Framtiden inom nätverksforensik

nätverksforensik

Jag var intresserad av hur framtiden inom nätverksforensik ser ut nu när allt mer av vår vardagliga kommunikation på internet är krypterad. Så därför kontaktade jag Erik Hjelmvik som driver företaget Netresec samt utvecklar den populära mjukvaran Network Miner. Erik är en av Sveriges främsta specialister inom nätverksforensik och en av de som jag känner som troligtvis kan besvara frågan bäst.

Så här skriver Erik om framtiden gällande nätverksforensik och de utmaningar som området står inför:

Erik Hjelmvik”Användningen av HTTPS har ökat dramatiskt under de senaste fyra åren. En orsak till den ökade SSL-användningen är att man nu kan få gratis SSL-certifikat genom initiativ som t.ex. Let’s Encrypt, men jag tror även att Snowdens avslöjanden har gjort att intresset för krypterad  kommunikation har ökat märkbart. Den ökade användningen av SSL gör dock att det blir allt svårare att genomföra nätverksforensik eftersom innehållet i kommunikationen nu ofta är krypterad.

Som forensiker är det därför viktigt att ta vara på den information som går, även när trafiken är krypterad. Jag har exempelvis byggt in stöd i NetworkMiner för att extrahera X.509-certifikat från nätverkstrafik, vilket gör det lättare att hitta felaktiga och ogiltiga certifikat som används av botnät och annan skadlig kod för att kryptera sin kommunikation. Ett annat exempel på trafik som använder sig av ogiltiga certifikat är Tor, vilket använder sig av en SSL-handskakning för att sätta upp sin krypterade förbindelse.

Fingeravtryck i nätverkstrafik

En annan utmaning är att den tillgängliga bandbredden ökar, och därmed även datamängden som en forensiker behöver analysera. Utmaningen blir med andra ord en variant av att hitta nålen i höstacken, där höstacken utgörs av inspelad nätverkstrafik. Som forensiker kan man använda sig av exempelvis ”Rinse-Repeat Threat Hunting” för att minimera höstacken. Det kan också vara bra att ta ett steg tillbaka och börja analysen med att titta på flow-data, som vilka IP-adresser som pratar med vilka, innan man börjar analysera innehållet i trafiken.

För att kunna göra det effektivt krävs det dock att flow-vyn är berikad med information om exempelvis domännamn och WHOIS-information om IP-adresser, vilket jag tagit fasta på i verktyget CapLoader. Styrkan med CapLoader ligger dock framför allt i att kunna gå från flow-analys till att analysera trafiken på paketnivå med bara ett klick. De flesta flow-verktygen saknar dock denna förmåga, vilket gör att forensiker ofta tittar på antingen flow-data eller på paketdata istället för att kombinera båda teknikerna till ett mer effektivt arbetsflöde”

Ett flertal sårbarheter åtgärdade i PHP

En stor mängd säkerhetsbrister har åtgärdats i det populära webbramverket PHP. Sårbarheterna som uppdagats kan leda till att en angripare kan exekvera kod, genomföra blockeringsattacker (DoS) eller installera program(?). Oklart om dessa går att utnyttja fjärrmässigt, över internet exempelvis eller om det enbart är lokala sårbarheter.

Följande versioner är sårbara:

  • PHP 7.2 före version 7.2.1
  • PHP 7.1 före version 7.1.13
  • PHP 7.0 före version 7.0.27
  • PHP 5.0 före version 5.6.33

Följande sårbarheter är åtgärdade:

Version 7.2.1
Bug #64938 (libxml_disable_entity_loader setting is shared between requests).
Bug #73124 (php_ini_scanned_files() not reporting correctly).
Bug #73830 (Directory does not exist).
Bug #74183 (preg_last_error not returning error code after error).
Bug #74782 (remove file name from output to avoid XSS).
Bug #74862 (Unable to clone instance when private clone defined).
Bug #75074 (php-process crash when is_file() is used with strings longer 260 chars).
Bug #75384 (PHP seems incompatible with OneDrive files on demand).
Bug #75409 (accept EFAULT in addition to ENOSYS as indicator that getrandom() is missing).
Bug #75511 (fread not free unused buffer).
Bug #75514 (mt_rand returns value outside [$min,$max]+ on 32-bit) (Remi)
Bug #75525 (Access Violation in vcruntime140.dll).
Bug #75535 (Inappropriately parsing HTTP response leads to PHP segment fault).
Bug #75540 (Segfault with libzip 1.3.1).
Bug #75556 (Invalid opcode 138/1/1).
Bug #75570 (”Narrowing occurred during type inference” error).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).
Bug #75573 (Segmentation fault in 7.1.12 and 7.0.26).
Bug #75574 (putenv does not work properly if parameter contains non-ASCII unicode character).
Bug #75579 (Interned strings buffer overflow may cause crash).
Bug #75608 (”Narrowing occurred during type inference” error).

