Specific Criticism of CVSS4
Marc Ruef
Im Rahmen von Footprinting und Web Application Penetration Tests weisen wir gut und gerne darauf hin, wenn auf einem Server Dokumente dargeboten werden, die (technische) Hinweise auf die Zielumgebung gewähren. Dies sind beispielsweise Hinweise auf die genutzte Software für das Generieren von PDF-Dokumenten oder in Word-Dokumenten als Autor angegebene Windows-Benutzernamen. Ein Angreifer kann diese Informationen nutzen, um sich im Rahmen eines technischen oder psychologischen Angriffs einen grundlegenden Vorteil zu verschaffen.
Gegenwärtig sind wir im Lab darum bemüht, die Auswertungen auf dieser Ebene systematisch zu professionalisieren. Das Sammeln von interessanten Dokumenten kann entweder durch ein Fetching des Servers (z.B. mit wget) oder durch ein erweitertes Footprinting mit einer Suchmaschine wie Google geschehen. Um beispielsweise alle Dateien mit der Erweiterung *.doc auf dem Server fbi.gov anzuzeigen, ist die folgende Suchabfrage erforderlich:
site:fbi.gov filetype:doc
Durch ein Parsing der Links der jeweiligen Suchresultate (169 Stück, Stand 05.06.2009) kann in einem zweiten Schritt der Download initiiert werden. Hierfür bietet sich der Google Parser von goohackle.com an: Er liefert die Links in einer simplen Auflistung, die direkt in ein Skript übernommen werden kann. Wird die Liste beispielsweise in die Datei namens fbidocs.txt abgespeichert, kann sie durch den folgenden Aufruf mit wget eingelesen und die entsprechenden Dateien heruntergeladen werden (von den 169 Resultaten standen effektiv nur 146 Dateien bereit):
wget -i fbidocs.txt
Durch ein eigens angefertigtes Skript können nun die Dokumenteigenschaften ausgelesen werden. Die Office-Formate von Microsoft lassen sich durch ein VBScript (VBS) mit dem folgenden Code-Snipplet auslesen (das gezeigte Beispiel liest den initialen Autor eines Word-Dokuments aus):
Set oApp = WScript.CreateObject("Word.Application") Set oDoc = oApp.Documents.Open(sFile) WScript.Echo sFile & " (" & oDoc.BuiltInDocumentProperties("Author") & ")" oDoc.Close oApp.Quit Set oDoc = Nothing Set oApp = Nothing
Die Resultate solcher Auswertungen ist jeweils in vielerlei Hinsicht – alleine schon wenn man sich auf den Inhalt des Felds “Author” konzentriert – interessant. Hinweise dieser Art können bei einer genaueren Betrachtung anfallen:
/u\d{6}/g
für Benutzer und /a\d{3}/g
für Administratoren)Das Auswerten der auf fbi.gov gefundenen Dokumente ist nicht minder uninteressant. Die drei populärsten Autoren sind mrwalker (106 mal), Janine (16 mal) und ddweese (14 mal). Als vermeintliche Realnamen sind Reva J. Davis, Joyce M. Board und C. Michael Riley aufgetaucht. Das Sondieren von potentiellen Benutzernamen ist nicht einfach, wobei sich hier AGJCEPPA, agmjlill und dlpost am ehesten anbieten.
Im Übrigen scheinen diverse Nachrichtendienste eine strikte Richtlinie bezüglich der Veröffentlichung von Dokumenten auf ihren Webseiten zu haben. Mossad, NSA und CIA bieten gar keine Word-Dokumente an. Da trifft man ab und an lediglich auf Excel-Dateien. Ein Grossteil der Daten wird bevorzugt als PDF-Dokumente weitergegeben (siehe Tabelle). Diese lassen sich aber genauso auswerten.
Seite | DOC | XLS | |
---|---|---|---|
cia.gov | 0 | 0 | 2740 |
dia.mil | 6 | 0 | 154 |
fbi.gov | 169 | 2880 | 2690 |
nga.mil | 102 | 30 | 1350 |
nro.gov | 31 | 0 | 44 |
nsa.gov | 0 | 0 | 6620 |
Our experts will get in contact with you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!