  • STRIDE fokussiert sich auf die Identifikation von Bedrohungen, während DREAD sich auf die Bewertung und Priorisierung dieser Bedrohungen konzentriert.
  • STRIDE bietet eine strukturierte Methode zur Erkennung von Schwachstellen, während DREAD quantitative Kriterien nutzt, um die Risiken zu bewerten.
• Wann welche Methode bevorzugt wird:
  • STRIDE sollte in der frühen Phase der Bedrohungsanalyse verwendet werden, um umfassend Bedrohungen zu identifizieren und zu kategorisieren.
  • DREAD ist nützlich in späteren Phasen, um die gefundenen Bedrohungen zu bewerten und festzulegen, welche Bedrohungen priorisiert behandelt werden sollten.
• Kombination beider Methoden:Kombiniert man beide Methoden, ergibt sich ein vollständigerer Ansatz zur Sicherheitsanalyse:
  • Beginne mit STRIDE, um alle möglichen Bedrohungen systematisch zu identifizieren und zu kategorisieren.
  • Setze anschließend DREAD ein, um die identifizierten Bedrohungen hinsichtlich ihrer Kritikalität zu bewerten und die Priorisierung der Sicherheitsmaßnahmen festzulegen.
  Ein konkretes Beispiel für diese Kombination wäre die Entwicklung eines Online-Banking-Systems:
  • Verwende STRIDE, um Bedrohungen wie Phishing (Spoofing), Manipulation von Überweisungsdaten (Tampering), und Abstreitbarkeit von Transaktionen (Repudiation) zu identifizieren.
  • Bewerte diese Bedrohungen dann mit DREAD, um festzustellen, welche Bedrohungen die höchsten Risiken darstellen und welche Sicherheitsmaßnahmen zuerst implementiert werden sollten, z.B. stärkere Authentifizierung für Phishing oder Verschlüsselung sensibler Datentransaktionen zur Vermeidung von Informationslecks.

Durch die Kombination von STRIDE und DREAD können sowohl die Identifikation als auch die Bewertung von Bedrohungen systematisch und umfassend angegangen werden, was zu einer robusteren Sicherheitsstrategie führt.

Aufgabe 2)

In dieser Aufgabe beschäftigen wir uns mit stack-basierten Overflow-Techniken, die verwendet werden können, um die Kontrolle über den Programmfluss zu erlangen. Pufferüberläufe im Stack können dazu genutzt werden, Rücksprungadressen (\texttt{return addresses}) und lokale Variablen zu ändern, was zu beliebiger Code-Ausführung (z.B. Shellcode) führen kann. Schützend wirken Mechanismen wie Stack-Canaries, ASLR und DEP/NX.

a)

Erkläre detailliert, wie ein klassischer Buffer Overflow-Angriff funktioniert. Verwende dabei ein Beispiel mit einem C-Programm, das einen unsicheren Puffer verwendet. Zeige, wie durch Überschreiten der Puffergrenzen die Rücksprungadresse manipuliert werden kann, um beliebigen Code auszuführen.

Lösung:

Einführung

Ein klassischer Buffer Overflow-Angriff zielt darauf ab, die Kontrolle über den Programmfluss zu erlangen, indem die Grenzen eines Puffers im Speicher überschritten werden. Dies ermöglicht es einem Angreifer, kritische Werte, wie beispielsweise die Rücksprungadresse auf dem Stack, zu überschreiben und so beliebigen Code auszuführen.

Hier ist eine detaillierte Erklärung anhand eines Beispiels mit einem C-Programm, das einen unsicheren Puffer verwendet:

#include <stdio.h> #include <string.h>   void vulnerable_function(char *str) { char buffer[16]; strcpy(buffer, str); }  int main() { char large_string[256]; int i; for (i = 0; i < 255; i++) large_string[i] = 'A'; large_string[255] = '\0'; vulnerable_function(large_string); return 0; } 

• Schritt 1: Verständnis des Puffers und der strcpy-Funktion In diesem Beispiel gibt es eine Funktion vulnerable_function, die einen unsicheren Puffer namens buffer mit einer Größe von 16 Bytes verwendet. Die Funktion strcpy kopiert den Eingabestring str in diesen Puffer, ohne die Länge des Eingabestrings zu überprüfen.
• Schritt 2: Erstellen eines überlangen Eingabestrings Im main-Programm wird ein großer String large_string mit einer Länge von 256 Bytes erstellt und mit dem Zeichen 'A' gefüllt. Dieser String wird dann an die vulnerable_function übergeben.
• Schritt 3: Pufferüberlauf und Rücksprungadressen-Manipulation Wenn strcpy den 256-Byte-String in den 16-Byte-Puffer kopiert, überschreibt es den Speicherbereich jenseits der Puffergrenzen. Dies kann einschließlich der Rücksprungadresse auf dem Stack sein, die die Adresse der nächsten Anweisung enthält, die nach Beenden der vulnerable_function ausgeführt werden soll.
• Schritt 4: Ausführung des manipulierten Codes Durch den Überlauf kann ein Angreifer die Rücksprungadresse so manipulieren, dass sie auf den Anfang eines Shellcodes zeigt, der sich ebenfalls im übergebenen String befindet. Wenn die vulnerable_function beendet wird, kehrt das Programm zu dieser manipulierten Adresse zurück und beginnt, den Shellcode auszuführen.