Version 7.1.13
Bug #60471 (Random ”Invalid request (unexpected EOF)” using a router script).
Bug #64938 (libxml_disable_entity_loader setting is shared between requests).
Bug #73124 (php_ini_scanned_files() not reporting correctly).
Bug #73830 (Directory does not exist).
Bug #74183 (preg_last_error not returning error code after error).
Bug #74782 (remove file name from output to avoid XSS).
Bug #74862 (Unable to clone instance when private clone defined).
Bug #75074 (php-process crash when is_file() is used with strings longer 260 chars).
Bug #75384 (PHP seems incompatible with OneDrive files on demand).
Bug #75409 (accept EFAULT in addition to ENOSYS as indicator that getrandom() is missing).
Bug #75511 (fread not free unused buffer).
Bug #75514 (mt_rand returns value outside [$min,$max]+ on 32-bit) (Remi)
Bug #75535 (Inappropriately parsing HTTP response leads to PHP segment fault).
Bug #75540 (Segfault with libzip 1.3.1).
Bug #75570 (”Narrowing occurred during type inference” error).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).
Bug #75573 (Segmentation fault in 7.1.12 and 7.0.26).
Bug #75574 (putenv does not work properly if parameter contains non-ASCII unicode character).
Bug #75579 (Interned strings buffer overflow may cause crash).
Bug #75608 (”Narrowing occurred during type inference” error).

Version 7.0.27
Bug #60471 (Random ”Invalid request (unexpected EOF)” using a router script).
Bug #64938 (libxml_disable_entity_loader setting is shared between requests).
Bug #74183 (preg_last_error not returning error code after error).
Bug #74782 (Reflected XSS in .phar 404 page).
Bug #75384 (PHP seems incompatible with OneDrive files on demand).
Bug #75409 (accept EFAULT in addition to ENOSYS as indicator that getrandom() is missing).
Bug #75535 (Inappropriately parsing HTTP response leads to PHP segment fault).
Bug #75540 (Segfault with libzip 1.3.1).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).
Bug #75573 (Segmentation fault in 7.1.12 and 7.0.26).
Bug #75579 (Interned strings buffer overflow may cause crash).

Version 5.6.33
Bug #74782 (Reflected XSS in .phar 404 page).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).

Källa: US-CERT

Oracle åtgärdar 237 sårbarheter

oracle säkerhetsbrister

Oracle har släppt sin January 2018 Oracle Critical Patch Update (CPU) som åtgärdar hela 237 sårbarheter. Några av de produkter där Oracle åtgärdar sårbarheter är följande:

  • MySQL
  • VirtualBox
  • WebCenter
  • HTTP Server
  • PeopleSoft
  • Solaris
  • Database Server
  • Java SE

Tittar vi närmare på exempelvis VirtualBox så ser vi en hel mängd CVE:er såsom CVE-2018-2694, CVE-2018-2698 osv. Dessa ska vara åtgärdade i version 5.2.6 men tyvärr så säger Changelog inget om detta, vilket är underligt. Även värt att nämna att PeopleSoft nyligen har haft problem med WebLogic genom att illasinnade personer nyttjat en tidigare sårbarhet för att köra krypto-miners, läs mer här.

