Betrifft die aktuelle Schwachstelle im Adobe Flash Reader aktuelle Ubuntu Installationen. Wenn ja. wie kann ich mich schützen?
zero-day exploit im adobe flash reader
Anmeldungsdatum: Beiträge: Zähle... |
|
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Was ist denn der Adobe Flash Reader? Ich kenne Adobe Flash oder Adobe Reader, die Mischung kenne ich nicht. Wahrscheinlich meinst du den Flash Player, für den gibt es aktuell tatsächlich ein CVE http://helpx.adobe.com/security/products/flash-player/apsa15-01.html das auch für Linux gilt. Wie immer gilt: System aktuell halten und auf Flash möglichst verzichten, nicht umsonst laufen viele Seiten inzwischen mit HTML5 (und sogar ressourcenschonender). Wenn es gar nicht ohne geht, dann nur auf vertrauenswürdigen Webseiten über Click-to-Play. Den PDF-Reader braucht man zum Glück ja nicht, da gibt es bessere Software für. ~jug |
Anmeldungsdatum: Beiträge: 867 |
|
Anmeldungsdatum: Beiträge: Zähle... |
Ist das System in dem Fall geschützt, wenn man das Apparmor Firefox Profil (enforce mode) aktiviert hat? Wenn das System bereits infiltriert ist, wie würde man dies erkennen? Gibt es Einträge in Log-Dateien oder erkennt man dies, über z.B. offene Ports oder über ausgehenden Netzwerkverkehr zu dem bestimmten Server (tcpdump)? Man findet recht wenige Informationen im Netz, ob Linux Systeme betroffen sind (auf meinem System habe ich Flash jetzt deinstalliert). |
Ehemaliger
Anmeldungsdatum: Beiträge: 17448 |
Das dämmt wohl den Schaden etwas ein, aber das Ding hat dann halt immernoch die gleichen Rechte wie dein Browser. Was meist zu viel des guten ist 😉
Das kommt drauf an was mit dem 0-Day eingespielt wird, ist also meist unabhängig vom 0-Day.
Ein Profi hinterlässt keine Einträge im Log, und Firefox malt auch nicht ins Logfile 😉
Flash deinstallieren ist und war schon immer der beste Schutz im Netz. Angriffe auf Linux durch einen Flash Player sind mir aber nicht bekannt, Aufgrund der geringen Verbreitung und dem damit verbundenen Nutzen auch eher unwahrscheinlich. Sinnvolle Browser haben Flash und Java eh hinter Click to Play versteckt. mfg Stefan Betz |
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Richtig. Trotz 0-day sind die Hürden für einen Angriff trotzdem noch beträchtlich. Man muss üblicherweise nicht nur die Flash-Daten selbst manipulieren können sondern häufig auch die Art und Weise wie das im HTML eingebunden wird. Das heißt, um sich auf diesem Weg etwas einzufangen muss man erstmal auf eine manipulierte Webseite gehen. Eine große bekannte Webseite zu manipulieren dürfte etwas schwieriger werden, bestenfalls schafft man sowas vermutlich über ein Werbenetzwerk, dank Adblockern sollte man da einigermaßen sicher sein. Andernfalls muss man Nutzer auf eine manipulierte Seite locken also SEO-Zeugs und die Nutzer müssen dort dann auch noch Flash ausführen, Click-to-Play kommt ins Spiel. Auch wenn Flash unter Linux von diesem Exploit betroffen ist, heißt das nicht, das der identische Code auch funktioniert. Selbst wenn der Exploit selbst funktioniert gibt es andere APIs, Dateipfade usw. Das heißt man muss doch für jedes System separaten Code schreiben. Und dann hat man vielleicht ein Einfallstor um irgend eine Schadsoftware auf das Zielsystem zu übertragen. Es gibt nach wie vor keinerlei Hinweise auf Schadsoftware für Linux-Systeme in der freien Wildbahn. Wenn ~90% der Nutzer Windows einsetzen, dann schreibt man die Schadsoftware auch dafür. Auch wenn es dementsprechend unwahrscheinlich ist, dass man ein Opfer einer solchen Lücke wird, heißt das natürlich nicht, dass man sich als Linux-Nutzer beruhigt zurücklehnen und jede Vorsicht in den Wind schießen kann. Das Sicherheits 1x1 gilt für jedes System. Die Lücke sollte geschlossen werden, entsprechende Updates sind regelmäßig zu installieren, Adblocker und Click-to-Play tun ihr übriges … oder man verzichtet vollständig auf Flash, aber dann gibt es andere mögliche Einfallstore. Vollkommenen Schutz gibt es halt nicht. ~jug |
Anmeldungsdatum: Beiträge: 7 |
Danke für die Antworten. Verstehe ich das richtig: Durch die Lücke könnte ein Angreifer erst mal Zugriff auf das System haben, entweder mit den Account mit dem der Firefox läuft oder wenn Apparmor läuft mit den beschränkten Zugriffsrechten auf die definierten Verzeichnisse. Das heisst, Daten abgreifen z.B. aus dem Homeverzeichnis wäre möglich, ohne entsprechend extra Software zu installieren (vorausgesetzt die entsprechenden manipulierten Websites sind für Linux Systeme programmiert). Um jedoch einen Rechner in ein Botnetz aufzunehmen muss doch spezielle Malware, also Software installiert werden. Dies müsste doch mit aktivier Unterstützung des Users passieren, da in der Regel ja der Standarduser keine Rechte hat Programme zu installieren. Und wenn Software installiert wird, müsste ich das doch im Log sehen. Es sei denn, der Programmierer ist so schlau und löscht die entsprechenden Logs. Oder habe ich da einen Denkfehler? |
Ehemaliger
Anmeldungsdatum: Beiträge: 17448 |
Definiere Installation, unter Linux kann man ein Binary einfach nach /usr/bin packen und schon ist gut. Da braucht man keine Paketverwaltung für, sondern nur Rechte für die Ordner. Die kann man sich ggf. durch eine weitere Sicherheitslücke besorgen oder den Anwender was dummes machen lassen.