Schutzmechanismen Es gibt mehrere Schutzmechanismen, die Buffer-Overflow-Angriffe erschweren oder verhindern:

• Stack-Canaries: Ein spezieller Wert, der zwischen lokale Variablen und die Rücksprungadresse im Stack eingefügt wird. Wenn dieser Wert geändert wird, erkennt das Programm den Angriff und beendet sich.
• ASLR (Address Space Layout Randomization): Die Positionen von wichtigen Datenstrukturen wie den Stacks und Heaps werden zufällig gewählt, sodass die Vorhersage der genauen Speicheradressen schwieriger wird.
• DEP/NX (Data Execution Prevention/No-eXecute): Diese Technik markiert bestimmte Speicherbereiche als nicht ausführbar, was das Ausführen von Shellcode im Datenbereich verhindert.

b)

Welche Rolle spielen Stack-Canaries im Schutz gegen Buffer Overflow-Angriffe? Erkläre, wie Stack-Canaries implementiert sind und wie sie Angriffe erkennen und verhindern können. Zeige anhand eines Beispiels, wie ein Stack-Canary einen Angriff abwehren würde.

Lösung:

Einführung

Stack-Canaries spielen eine wichtige Rolle im Schutz gegen Buffer Overflow-Angriffe, indem sie versuchen, Manipulationen des Stacks zu erkennen und zu verhindern. Sie fungieren als Wächter, die zwischen lokale Variablen und die Rücksprungadresse auf dem Stack platziert werden.

Hier ist eine detaillierte Erklärung, wie Stack-Canaries implementiert sind und wie sie Angriffe erkennen und verhindern können:

• Implementierung von Stack-Canaries Ein Stack-Canary ist ein spezielles 32-Bit- oder 64-Bit-Wert, der zufällig generiert wird, wenn das Programm gestartet wird. Dieser Wert wird direkt vor der Rücksprungadresse auf dem Stack platziert, um Manipulationen zu erkennen. Bei jedem Funktionsaufruf wird der Canary-Wert vor dem Überschreiben des Speichers ausgelesen und nach der Funktion validiert.
• Erkennung und Verhinderung von Angriffen Wenn ein Buffer Overflow-Angriff auftritt und dabei Speicherbereiche überschrieben werden, die über die Grenzen des Puffers hinausragen, wird der Canary-Wert höchstwahrscheinlich verändert. Bevor eine Funktion zurückkehrt, überprüft das Programm, ob der Canary-Wert unverändert ist. Wenn der Wert verändert wurde, interpretiert das Programm dies als Angriff und beendet sich selbst, um den weiteren Schadwirkung zu verhindern.

Beispiel zur Abwehr eines Angriffs durch Stack-Canaries Um zu zeigen, wie ein Stack-Canary einen Buffer Overflow-Angriff abwehren würde, betrachten wir folgendes C-Programm:

#include <stdio.h> #include <string.h>   void vulnerable_function(char *str) { char canary = 0xdeadbeef; char buffer[8]; strcpy(buffer, str); if (canary != 0xdeadbeef) { printf("Stack-Smashing detected!"); exit(1); } }  int main() { char large_string[16] = "AAAAAAAAAAAAAAAA"; vulnerable_function(large_string); printf("Function returned safely."); return 0; } 

• Schritt 1: Initialisierung des Canary-Wertes In der Funktion vulnerable_function wird ein Canary-Wert 0xdeadbeef zu Beginn der Funktion initialisiert. Dieser Wert wird im Stack direkt nach den lokalen Variablen und vor der Rücksprungadresse gespeichert.
• Schritt 2: Pufferüberlauf Der Überlauf ist in diesem Beispiel vorhanden, da strcpy den 16-Byte-String large_string in den 8-Byte-Puffer kopiert. Dies überschreibt die Grenze des Puffers und zerstört wahrscheinlich auch den Canary-Wert.
• Schritt 3: Canary-Überprüfung Nach dem Kopieren überprüft die Funktion, ob der Canary-Wert noch gleich dem ursprünglich gesetzten Wert ist. Wenn der Wert verändert wurde, erkennt das Programm dies als einen Angriff und druckt eine Warnung aus, bevor es sich selbst beendet.