CERT-SE vid Myndigheten för samhällsskydd och beredskap har även gått ut med en varning samt listat de sårbarheter som åtgärdas där de med högst CVSSv3 listas:

Database Server
CVE-2017-10282 Core RDBMS (CVSS 9.1 av 10.0)

Communications Applications
CVE-2017-5645, CVE-2015-3253 BRM – Elastic Charging Engine (CVSS 9.8 av 10.0)
CVE-2017-5645 Convergent Charging Controller (CVSS 9.8 av 10.0)
CVE-2017-5645 Network Charging and Control (CVSS 9.8 av 10.0)
CVE-2017-5645 Oracle Communications Services Gatekeeper (CVSS 9.8 av 10.0)

E-Business Suite
CVE-2018-2656 General Ledger (CVSS 9.1 av 10.0)
CVE-2018-2655 Oracle Work in Process (CVSS 9.1 av 10.0)

Oracle Fusion Middleware
CVE-2017-10352 WebLogic Server (CVSS 9.9 av 10)
CVE-2017-5461 Directory Server Enterprise Edition (CVSS 9.8 av 10)
CVE-2017-5461 iPlanet Web Server (CVSS 9.8 av 10)
CVE-2017-5645 Oracle WebLogic Server (CVSS 9.8 av 10)

Oracle Hospitality Applications
CVE-2018-2697 Hospitality Cruise Fleet Management (CVSS 9.1 av 10.0)

Detta är bara några av de rättade sårbarheterna. Besök Oracles webbsida [1] för att se vilka fler produkter som är sårbara.

Allvarligt fel hos NameSRS

Uppdatering 1: Det verkar som om domänpekningarna är legitima (och ingår i en kampanj via NameISP eller NameSRS) men att blocket.se råkade följa med i bara farten.

Uppdatering 2: NameISP har nu bekräftat via telefon att det var mänskliga faktorn som låg bakom och inget intrång.

Uppdatering 3: msb.se och krisinformation.se var ej påverkade av detta fel hos NameISP. Även värt att påpeka i sammanhanget är att registraren är Sveriges näst största.

Under natten så hackades eller så genomförde någon en stor miss hos domänregistraren NameSRS vilket fick till följd att cirka 11478 .se-domäner pekades om. Bland domänerna som pekades om fanns Blocket.se som under cirka 2h visade en helt annan webbsida:

Förutom att namnservarna var ändrade så ändrades också mailpekaren till följande mailserver:

  • mx224.m2bp.com (206.53.239.77, IQuest Internet)
  • mx224.mb1p.com (206.53.239.75, IQuest Internet)

Att mailpekare ändrades får till följd att det troligtvis varit möjligt för en obehörig att återställa lösenord för tredjepartstjänster samt ta del av E-post som skickats till domänerna.

Och tittar vi på whois-information gällande Blocket.se såg det ut enligt följande, observera namnservrarna:

Förutom Blocket.se så används NameSRS av bl.a. krisinformation.se samt msb.se, oklart huruvida dessa varit påverkade av just detta.

Försvarsberedningen: Sverige behöver en utvecklad förmåga inom cybersäkerhetsområdet

Försvarsberedningen släppte för några dagar sedan en inriktning av totalförsvaret och utformningen av det civila försvaret för åren 2021–2025.

Det jag finner extra intressant är kapitel 10 som handlar om informations- och cybersäkerhet. Och med följande citat från dokumentet sammanfattar bra en av många utmaningar inom cybersäkerhetsområdet:

Det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar.

Inriktingsrapporten tar även upp att cyberattacker är ett allvarligt hot mot befolkningens liv och hälsa, samhällets funktionalitet och vår förmåga att upprätthålla våra grundläggande värden. Och med det avses att allt mer av våra vardagliga liv blir beroende av att digitala funktioner i finansiella system, elnät, sjukvård och mycket annat.

Rapporten trycker även på att vi måste bli bättre beställare genom att kravställa på cybersäkerhet redan vid upphandling och inköp. Även framgår det att it-relaterade incidenter och avbrott i cyberdomänen måste systematiskt rapporteras och analyseras.

Om it-infrastrukturen komprometteras och vi saknar förberedda alternativa åtgärder riskerar tilliten till samhällets institutioner och våra totalförsvarsansträngningar att skadas.

Ingen ny rapport upprättas utan att nämna påverkanskampanjer och framförallt nu innan valet. Samt att cyberattacker kan utgöra en delmängd där även desinformation sprids, överbelastningsattacker utförs som hindrar tillgång till information.

Även så framgår det i rapporten gällande att med en aktiv cyberförmåga så kan Sverige agera proaktivt för att upptäcka eller få information om ett cyberintrång, olika former av cyberattacker, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung.

