Ivan Buetler - Windows Security category

Microsoft KnowHow auf einen Blick

Fri, 26 Mar 2010 11:42:00 GMT

Gestern wurde ich von Daniel Stirnimann auf die Seite http://www.msxfaq.de aufmerksam gemacht, die eine sehr gute Übersicht über die von Microsoft eingesetzten Technologien bietet. Will man sich rasch in ein MS Thema einlesen oder aktualisieren, lohnt sich ein Besuch

LINK: http://www.msxfaq.de

Grüsse
E1

Was ist Scareware? Was ist Rogueware?

Sun, 27 Sep 2009 19:11:00 GMT

Wenn jemand eine gefälschte Security Software unter die Leute bringt welche anstatt der erhofften Funktionalität ein Backdoor, Trojaner oder Virus enthält, wird dies im Fachjargon als "Fake Security Software", Scareware oder Rogueware bezeichnet. Eine relativ gute Zusammenfassung des Themas, das sich als Evergreen der Hacker entpuppt ist auf dem ZDNET Blog erschienen.

http://blogs.zdnet.com/security/?p=4297
Have a safe day
E1

Microsoft IIS Unicode Sicherheitslücke in WebDAV

Tue, 19 May 2009 07:07:00 GMT

Vor ein paar Jahren wurde bereits eine Unicode Sicherheitslücke beim IIS bekannt, mit welcher man auf das System zugreifen konnte. Viele Hacker Script Kiddies Tools haben danach gesucht und ausgenützt. Heute ist grundsätzlich das gleiche Problem im IIS Web DAV Handler publiziert worden. Ein Zusatz zum IIS der das gleiche Sicherheitsproblem hat wodurch man via Web DAV auf passwort geschützte Inhalte ohne Angabe von Passwörtern zugreifen kann (Bypass Authentication).

Info bei Microsoft

Info bei Security Focus (Exploit)

Gruss Ivan

Windows 7 Restore Points

Tue, 31 Mar 2009 14:03:00 GMT

Am Swiss Cyber Storm II gibt es ein Wargame mit dem Namen "FastCrack". Hierbei geht es darum auf einem Windows 7 System eine Datei auszulesen. Aus unserer Sicht stellt sich die Frage, wie wir gleichbleibende Wargame Verhältnisse sicherstellen können und haben dazu die Windows 7 Restore Point Funktionalität benützt. Es handelt sich hierbei um eine Art "Snapshot" Technologie wie man dies unter VMWare kennt, wo ein gewisser Stand eingefroren werden kann. Das beiliegende PDF beschreibt das Anlegen von sogenannten "Restore Points" und wie man darauf zurückkommt. Das PDF eignet sich für Windows Interessierte mit technischem Fokus (keine rocket science Information, aber gut zu wissen)

Grüsse
E1

Conficker Wurm Analyse

Tue, 24 Mar 2009 09:26:00 GMT

Seit der Bekanntmachung von Microsoft für sachdienliche Hinweise der Urheberschaft des Conficker Virus beobachte ich die Conficker Geschichte etwas genauer. Das SRI hat eine ausgezeichnete Analyse erstellt, die ich jedem Techi wärmstens empfehle zu lesen. Es wird auch klar, dass der Virus professionell erstellt wurde und eine globale Wirkung hat. Cyber Crime ist real und nicht nur ein Schreckensgespenst nach Flash Gordon. Die Massen von ungepatchten Microsoft Systemen mit dem Conficker Virus können gemeinsam eine unheimliche Bandbreite entwickeln mit der man jedes Unternehmen respektive deren Internet Leitungen lahmlegen kann.

E1

Suchen nach Sicherheitslücken mit MS Tool !exploitable

Tue, 24 Mar 2009 09:08:00 GMT

Das "Microsoft Security Engineering Center" MSEC kündigt ein Analysetool für das Analysieren von abgestürtzten (Crash) Programmen an. Das Tool "!exploitable" arbeitet als Plugin für WinDBG und hilft dem Benutzer einen Programmabsturz besser zu verstehen und zu analysieren. Oftmals stürzen Programme zuerst ab und erst später kann ein Hacker einen funktionierenden Exploit programmieren, der die potenziell vorhandene Sicherheitslücke ausnützt. Mit dem Tool kann man selbständig nach dem Grund des Programmabsturz suchen. Zudem gibt es eine Power Point Präsentation, welche das Tool kurz erläutert.

Grüsse
E1

Microsoft bietet 250'000 US$ für Hinweise zu Conficker Virus

Wed, 18 Feb 2009 07:16:00 GMT

Schon letzte Woche ist mir die News aufgefallen, dass Microsoft angeblich USD 250'000 Belohnung für sachdienliche Hinweise für die Fassung der Täterschaft des Conficker Virus ankündigt. Im ersten Moment war es für mich ein Hoax, weil auch nach intensiver Suche im Netz lediglich News Seiten die Nachricht ins Internet stellten. Ein offizielles Statement seitens Microsoft war für mich nicht auffindbar. Nun ja, das hat sich jetzt geändert. Offensichtlich ist es Microsoft ernst mit der Belohnung, wie man unter folgender Microsoft URL nachlesen kann.

http://www.microsoft.com/Presspass/press/2009/feb09/02-12ConfickerPR.mspx
http://technet.microsoft.com/en-us/security/dd452420.aspx

Grüsse Ivan

DotNet Rootkits

Thu, 20 Nov 2008 22:50:00 GMT

.NET Rootkits im kommen? Es gibt ein PDF plus Demo Source Code! Es geht um die Verseuchung von .NET Frameworks und das verstecken von Rootkits. Sehr interessante Lektüre.

Original Message:
.NET Framework Rootkits - This whitepaper covers various ways to develop rootkits for the .NET framework, so that every EXE/DLL that runs on a modified Framework will behave differently than what it's supposed to do. Code reviews will not detect backdoors installed inside the Framework since the payload is not in the code itself, but rather it is inside the Framework implementation. Writing Framework rootkits will enable the attacker to install a reverse shell inside the framework, to steal valuable information, to fixate encryption keys, disable security checks and to perform other nasty things as described in this paper.

http://packetstormsecurity.org/papers/attack/dotnetrookits.pdf

Ivan

SMBRelay3

Wed, 19 Nov 2008 21:06:00 GMT

Ein neues Tool für Windows SMB Man in the Middle Attacken ist erschienen. Früher benützte ich smbrelay für NTLM crypto downgrade Attacken. Doch das neue Tool SMBRealy3 macht einen viel besseren Eindruck. Vor allem erlaubt es auch das Downgrading auf NTLM mit HTTP, IMAP oder anderen Protokollen die SMB als Authentisierung verwenden. Meines Erachtens ist das Tool wirklich gut!

http://www.tarasco.org/security/smbrelay/index.html

Übrigens: Die Seite von Tarasco macht auch sonst einen guten Eindruck. Sicherlich ein Bookmark wert, wenn man mal wieder einen Exploit oder ähnliches braucht 8-)

Ivan

Emergency Security Patch - Worm in the Wild

Fri, 24 Oct 2008 06:14:00 GMT

Gestern Donnerstag 23. Oktober hat Microsoft ein Emergency Update via WindowsUpdate bereitgestellt, weil es bereits Anzeichen von einem Wurm gibt, der die Schwachstelle ausnützt. Bei meinem Test Vista ist das Update ebenfalls reingepoppt.

Update ist empfohlen

Ivan