Durch die Verwendung von Stack-Canaries können Programme eine zusätzliche Schutzschicht hinzufügen, die es Angreifern erschwert, Code-Ausführung durch Buffer Overflow zu erzwingen.

c)

Analysiere die Effektivität der Address Space Layout Randomization (ASLR) als Verteidigungsmaßnahme. Welche Nachteile hat ASLR und wie könnten Angreifer versuchen, ASLR zu umgehen? Diskutiere mindestens zwei Umgehungstechniken und evaluiere deren Machbarkeit.

Lösung:

Einführung und Effektivität von ASLR

Address Space Layout Randomization (ASLR) ist eine Sicherheitsmaßnahme, die verwendet wird, um die Speicheradressen von wichtigen Datenstrukturen, wie Stack, Heap und Programmcode, zufällig zu verteilen. Dies erschwert es Angreifern, vorhersehbare Speicheradressen für Buffer Overflow-Angriffe zu nutzen. Durch die Zufälligkeit von Adressen wird es wesentlich komplizierter, erfolgreiche Angriffe durchzuführen, da die genaue Position des schädlichen Codes oder der gezielten Daten unbekannt ist.

Nachteile von ASLR

• Kompatibilitätsprobleme: ASLR kann bei bestimmten älteren Systemen oder Anwendungen zu Kompatibilitätsproblemen führen. Einige Software muss möglicherweise angepasst werden, um mit zufällig verteilten Speicheradressen umgehen zu können.
• Leistungseinbußen: Die Implementierung von ASLR kann zu geringen Leistungseinbußen führen, da zusätzliche Zeit für die Zufälligkeit der Speicheradressen benötigt wird.
• Teillose Zufälligkeit: In einigen Implementierungen, insbesondere in 32-Bit-Systemen, ist der Adressraum begrenzt und bietet weniger Entropie, was die Effektivität von ASLR verringern kann.

Umgehungstechniken für ASLR

Angreifer haben verschiedene Methoden entwickelt, um ASLR zu umgehen. Zwei wichtige Techniken sind:

• Information Leakage (Informationsleck)

  Information Leakage bezieht sich auf den ungewollten oder unachtsamen Informationsfluss über Speicheradressen. Beispielsweise könnten Programmfehler oder Debug-Informationen dem Angreifer helfen, Informationen über die Speicheradressen zu sammeln.

  Umsetzbarkeit: Diese Technik ist machbar, wenn Programmfehler oder Schwachstellen verwendet werden können, um Speicheradressen zu erkennen. Ein Angreifer kann diese Leckstellen ausnutzen, um ASLR teilweise oder vollständig zu umgehen. Die Effektivität hängt stark von der spezifischen Implementierung und den genutzten Fehlern ab.

• Return-Oriented Programming (ROP)

  ROP ist eine Technik, bei der ein Angreifer nicht-executable Speicherbereiche (wie der Stack) verwendet, um durch bereits vorhandene Codefragmente im Speicher schädliche Aktionen auszuführen. Anstatt neuen Code einzufügen, verwendet der Angreifer kleine Code-Schnipsel, die am Ende eines Speicherbereichs enden, was es ermöglicht, befugten Speicher zu manipulieren und zu missbrauchen, um gewünschten Code auszuführen.

  Umsetzbarkeit: ROP erfordert umfangreiche Vorbereitung und Know-How. Der Angreifer muss Zugang zu den vorhandenen Codefragmenten haben und deren Speicheradressen kennen. In Kombination mit einem Informationsleck kann ROP jedoch eine sehr effektive Methode sein, um ASLR zu umgehen.

Zusammenfassung

ASLR ist eine sehr effektive Sicherheitsmaßnahme gegen Buffer Overflow-Angriffe, die dazu beiträgt, vorhersehbare Speicheradressen zu eliminieren. Es hat jedoch einige Nachteile, insbesondere hinsichtlich Kompatibilität und eingeschränkter Entropie bei 32-Bit-Systemen. Informationen-Leckage und Return-Oriented Programming sind zwei der bekannten Techniken, um ASLR zu umgehen. Die Umsetzbarkeit dieser Techniken hängt stark von der spezifischen Implementierung und den genutzten Schwachstellen ab, was verdeutlicht, dass Sicherheitsmechanismen stets durch Mehrlagen-Ansätze ergänzt werden sollten.

d)

Durch das Data Execution Prevention (DEP/NX) wird verhindert, dass bestimmte Speicherbereiche ausführbare Codes enthalten können. Entwickle ein Detailkonzept, wie ein Angriff aussehen könnte, der dennoch Codeausführung ermöglicht, obwohl DEP aktiviert ist. Welche weiteren Schutzmechanismen könnten in Kombination mit DEP eingesetzt werden?

Lösung:

Einführung

Data Execution Prevention (DEP) oder No-eXecute (NX) ist ein Sicherheitsmechanismus, der verhindert, dass bestimmte Speicherbereiche ausführbaren Code enthalten. Speicherbereiche, die normalerweise nur Daten enthalten sollten, wie der Stack oder der Heap, werden als nicht ausführbar markiert. Dies schützt vor Angriffen, bei denen schädlicher Code in diese Bereiche injiziert und ausgeführt werden soll, wie etwa bei Buffer Overflow-Angriffen.