Förutom att kunna skydda sina egna system, innebär det att Försvarsmakten ska ansvara för totalförsvarets aktiva cyberförsvarsförmåga.

Och att denna cyberförsvarsförmåga ska byggas upp under en dialog med FRA och Säkerhetspolisen samt försvarsunderrättelsemyndigheterna.

Försvarsberedningen överlämnade sin rapport till försvarsminister Peter Hultqvist. Foto: Marcus Björkman/Regeringskansliet

Källa

Mängder av svenska sajter sårbara för ROBOT-attacken

Uppdatering: Skatteverket var snabba och patchade redan i måndags. Så Kronofogden, Skatteverket samt E-legitimationsnämnden är ej längre sårbara.

Många kritiska och viktiga svenska sajter är sårbara för den senaste ROBOT-attacken: Jag har genomfört en skanning av sajter som återfinnes under .SE och som underlag använde jag denna domänlista. Skanningen av sajter som är sårbara för ROBOT-attacken är genomförd med hjälp av verktyget testssl.sh och på listan med sårbara sajter nedan ser vi många banker, myndigheter och kommuner.

Attacken är dock svår att utnyttja eftersom det kräver att du som angripare kan avlyssna https-surf samt så finns det ingen programkod för att utnyttja attacken publicerad än så länge.

För mer information om ROBOT-attacken, läs här.

Av 807 testade sajter så är 119 st sårbara, hela listan med sårbara sajter hittar du här:

agria.se
aklagare.se
alecta.se
almhult.se
ange.se
apl.se
apoteksgruppen.se
arboga.se
askersund.se
avanza.se
avesta.se
bergslagenssparbank.se
bgc.se
bilprovningen.se
bolagsverket.se
bollebygd.se
boras.se
botkyrka.se
bracke.se
bredbandsbolaget.se
burlov.se
comhem.se
coop.se
coresec.se
danskebank.se
ehalsomyndigheten.se
elegnamnden.se
enkoping.se
eskilstuna.se
fagersta.se
falun.se
forskarskattenamnden.se
gjensidige.se
glocalnet.se
gullspang.se
habo.se
hagfors.se
hallsberg.se
harryda.se
hassleholm.se
herjedalen.se
hudiksvall.se
ica.se
jarfalla.se
jonkoping.se
kmh.se
knowit.se
konj.se
koping.se
krokom.se
kronofogden.se
kungsbacka.se
kungsor.se
lansforsakringar.se
laxa.se
lekeberg.se
lessebo.se
lomma.se
lotteriinspektionen.se
ltv.se
ludvika.se
lul.se
lu.se
marginalen.se
mariestad.se
msb.se
norberg.se
nordea.se
norrkoping.se
norrtalje.se
nykoping.se
nykvarn.se
nynashamn.se
orebroll.se
orebro.se
overklagandenamnden.se
rattvik.se
riksrevisionen.se
sandviken.se
seb.se
sj.se
skane.se
skatteverket.se
skogsstyrelsen.se
skolinspektionen.se
skolverket.se
sll.se
smedjebacken.se
socialstyrelsen.se
sr.se
statensmedierad.se
stenungsund.se
stromstad.se
sundbyberg.se
svd.se
svenskaspel.se
sverigesradio.se
svk.se
svo.se
tanum.se
telenor.se
tillvaxtverket.se
tlv.se
toreboda.se
torsby.se
trafikverket.se
transportstyrelsen.se
trygghansa.se
uddevalla.se
umu.se
uppvidinge.se
varberg.se
varmdo.se
varnamo.se
vaxjo.se
vll.se
volvogroup.com
yhmyndigheten.se

ROBOT – Return of Bleichenbacher’s Oracle Attack

ROBOT är en ny intressant attack som använder sig av Bleichenbachers Oracle för att attackera tjänster som använder sig av TLS såsom https. Attacken går mot PKCSv1.5 som är en padding som används tillsammans med RSA. Genom att skicka ett antal olika krypterade meddelanden är det möjligt för en angripare att återskapa krypterat https-data.

För att få en uppfattning om hur omfattande problemet med ROBOT-attacken är så kan vi titta på den skanning som Dirk Wetter på testssl.sh projeketet genomfört mot Alexa Top 10k-listan.

Ovan visar alltså på att runt 15% av sajterna är sårbara.

