Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung

Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor

(PresseBox) ( Düsseldorf/London, )
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype

Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.

"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der 'Binary Formatter', der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."

Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.

Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw

Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.