Angriffskonzept zur Umgehung von DEP

Eine Technik, um DEP zu umgehen, ist das Return-Oriented Programming (ROP). Dabei wird kein neuer Code in den Speicher geschrieben, sondern existierender Code zu schädlichen Zwecken verwendet. Hier ist ein detailliertes Konzept, wie ein ROP-Angriff trotz aktivierter DEP ausgeführt werden kann:

• Schritt 1: Identifikation von Gadgets

  Ein Angreifer muss zunächst sogenannte „Gadgets“ identifizieren. Gadgets sind kurze Sequenzen von bereits vorhandenem Code in einer ausführbaren Datei oder einer dynamischen Bibliothek (z.B. libc), die mit einem ret-Befehl enden. Diese Gadgets erfüllen kleine Aufgaben wie das Bewegen von Werten zwischen Registern, logische Operationen oder Systemaufrufe.

• Schritt 2: Aufbau der Gadget-Kette

  Der Angreifer erstellt eine Kette von Gadgets, die in einer spezifischen Reihenfolge ausgeführt werden sollen, um eine gewünschte schädliche Funktion zu erfüllen. Dies kann beispielsweise ein Systemaufruf sein, um eine Shell zu öffnen.

• Schritt 3: Vorbereitung des Stacks

  Durch einen Pufferüberlauf füllt der Angreifer den Stack mit den Rücksprungadressen der gefundenen Gadgets, anstatt mit schädlichem Code. Wenn die Rücksprungadresse überschrieben wird, führt das Programm die ersten Gadget-Sequenzen aus, bevor es zum nächsten Gadget springt.

• Schritt 4: Ausführung der Gadget-Kette

  Nach dem erfolgreichen Überlauf und der Manipulation des Stacks wird die Gadget-Kette ausgeführt. Da DEP verhindert, dass der Stack direkt ausführbaren Code enthält, verwendet der Angriff stattdessen die bereits vorhandenen Gadgets, wodurch die Schutzmaßnahmen umgangen werden.

Weiteren Schutzmechanismen in Kombination mit DEP

Um Angriffe wie ROP abzuwehren, können zusätzliche Schutzmechanismen mit DEP kombiniert werden:

• Control Flow Guard (CFG): CFG ist ein Mechanismus, der die Integrität des Kontrollflusses überwacht. Er verhindert, dass Programme unvorhergesehene Codepfade ausführen, indem nur erlaubte Funktionen aufgerufen werden dürfen. CFG kann unwissentlich entstandene Befugnisse in Stack-Überläufen reduzieren, indem unbefugte Kontrollflussänderungen blockiert werden.
• Address Space Layout Randomization (ASLR): Wie zuvor besprochen, randomisiert ASLR die Position wichtiger Daten und Codefragmente im Speicher, wodurch es erschwert wird, vorhersehbare Adressen für Gadgets zu nutzen. Dies ergänzend zu DEP macht es für Angreifer schwieriger, erfolgreiche ROP-Angriffe durchzuführen.
• Stack-Canaries: Stack-Canaries sind spezielle Werte, die zwischen den lokalen Variablen und der Rücksprungadresse auf dem Stack platziert werden. Diese Werte werden überprüft, bevor eine Funktion zurückkehrt. Durch das frühzeitige Erkennen von Änderungen im Canary-Wert kann das Programm buffer-overflow Angriffe erkennen und abwehren.

Zusammenfassung

Obwohl DEP einen wesentlichen Beitrag zur Verbesserung der Systemsicherheit leistet, ist es nicht unanfechtbar. Angriffstechniken wie Return-Oriented Programming können DEP umgehen, indem sie bereits vorhandenen Code verwenden. Durch die Kombination von DEP mit weiteren Schutzmechanismen wie Control Flow Guard, ASLR und Stack-Canaries kann die Widerstandsfähigkeit gegen solche Angriffe erheblich erhöht werden und die Systemsicherheit wird somit gestärkt.

Aufgabe 3)

Erhöhung von PrivilegienTechnik, um höhere Berechtigungen auf einem System zu erlangen. Wird oft von Angreifern genutzt, um administrative Rechte zu bekommen.

• Lokale und ferne Privilegien-Eskalation
• Ausnutzung von Software-Schwachstellen (z.B. Buffer Overflow)
• Fehlkonfigurationen und unsichere Standardeinstellungen
• Speichermanipulation: /etc/passwd oder /etc/shadow
• Exploits: z.B. Kernel-Exploits, Exploits für unsichere SUID-Binaries

a)

Teilaufgabe 1:Erkläre den Unterschied zwischen lokaler und ferner Privilegien-Eskalation. Gebe für beide Szenarien ein konkretes Beispiel, wie diese Techniken ausgenutzt werden könnten.