Jag gillar även följande presentationsbild som är från Tibor Jager kurs på Paderborn Universitetet i Tyskland:

Samt så har den officiella sajten RobotAttack.org har sammanställt en lista över sårbara implementationer, där den som är mest anmärkningsvärd är Cisco ACE som tydligen används av många företag men Cisco ej kommer att patcha:

F5 BIG-IP SSL vulnerability CVE-2017-6168
Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382
Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427
Cisco ACE Bleichenbacher Attack on TLS Affecting Cisco ProductsEnd-of-Sale and End-of-Life CVE-2017-17428
Bouncy Castle Fix in 1.59 beta 9Patch / Commit CVE-2017-13098
Erlang OTP 18.3.4.7,
OTP 19.3.6.4,
OTP 20.1.7		 CVE-2017-1000385
WolfSSL Github PR / patch CVE-2017-13099
MatrixSSL Changes in 3.8.3 CVE-2016-6883
Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081

En lösning till problemet är att helt sluta använda RSA och förlita sig på elliptiska kurvor samt Diffie-Hellman.

Robot-attacken är resultat av forskning från Hanno Böck, Juraj Somorovsky från Horst Görtz Institute och Craig Young, Tripwire.

Och för att testa om en sajt är sårbar för Robot kan du använda RobotAttack.org, dev.testssl.com eller testssl.sh

Skärmdump från dev.ssllabs.com där jag identifierat en sårbar sajt:

Säkerhetsuppdateringar från Apple

Apple släppte igår en stor mängd säkerhetsuppdateringar till iOS, macOS, watchOS samt tvOS. En eller flera av dessa åtgärdar säkerhetsbrister som gör att en angripare kan exekvera kod över nätverket.

Även så åtgärdas tre kryptobuggar där två av dessa är relaterade till S/MIME (e-postkryptering):

  • A S/MIME encrypted email may be inadvertently sent unencrypted if the receiver’s S/MIME certificate is not installed
  • An encryption issue existed with S/MIME credetials. The issue was addressed with additional checks and user control.
  • OpenSSL X.509 IPAddressFamily parsing

Hela listan med säkerhetsåtgärder följer nedan:

apache

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: Processing a maliciously crafted Apache configuration directive may result in the disclosure of process memory

Description: Multiple issues were addressed by updating to version 2.4.28.

CVE-2017-9798

curl

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: Malicious FTP servers may be able to cause the client to read out-of-bounds memory

Description: An out-of-bounds read issue existed in the FTP PWD response parsing. This issue was addressed with improved bounds checking.

CVE-2017-1000254: Max Dymond

Directory Utility

Available for: macOS High Sierra 10.13 and macOS High Sierra 10.13.1

Not impacted: macOS Sierra 10.12.6 and earlier

Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password

Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.

CVE-2017-13872

Intel Graphics Driver

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13883: an anonymous researcher

Intel Graphics Driver

Available for: macOS High Sierra 10.13.1

Impact: A local user may be able to cause unexpected system termination or read kernel memory

Description: An out-of-bounds read issue existed that led to the disclosure of kernel memory. This was addressed through improved input validation.

CVE-2017-13878: Ian Beer of Google Project Zero

Intel Graphics Driver

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with system privileges

Description: An out-of-bounds read was addressed through improved bounds checking.

CVE-2017-13875: Ian Beer of Google Project Zero

IOAcceleratorFamily

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to execute arbitrary code with system privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13844: found by IMF developed by HyungSeok Han (daramg.gift) of SoftSec, KAIST (softsec.kaist.ac.kr)

IOKit

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with system privileges

Description: An input validation issue existed in the kernel. This issue was addressed through improved input validation.

CVE-2017-13848: Alex Plaskett of MWR InfoSecurity

CVE-2017-13858: an anonymous researcher

IOKit

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to execute arbitrary code with system privileges

Description: Multiple memory corruption issues were addressed through improved state management.

CVE-2017-13847: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13862: Apple

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: An out-of-bounds read was addressed with improved bounds checking.

CVE-2017-13833: Brandon Azad

Kernel

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13876: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: A type confusion issue was addressed with improved memory handling.

CVE-2017-13855: Jann Horn of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: A malicious application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13867: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to read restricted memory

Description: A validation issue was addressed with improved input sanitization.

