• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Technik] Bug in Fax-Protokoll betrifft All-in-One Fax-Drucker von HP

office-1645312_960_720.jpg

Während die PCs und Server in Firmennetzen gut abgesichert und über Firewalls zum Internet verbunden sind, hängt das Fax-Gerät gerne im selben Netzwerk und ist direkt über die Telefonleitung vernetzt. Genau diese Unachtsamkeit machen sich die Forscher von Check Point bei Faxploit (CVE-2018-5924 und CVE-2018-5925) zunutze.

Hierzu benötigen sie nur die Faxnummer. Diese Information ist häufig auf Websites, Visitenkarten und Briefköpfen zu finden. Die Hacker haben Faxploit an 154 HP All-in-One-Geräten ausprobiert, die sich per bösartigem Fax hijacken lassen. Das Problem betrifft aber wahrscheinlich alle modernen Fax-Geräte und auch Online-Fax-Dienste, wie fax2email, da es sich um ein Problem beim standardisierten Fax-Protokoll handelt. Faxgeräte sind meist Multifunktionsgeräte, die auch Dokumente speichern. Dadurch lassen sich Dokumente verändern sowie kopieren. Dies ist insbesondere dadurch brisant, da Faxe häufig als sichere Kommunikationswege gelten - im Gegensatz zu E-Mails.

Ferner sind die Geräte häufig im selben Netz wie beispielsweise Mitarbeiter-PCs, wodurch sie als Einfallstor dienen und andere Rechner ebenfalls gekapert werden können. Was zunächst die Auswirkung reduziert, ist Netzsegmentierung, also Multifunktionsgerät in einem anderen Segment belassen. So kann nur das Multifunktionsgerät gehijackt werden. Zudem gibt es für die HP-Geräte bereits Patches. Falls Fax nicht mehr benötigt wird, kann auch das Kabel gezogen werden.

Im Video wird Faxploit gut und einfach erklärt:

Die Forscher fanden beim Multifunktionsgerät über IDA (ein netter Disassembler and Debugger) eine gSOAP library mit dem Devil's Ivy Bug, der durch ein großes XML-File (2GB) über den TCP Port 53048 einen Stack-Based Buffer Overflow auslöst. Darüber kann wiederum volle Kontrolle über das Gerät gewonnen werden. Jedoch dauert es länger diese Datenmengen zu senden. Einzelne Zeichen (0x00 -0x19 und '?':0x3F) sind verboten und Drucker sind normalerweise Embedded Devices, deren CPUs mehrere Caches besitzt.
Das T.30 Protokoll, welches Fax spezifiziert, versendet Seiten, während in der zweiten Phase des Protokolls Parameter, wie Seitenhöhe und -breite übergeben werden. In der dritten Phase werden die Datenzeilen transportiert. Am Ende kommt ein .tiff File heraus, welches die IFD Tags enthält, die beim Handshake als Metadaten übertragen wurden. Die Datenzeilen werden einfach übernommen. Es gibt mehrere Schwachstellen im Code, der die IFD Tags parst, in diesem Fall durch den Drucker selbst. Einzig die Komprimierung wird auf den Inhalt angewendet. Daher muss die Komprimierung für den Angreifer bekannt sein. Wenn das Multifunktionsgerät farbige Faxe, also JPEGs, unterstützt, hat der Angreifer volle Kontrolle über den Inhalt. Die Forscher haben sich daraufhin Parsing-Markers angeschaut und die folgenden beiden Schwachstellen gefunden:

CVE-2018-5925 – Buffer-Overflow While Parsing COM Markers

According to the standard, a COM marker (0xFFFE) is a variable-sized text field representing a text comment. This was our first candidate for finding a parsing vulnerability.

CVE-2018-5924 – Stack-Based Buffer-Overflow while Parsing DHT Markers

Since the first vulnerability was located in a marker that shouldn’t be supported by standard-compliant implementations, we chose to keep on looking for vulnerabilities in additional markers. The DHT marker (0xFFC4) Define a special Huffman Table that should be used when decoding the data frames of the file.

Letztere wurde implementiert. Wer den Angriffsvektor genauer verstehen will, kann die Informationen hier nachlesen.
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.845
Ort
ja
Da die Hersteller alle so ziemlich die gleichen Protokolle nutzen und fast identische Treiber sollte man den schwarzen Peter hier aber nicht nur hp in die Schuhe schieben.
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.080
Ort
hello world
  • Thread Starter Thread Starter
  • #3
Ich sehe dabei auch nicht den schwarzen Peter bei HP. Anhand von HP-Geräten wurden die Bugs gefunden, aber mehr auch nicht. Mit Pech sind auch Online-Faxdienste betroffen, was ich schon fast lustig finde. Problem ist halt, dass Fax noch häufig verwendet wird und kaum jemand bei den Geräten auf Sicherheit achtet.
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.845
Ort
ja
Zu dem Thema wurde in einem andren Forum eine interessante These aufgestellt. Es ging darum, dass Gerichte nur ausgedruckte Faxe als "echt" anerkennen. Jemand hatte halt argumentiert, er würde Faxe eh automatisiert über seine Fritzbox als pdf abspeichern und niemals ausdrucken.

Seine lustige und schlüssige Antwort darauf war genial einfach: "Dann drucke ich die pdf halt aus, wenn ich sie brauche."

Der Kern der Sache ist aber ein anderer: ich brauche gar kein Fax-Gerät um Faxe zu senden/empfangen. Onlinedienste haben ihre Lücken ganz woanders. Niemand, der nur einen Cent auf Sicherheit gibt, wird Faxe über einen externen Dienst versenden. Es sei denn er ist dumm oder die Faxe unwichtig.
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.080
Ort
hello world
  • Thread Starter Thread Starter
  • #5
@c1i: Und wie viele Leute denken nicht an Sicherheit? Habe hier, wohl gemerkt Unibereich IT-Sicherheit, eine Kollegin, die mehr wissen wollte zum Bug, weil sie einen solchen externen Dienst nutzt. Die zwei Buchstaben mit dem Punkt vorne dran in dem Bereich bedeuten übrigens nicht, dass einem Sicherheit sonst interessiert...
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.845
Ort
ja
Oke, also wenn jemand, der im Bereich IT-Sicherheit angesiedelt ist, einen externen Dienst für Faxe nutzt (ich hoffe doch wohl nur privat), dann habe ich gerade eine Lücke in Eurer IT entdeckt. Social Engineering ole, oke?
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@c1i: Die Hälfte der Leute, die IT-Sicherheit studiert haben, verstehen nichtmal grundlegende Prinzipien derselben, also Social Engineering ist jetzt schon hoch gegriffen :D
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.080
Ort
hello world
  • Thread Starter Thread Starter
  • #8
@Metal_Warrior: Erinner mich nicht an eine Bachelorarbeit einer Studentin, die darüber schreiben sollte und selbst beim praktischen Versuch darauf reingefallen ist... :m

Abschlüsse und Titel sagen erst einmal meiner Erfahrung nach wenig aus. Studium: ja, es hat jemand auswendig gelernt, sich gut durchgemogelt oder hatte Glück. Dr.: gute Sklaven gehabt. Ausnahmen bestätigen die Regel.
Oder warum sollte jemand, der im Bereich Netzwerktechnik und Sicherheit promoviert einen Unterschied zwischen Router und Switches kennen? Oder verstehen, warum LAN ausfallen kann, während Wlan noch geht?
 
Oben