Lösung:

Teilaufgabe 1:Erkläre den Unterschied zwischen lokaler und ferner Privilegien-Eskalation. Gebe für beide Szenarien ein konkretes Beispiel, wie diese Techniken ausgenutzt werden könnten.Unterschied zwischen lokaler und ferner Privilegien-Eskalation:

• Lokale Privilegien-Eskalation (LPE): Dies tritt auf, wenn ein Benutzer, der bereits auf einem System angemeldet ist, versucht, seine bestehenden Privilegien zu erhöhen. Der Angreifer benötigt also bereits Zugang zum System, entweder mit einem normalen Benutzerkonto oder mit einem niedrigen Berechtigungsniveau.

• Ferner (Remote) Privilegien-Eskalation (RPE): Dies tritt auf, wenn ein Angreifer über ein Netzwerk Zugang zu einem System erlangt und versucht, direkte Administrator- oder Root-Rechte zu erlangen. Hier ist keine vorherige Anmeldung auf dem Zielsystem erforderlich.

Beispiele für lokale und ferne Privilegien-Eskalation:

• Lokale Privilegien-Eskalation Beispiel:Ein Angreifer hat Zugang zu einem System als normaler Benutzer und nutzt einen „Buffer Overflow“ in einem SUID-Runprogramm aus, um root-Rechte zu erlangen. Ein typisches Beispiel ist die Ausnutzung einer Sicherheitslücke im Programm „sudo“, das normalerweise erhöhte Privilegien zur Verfügung stellt.

• Ferner Privilegien-Eskalation Beispiel:Ein Angreifer greift über das Netzwerk auf eine unsichere Webanwendung zu und führt eine SQL-Injection durch, um sich eine Shell mit erhöhten Privilegien zu verschaffen. Ein Beispiel könnte eine Schwachstelle in einem CMS (Content Management System) sein, die es dem Angreifer erlaubt, bösartige Skripte hochzuladen und auszuführen.

Indem Du diese Unterschiede und Beispiele verstehst, kannst Du wirksame Maßnahmen ergreifen, um Dein System sowohl gegen lokale als auch ferne Angriffe besser abzusichern.}

b)

Teilaufgabe 2:Ein Angreifer hat durch eine Software-Schwachstelle (Buffer Overflow) die Kontrolle über ein Benutzerprogramm erlangt. Beschreibe einen möglichen Ablauf zur Bewältigung von administrativen Rechten, indem Speichermanipulationen auf /etc/passwd oder /etc/shadow vorgenommen werden. Nutze dazu ein kurzes Stück Beispielcode, um den Ablauf zu veranschaulichen.

Lösung:

Teilaufgabe 2:Ein Angreifer hat durch eine Software-Schwachstelle (Buffer Overflow) die Kontrolle über ein Benutzerprogramm erlangt. Beschreibe einen möglichen Ablauf zur Bewältigung von administrativen Rechten, indem Speichermanipulationen auf /etc/passwd oder /etc/shadow vorgenommen werden. Nutze dazu ein kurzes Stück Beispielcode, um den Ablauf zu veranschaulichen.Möglicher Ablauf:Nachdem der Angreifer die Kontrolle über das Benutzerprogramm erlangt hat, könnte er versuchen, die Datei /etc/passwd oder /etc/shadow zu manipulieren. Ziel ist es, entweder das Passwort eines existierenden Administrators zu ändern oder einen neuen Benutzer mit administrativen Rechten hinzuzufügen.

• Manipulation der Datei /etc/passwd:Die Datei /etc/passwd enthält Informationen über Benutzerkonten. In älteren Systemen wurden auch die Passwörter hier gespeichert, heute sind sie in /etc/shadow. Bei einer Manipulation könnte man beispielsweise einem bestehenden Benutzer die UID 0 (Root) zuweisen.

• Manipulation der Datei /etc/shadow:Die Datei /etc/shadow enthält die verschlüsselten Passwortdaten für die Benutzerkonten des Systems. Durch das Einfügen eines bekannten Passwort-Hashes könnte der Angreifer sich als Administrator ausgeben.