CVE-2017-13865: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: A validation issue was addressed with improved input sanitization.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn of Google Project Zero

Mail

Available for: macOS High Sierra 10.13.1

Impact: A S/MIME encrypted email may be inadvertently sent unencrypted if the receiver’s S/MIME certificate is not installed

Description: An inconsistent user interface issue was addressed with improved state management.

CVE-2017-13871: an anonymous researcher

Mail Drafts

Available for: macOS High Sierra 10.13.1

Impact: An attacker with a privileged network position may be able to intercept mail

Description: An encryption issue existed with S/MIME credetials. The issue was addressed with additional checks and user control.

CVE-2017-13860: Michael Weishaar of INNEO Solutions GmbH

OpenSSL

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: An out-of-bounds read issue existed in X.509 IPAddressFamily parsing. This issue was addressed with improved bounds checking.

CVE-2017-3735: found by OSS-Fuzz

Screen Sharing Server

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6

Impact: A user with screen sharing access may be able to access any file readable by root

Description: A permissions issue existed in the handling of screen sharing sessions. This issue was addressed with improved permissions handling.

CVE-2017-13826: Trevor Jacques of Toronto

OWASP Topp 10 2017

Äntligen har OWASP Top 10 2017 släppts i sin slutgiltiga utgåva. Egentligen skulle OWASP:s topp-10 lista varit klar redan 2016 men på grund av diverse anledningar så har listan blivit försenad.

Tittar vi på den slutgiltiga versionen nedan så ser vi att Cross-Site Request Forgery (CSRF) har raderats (dvs hamnat utanför topp 10) samt att insecure deserialisation och XML external entities tillkommit.

Och detta stämmer väl med mina granskningar: Injektioner är fortfarande det största problemet men i samband med att fler ramverk bygger in olika typer av skydd om injektionsattacker så blir det bättre.

När det gäller insecure deserialisation så kan detta vara lite knepigt att testa efter. Till Burp Suite så finns exempelvis modulen Java Deserialization Scanner.

XML external entities kan orsaka stor skada och inte enbart när det gäller inkludering av data utan även kan användas för att skicka HTTP-förfrågningar vidare till localhost.

Sist men inte minst gällande insufficient logging/monitoring så loggar många webbservrar etc automatiskt. Men hur länge dessa loggar sparas eller om någon tittar på loggarna är ett stort problem såsom logganalys.

Följande bild visar skillnaden på ett bra sätt:

Här kan du läsa vad jag skrivit om tidigare utgåvor av version 2017:

Script på webbsidor som loggar användarmönster läcker känslig information

Att använda olika former av javascript som loggar hur en webb-besökare rör sin mus eller vad hen fyller i formulär blir allt vanligare. Av världens topp 50000 sajter så använder 482 st någon form av användarloggning från tjänster såsom Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale eller SessionCam.

Dock har ny forskning visat på att dessa tjänster loggar lite väl mycket information på webbsidorna där dessa finns installerade.

Det var när forskarna Steven Englehardt, Gunes Acar och Arvind Narayanan vid Princeton University började att analysera vad som verkligen skickades iväg som de fann något intressant.

Denna tabell visar på vilken leverantör som skickar vilken typ av känslig information vidare till sig från sidan där scriptet är installerat:


Fylld cirkel: Data är exkluderad; Halvfull cirkel: maskar innehållet men längden finns kvar; Tom cirkel: Data skickas i klartext
* UserReplay skickar 4 sista siffrorna i kreditkortet i klartext
† Hotjar maskerar adressen i adressfält

Och för att förevisa bättre hur läckaget uppstår så kan du se följande bild där Fullstory är installerad på populära sajten Bonobos:

Samtliga nuvarande lösningar brister på flera sätt, därför rekommenderar studenterna vid Princeton följande:

A safer approach would be to mask or redact all inputs by default, as is done by UserReplay and SessionCam, and allow whitelisting of known-safe values. Even fully masked inputs provide imperfect protection. For example, the masking used by UserReplay and Smartlook leaks the length of the user’s password.

Vidare så läcker exempelvis läkemedelsavdelningen på Walgreens.com information om vilka läkemedel eller åkommor en webb-besökare uppger genom att använda denna typ av tjänst/script.

Hur ser det ut på svenska webbsidor?

Källa