Nope, kein Hacker nutzt apt-get zur Malware Installation 😉
Siehe oben warum das nicht nötig sein sollte 😉 mfg Stefan Betz |
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Richtig.
Richtig.
Nein. Programme kann man ausführen ohne sie zu installieren. Also auch Schadsoftware. Du kannst zum Beispiel als Anwender ohne erweiterte Rechte (sudo) ausführbare Dateien in deinem Homeverzeichnis ablegen, ausführen und dafür sorgen, dass diese beim Login automatisch gestartet werden. Oder … wenn man schon mal den Browser übernommen hat und in der Lage ist Programme mit Benutzerrechten auszuführen, dann kann man auch einen lokalen root-Exploit nutzen – damit würde man die Bestätigung durch den Nutzer umgehen. Wie gesagt: für sowas muss der Angriff aber direkt auf Linux-Systeme abziehlen, was angesichts des Marktanteils eher unwahrscheinlich ist.
In den Logs erscheint nur dann etwas, wenn das vorgesehen ist. Die Paketverwaltung protokolliert Programminstallationen, aber solche Schadsoftware kommt wohl kaum über die Paketverwaltung ins System (letztendlich muss ja nur eine ausführbare Datei kopiert und gestartet werden). Über den oben erwähnten root-Exploit braucht man auch kein ~jug |
Anmeldungsdatum: Beiträge: 7 |
Ich gehe davon aus, dass mein System nicht betroffen ist. Mich interessiert jedoch, was möglich wäre. Wie bereits geschrieben, ich habe das Apparmor Profil für Firefox aktiv (Standard ohne eine Änderung). Der Firefox läuft ohne Root-Rechte mit dem einem einfachen User-Account. Folgendes habe ich aus wiki.ubuntuusers zu den Optionen von Apparmor: Grundsätzlich gilt: Eine Anwendung mit AppArmor-Profil darf nur, was im Profil durch entsprechende Regeln explizit erlaubt wird. Wenn z.B. in einem Profil keine Lese- oder Schreib-Regel für das Home-Verzeichnis existiert, wird jeglicher Zugriff der betreffenden Anwendung auf dieses Verzeichnis blockiert. owner - Berechtigung wird nur erteilt, wenn die Datei bzw. das Verzeichnis im Besitz des Benutzers ist m - Es darf der Aufruf von mmap {en} erfolgen mmap - mmap() creates a new mapping in the virtual address space of the calling process. The starting address for the new mapping is specified in addr. w - Schreibzugriff ist erlaubt a - Dateiinhalte können hinzugefügt werden l - Es ist erlaubt, einen Link zu erstellen x - Hilfsanwendung darf ausgeführt werden Ux - unconfined execute -- scrub the environment wie ux mit Bereinigen der Umgebung Meinem Verständnis nach kommen für einen Angriff (Ausführen einer Schadsoftware) dann nur folgende Einträge/ Verzeichnisse in Frage wo der Angreifer Schreibrechte hätte oder ggf. den Speicher/Ram manipulieren könnte: owner /{,var/}run/shm/shmfd-* rw, owner @{HOME}/Downloads/* rw, owner @{HOME}/.{firefox,mozilla}/ rw, owner @{HOME}/.{firefox,mozilla}/** rw, owner @{HOME}/.{firefox,mozilla}/plugins/** rm, owner @{HOME}/.{firefox,mozilla}/**/plugins/** rm, owner @{HOME}/.gnome2/firefox*-bin-* rw, owner @{HOME}/.cache/mozilla/{,firefox/} rw, owner @{HOME}/.cache/mozilla/firefox/** rw, ggf. noch diese Verzeichnisse /usr/bin/mkfifo Uxr, # investigate /bin/ps Uxr, /bin/uname Uxr, Natürlich gibt es bestimmt auch andere Wege trozdem noch Root Rechte zu erlangen, aber da stellt sich dann wieder die Frage bez. Aufwand/Nutzen. Ich bin kein Experte deshalb verzeiht mir, falls meine Denkweise nicht korrekt ist. 😉 Bearbeitet von encbladexp: Bitte nutze doch unsere Syntax, Danke. |
Ehemaliger
Anmeldungsdatum: Beiträge: 17448 |
Dann hast du noch mehr Schutz als sonst, man müsste also zusätzlich zur Flash Aktion auch noch eine Lücke in AppArmor oder im Kernel finden um mehr Rechte zu bekommen. Wie jug schon schrieb: Der Aufwand ist unerträglich hoch, der Nutzen kaum vorhanden, da beschäftigt sich nur ein theoretischer Sicherheitsforscher mit und kein World-Wide-Angriff um billig an Bots zu kommen.
Firefox als root wäre dann wieder so eine "Der User steht auf Schmerzen und will unsicher sein" Aktion 😉 mfg Stefan Betz |