Beispielcode:

# Beispiel: Hinzufügen eines neuen Benutzers mit Root-Rechten# Achtung: Dies ist ein fiktives Beispiel, nur zur Veranschaulichung.# Missbräuchliche Verwendung ist illegal und strafbar.# Zunächst ein neuer Benutzer erstellenecho 'hacker:x:0:0:root:/root:/bin/bash' >> /etc/passwdecho 'hacker:$1$xyz$abcdefghijklmnopqrstuvwxyz:18020:0:99999:7:::' >> /etc/shadow# Erklärung:# /etc/passwd: 'hacker:x:0:0:root:/root:/bin/bash'# - Benutzername: hacker# - Passwort: (im Shadow File)# - UID: 0 (Root)# - GID: 0 (Root)# - Benutzerinformationen: root# - Home-Verzeichnis: /root# - Shell: /bin/bash## /etc/shadow: 'hacker:$1$xyz$abcdefghijklmnopqrstuvwxyz:18020:0:99999:7:::'# - Benutzername: hacker# - Passwort-Hash: $1$xyz$abcdefghijklmnopqrstuvwxyz# - Letzte Passwortänderung: 18020# - Minimale Tage bis Passwortänderung: 0# - Maximale Tage bis Passwortänderung: 99999# - Warnperiode: 7 Tage

Zusammenfassung:Durch das Manipulieren von wichtigen Systemdateien wie /etc/passwd und /etc/shadow könnten Angreifer administrative Rechte erlangen. Es ist daher essenziell, Systeme gegen solche Manipulationen abzusichern, indem man robuste Sicherheitsmaßnahmen und kontinuierliche Überwachungsmechanismen implementiert.

Aufgabe 4)

Ein Zero-Day-Exploit ist eine Schwachstelle in einer Software, die dem Hersteller nicht bekannt ist und somit keine vorhandenen Patches oder Schutzmechanismen existieren. Diese Art von Exploits ist besonders gefährlich, da es keine direkten Mittel gibt, sich dagegen zu schützen. Oftmals haben solche Exploits ein hohes Schadenspotenzial und werden von Angreifern schnell ausgenutzt. Es ist wichtig, Compliance-Anforderungen zu erfüllen und eine Priorität auf sofortiges Patching zu legen, sobald die Schwachstelle bekannt wird. Angenommen, Du bist in einem Team für die IT-Sicherheit in einem Unternehmen, das von einem Zero-Day-Exploit betroffen ist.

a)

Beschreibe anhand eines Beispiels, wie ein Zero-Day-Exploit in einem Unternehmen entdeckt werden könnte. Gehe dabei auf typische Anzeichen und mögliche Methoden zur Erkennung ein.

Lösung:

Ein Zero-Day-Exploit kann auf verschiedene Weise in einem Unternehmen entdeckt werden. Hier sind einige typische Anzeichen und mögliche Methoden zur Erkennung dieses Exploits anhand eines Beispiels illustriert:

• Beispiel: Ein Finanzunternehmen stellt fest, dass es in den letzten Tagen ungewöhnliche Aktivitäten in seinem Netzwerk gibt. Ein Beispiel könnte sein, dass ungewöhnlich hohe Datenmengen ohne erkennbaren Grund von internen Servern ins Internet übertragen werden.
• Typische Anzeichen:
  • Ungewöhnliches Netzwerkverhalten: Ein plötzlicher Anstieg des Datenverkehrs oder ungewöhnliche Verbindungen von internen Systemen zu unbekannten IP-Adressen.
  • Performance-Probleme: Verlangsamung der System- oder Netzwerkleistung ohne offensichtlichen Grund.
  • Unerklärliche Fehlermeldungen: Auftreten von Fehlermeldungen oder Systemabstürzen, die bislang nicht aufgetreten sind.
  • Veränderte Dateien: Unerklärliche Änderungen an Dateien oder plötzliche Auftauchen unbekannter Dateien auf Systemen.
  • Abnorme Anmeldeaktivitäten: Versuche, sich mit gültigen Anmeldeinformationen außerhalb der normalen Arbeitszeiten anzumelden, oder wiederholte fehlgeschlagene Anmeldeversuche.
• Mögliche Methoden zur Erkennung:
  • Intrusion Detection Systems (IDS)/Intrusion Prevention Systems (IPS): Diese Systeme können ungewöhnliche Netzwerkaktivitäten erkennen und Alarm schlagen.
  • Security Information and Event Management (SIEM) Systeme: Diese Systeme sammeln und analysieren Log-Daten aus verschiedenen Quellen im gesamten Netzwerk, um Muster zu erkennen, die auf einen Zero-Day-Exploit hinweisen könnten.
  • Endpoint Detection and Response (EDR): Diese Lösungen überwachen Endgeräte auf verdächtige Aktivitäten und Anomalien.
  • Threat Intelligence: Der Einsatz von Bedrohungsdatenquellen kann helfen, frühzeitig über neue Exploits informiert zu werden und somit schneller reagieren zu können.
  • Vulnerability Scanning: Regelmäßiges Scannen der Systeme nach Schwachstellen, auch wenn diese noch nicht bekannt sind, kann helfen, potenzielle Angriffsvektoren zu identifizieren.

  Indem Du diese Anzeichen und Methoden berücksichtigst, kannst Du und Dein Team schneller auf einen Zero-Day-Exploit reagieren und die notwendigen Maßnahmen zur Schadensbegrenzung einleiten.

  b)

  Stelle die möglichen Konsequenzen dar, die durch einen Zero-Day-Exploit für das Unternehmen entstehen können. Beziehe dich dabei auf wirtschaftliche, operative und rechtliche Aspekte.

  Lösung:

  Die Auswirkungen eines Zero-Day-Exploits auf ein Unternehmen können erheblich sein und sich auf verschiedene Bereiche erstrecken. Hier sind die möglichen Konsequenzen, gegliedert nach wirtschaftlichen, operativen und rechtlichen Aspekten:

  • Wirtschaftliche Konsequenzen:
    • Finanzielle Verluste: Direkte finanzielle Schäden durch gestohlene Daten, Lösegeldzahlungen (bei Ransomware-Angriffen) oder verlorene Geschäftsabschlüsse.
    • Reputationsschäden: Vertrauensverlust bei Kunden und Geschäftspartnern kann zu einem Umsatzrückgang führen.
    • Kosten für Schadensbegrenzung und Wiederherstellung: Ausgaben für Incident-Response-Teams, externe Berater, rechtliche Unterstützung und Wiederherstellung der Systeme.
    • Strafzahlungen und Bußgelder: Kosten durch die Einhaltung gesetzlicher Verpflichtungen und mögliche Strafen infolge von Datenschutzverletzungen.
  • Operative Konsequenzen:
    • Betriebsunterbrechungen: Ausfall von IT-Systemen kann den Geschäftsablauf erheblich stören und zu Produktionsstillständen führen.
    • Datenverlust/-diebstahl: Verlust sensibler Daten, einschließlich Geschäftsgeheimnisse, Kundendaten und Finanzinformationen.
    • Erhöhter Arbeitsaufwand: Notfallmaßnahmen und Wiederherstellungsprozesse erfordern erhebliche personelle Ressourcen und Ablenkung von den regulären Aufgaben.
    • Belegschaftsunsicherheit: Angst und Ungewissheit innerhalb des Unternehmens, was die Moral und Produktivität beeinträchtigen kann.
  • Rechtliche Konsequenzen:
    • Datenschutzverletzungen: Ein Zero-Day-Exploit kann zu unbefugtem Zugriff auf personenbezogene Daten führen, was Verletzungen von Datenschutzgesetzen wie der DSGVO nach sich ziehen kann.
    • Vertragsverletzungen: Sicherheitsvorfälle können dazu führen, dass das Unternehmen Verträge mit Kunden und Geschäftspartnern nicht einhalten kann.
    • Juristische Auseinandersetzungen: Mögliche Klagen von betroffenen Kunden oder Geschäftspartnern aufgrund von Datenpannen oder Vertragsbrüchen.
    • Erhöhte Compliance-Anforderungen: Nach einem Vorfall können Regulierungsbehörden strengere Compliance-Maßnahmen und regelmäßige Sicherheitsüberprüfungen verlangen.

  Ein Zero-Day-Exploit kann also weitreichende und schwerwiegende Auswirkungen auf verschiedene Geschäftsbereiche eines Unternehmens haben. Daher ist es von entscheidender Bedeutung, proaktive Maßnahmen zur Erkennung und Eindämmung solcher Exploits zu ergreifen sowie robuste Sicherheitsstrategien zu implementieren.

  c)

  Entwickle eine Strategie für das IT-Team, um auf einen entdeckten Zero-Day-Exploit zu reagieren. Welche Sofortmaßnahmen sollten ergriffen werden, und wie könnte ein langfristiger Plan aussehen, um solche Gefahren in Zukunft zu minimieren?

  Lösung:

  Um auf einen entdeckten Zero-Day-Exploit wirksam zu reagieren, sollte das IT-Team eine umfassende Strategie umsetzen, die sowohl Sofortmaßnahmen als auch langfristige Präventionsmaßnahmen umfasst. Hier ist ein detaillierter Plan:

  • Sofortmaßnahmen:
    • Incident Response Team alarmieren: Informiere das Incident Response Team und stelle sicher, dass alle relevanten Mitglieder sofort reagieren.
    • Einschätzung des Schadens: Analysiere die Art und das Ausmaß des Exploits, um die betroffenen Systeme und Daten zu identifizieren.
    • Isolierung betroffener Systeme: Trenne kompromittierte Systeme vom Netzwerk, um die Ausbreitung der Bedrohung einzudämmen.
    • Sofortige Kommunikation: Informiere relevante Stakeholder, einschließlich der Geschäftsleitung, des Datenschutzbeauftragten und gegebenenfalls der Regulierungsbehörden.
    • Temporäre Schutzmaßnahmen: Implementiere sofort verfügbare Workarounds oder temporäre Sicherheitsmaßnahmen, um die Ausnutzung der Schwachstelle zu verhindern, bis ein Patch verfügbar ist.
    • Sicherungsmaßnahmen: Führe umfassende Backups aller wichtigen Systeme und Daten durch, um eine Wiederherstellung zu ermöglichen, wenn dies erforderlich ist.
    • Monitoring und Protokollierung: Erhöhte Überwachung betroffener und kritischer Systeme, um weitere unautorisierte Aktivitäten zu identifizieren und zu protokollieren.
    • Kommunikation mit dem Software-Hersteller: Informiere den Hersteller über die Schwachstelle, damit dieser schnell einen Patch entwickeln kann.
  • Langfristiger Plan:
    • Regelmäßige Sicherheitsbewertungen: Führe regelmäßige Sicherheitsbewertungen und Penetrationstests durch, um potenzielle Schwachstellen frühzeitig zu erkennen.
    • Schulung und Sensibilisierung: Schulungen und Sensibilisierungsprogramme für Mitarbeiter, um eine sicherheitsbewusste Kultur im Unternehmen zu schaffen.
    • Patch-Management: Implementiere ein striktes Patch-Management-Programm, das die schnelle Anwendung von Sicherheitsupdates sicherstellt.
    • Mehrstufige Sicherheitsarchitektur: Implementiere eine mehrschichtige Sicherheitsarchitektur, einschließlich Firewalls, IDS/IPS, Antivirus und EDR-Lösungen.
    • Incident-Response-Plan: Erstelle und pflege einen detaillierten Incident-Response-Plan, der regelmäßig getestet und aktualisiert wird.
    • Regelmäßige Backups: Regelmäßige und automatisierte Backups kritischer Daten und Systeme, einschließlich regelmäßiger Tests der Wiederherstellungsprozesse.
    • Implementierung von Threat Intelligence: Nutze Threat-Intelligence-Dienste, um über aktuelle Bedrohungen informiert zu bleiben und proaktiv Maßnahmen zu ergreifen.
    • Partnerschaften und Zusammenarbeit: Zusammenarbeit mit Sicherheitsdienstleistern und Teilnahme an Sicherheitsnetzwerken, um Informationen und Best Practices auszutauschen.
    • Sicherheitsrichtlinien und Compliance: Regelmäßige Überprüfung und Aktualisierung der IT-Sicherheitsrichtlinien zur Einhaltung der neuesten Sicherheitsstandards und gesetzlichen Anforderungen.

  Durch die Umsetzung dieser umfassenden Strategie kann das IT-Team die Auswirkungen eines entdeckten Zero-Day-Exploits minimieren und die Widerstandsfähigkeit des Unternehmens gegen zukünftige Bedrohungen stärken.

  d)

  Mathematisches Modell: Gegeben sei eine Schadensfunktion S(x), die den durch den Zero-Day-Exploit verursachten Schaden in Abhängigkeit von der Zeit x in Tagen nach Entdeckung der Schwachstelle beschreibt. Angenommen, die Funktion ist gegeben durch S(x) = \frac{1000}{1 + e^{-0.1(x - 20)}} . Berechne den Schaden S(30) und interpretiere das Ergebnis im Kontext eines Zero-Day-Exploits.

  Lösung:

  Um den Schaden S(30) zu berechnen, setzen wir x = 30 in die gegebene Schadensfunktion ein:

  • Schadensfunktion:

  S(x) = \frac{1000}{1 + e^{-0.1(x - 20)}}

  Ersatz von x = 30 ergibt:

  • S(30) = \frac{1000}{1 + e^{-0.1(30 - 20)}}
  • S(30) = \frac{1000}{1 + e^{-0.1 \times 10}}
  • S(30) = \frac{1000}{1 + e^{-1}}
  • S(30) = \frac{1000}{1 + \frac{1}{e}}
  • S(30) = \frac{1000}{1 + \frac{1}{2.71828}}
  • S(30) = \frac{1000}{1 + 0.36788}
  • S(30) = \frac{1000}{1.36788}
  • S(30) \approx 731.23

  Das Ergebnis zeigt:

  • Nach 30 Tagen seit der Entdeckung des Zero-Day-Exploits beträgt der verursachte Schaden ungefähr 731,23 Einheiten.
  • Diese Schadenshöhe verdeutlicht, wie wichtig eine schnelle Reaktion und das sofortige Patching der Schwachstelle sind, um den Schaden zu minimieren.
  • Die Funktion S(x) beschreibt den Anstieg des Schadens über die Zeit, wenn keine Gegenmaßnahmen ergriffen werden. Sie zeigt, dass der Schaden mit der Zeit exponentiell zunimmt, was auf die Dringlichkeit hinweist, schnell zu handeln, um größere finanzielle und operative Verluste zu vermeiden.

  Zusammenfassend lässt sich sagen, dass ein Zero-Day-Exploit erhebliche Schäden verursachen kann, die schnell eskalieren, wenn der Exploit nicht rechtzeitig behoben wird. Eine sofortige und effektive Reaktion ist daher entscheidend, um die Auswirkungen zu minimieren.