1.2 CVE-2004-2473

Path Traversal

wmFrog weather monitor 0.1.6 und andere Versionen vor 0.2.0 erlauben lokalen Benutzern, beliebige Dateien über einen Symlink-Angriff auf temporäre Dateien zu überschreiben.
https://nvd.nist.gov/vuln/detail/CVE-2004-2473

Kategorien

CWE-59 : Unzulässige Link-Auflösung vor dem Dateizugriff ("Link Following")
Das Produkt versucht, anhand des Dateinamens auf eine Datei zuzugreifen, verhindert aber nicht, dass dieser Dateiname einen Link oder eine Verknüpfung identifiziert, die zu einer unbeabsichtigten Ressource führt. Manche Leute verwenden den Ausdruck "unsichere temporäre Datei", wenn sie sich auf eine Schwachstelle beziehen, die einem Link folgt, aber andere Schwachstellen können unsichere temporäre Dateien erzeugen, ohne dass ein Symlink beteiligt ist. "Zip slip" ist ein Angriff, bei dem Dateiarchive (z. B. ZIP, tar, rar usw.) verwendet werden, die Dateinamen mit Pfadüberquerungssequenzen enthalten, die dazu führen, dass die Dateien außerhalb des Verzeichnisses geschrieben werden, unter dem das Archiv extrahiert werden soll [REF-1282]. Es wird am häufigsten für die relative Pfadüberquerung (CWE-23) und das Verfolgen von Links (CWE-59) verwendet. Einige Versionen von Perl folgen symbolischen Links, wenn sie mit der Option -e ausgeführt werden, was es lokalen Benutzern erlaubt, beliebige Dateien durch einen Symlink-Angriff zu überschreiben. Texteditor folgt symbolischen Links, wenn er eine Rettungskopie während eines abnormalen Beendens erstellt, was lokalen Benutzern erlaubt, die Dateien anderer Benutzer zu überschreiben. Antivirus-Update erlaubt lokalen Benutzern, beliebige Dateien über einen Symlink-Angriff auf eine Logdatei zu erstellen oder an diese anzuhängen. Ein Symlink-Angriff erlaubt es lokalen Benutzern, Dateien zu überschreiben. Der Fenstermanager geht nicht richtig damit um, wenn bestimmte symbolische Links auf "veraltete" Orte zeigen, was lokalen Benutzern erlauben könnte, beliebige Dateien zu erstellen oder abzuschneiden. Symlink-Schwachstellen zweiter Ordnung Symlink im Python-Programm Setuid product erlaubt das Lesen von Dateien, indem es eine Datei, die gerade bearbeitet wird, durch einen Symlink zur Zieldatei ersetzt und das Ergebnis in Fehlermeldungen ausgibt, wenn das Parsen fehlschlägt. Signal verursacht einen Dump, der Symlinks folgt. Hard-Link-Angriff, Dateiüberschreibung; interessant, weil das Programm gegen Soft-Links prüft. Hard-Link- und möglicherweise symbolische Link-Folgeschwachstellen in eingebetteten Betriebssystemen erlauben lokalen Benutzern, beliebige Dateien zu überschreiben. Der Server erstellt Hardlinks und hebt die Verknüpfung von Dateien als root auf, was lokalen Benutzern erlaubt, Privilegien zu erlangen, indem sie beliebige Dateien löschen und überschreiben. Das Betriebssystem erlaubt es lokalen Benutzern, einen Denial-of-Service auszuführen, indem sie einen Hardlink von einer speziellen Gerätedatei zu einer Datei auf einem NFS-Dateisystem erstellen. Der Webhosting-Manager folgt harten Links, was lokalen Benutzern erlaubt, beliebige Dateien zu lesen oder zu verändern. Das Paketlistensystem erlaubt lokalen Benutzern, beliebige Dateien über einen Hardlink-Angriff auf die Lockfiles zu überschreiben. Harte Link-Race-Bedingung Mail-Client erlaubt entfernten Angreifern, die Benutzerwarnung für ausführbare Anhänge wie .exe, .com und .bat zu umgehen, indem sie eine .lnk-Datei verwenden, die auf den Anhang verweist, auch bekannt als "Stealth Attachment." FTP-Server erlaubt entfernten Angreifern, beliebige Dateien und Verzeichnisse zu lesen, indem sie eine .lnk-Datei (Link) hochladen, die auf die Zieldatei verweist. FTP-Server erlaubt entfernten Angreifern, beliebige Dateien und Verzeichnisse zu lesen, indem sie eine .lnk (Link)-Datei hochladen, die auf die Zieldatei verweist. Browser erlauben entfernten bösartigen Webseiten, beliebige Dateien zu überschreiben, indem sie den Benutzer dazu bringen, eine .LNK (Link)-Datei zweimal herunterzuladen, was die Datei überschreibt, auf die in der ersten .LNK-Datei verwiesen wurde. ".LNK." - .LNK mit nachgestelltem Punkt Rootkits können Dateizugriffsbeschränkungen auf Windows-Kernelverzeichnisse umgehen, indem sie die Funktion NtCreateSymbolicLinkObject verwenden, um einen symbolischen Link zu erstellen Das Dateisystem ermöglicht es lokalen Angreifern, Dateinutzungsaktivitäten über einen harten Link zur Zieldatei zu verbergen, was dazu führt, dass der Link anstelle der Zieldatei im Audit Trail aufgezeichnet wird. Ein Webserver-Plugin erlaubt lokalen Benutzern, beliebige Dateien über einen Symlink-Angriff auf vorhersehbare temporäre Dateinamen zu überschreiben. Ein Libcontainer, der in Docker Engine verwendet wird, erlaubt es lokalen Benutzern, die Containerisierung zu umgehen und über einen Symlink-Angriff in einem Image in eine beliebige Datei auf dem Hostsystem zu schreiben, wenn ein Container neu gestartet wird. "Zip Slip"-Schwachstelle im Go-basierten Open Container Initiative (OCI) Registries-Produkt erlaubt das Schreiben beliebiger Dateien außerhalb des vorgesehenen Verzeichnisses über symbolische Links oder Hardlinks in einem gzipped tarball. "Zip Slip"-Schwachstelle in einem Container-Verwaltungsprodukt ermöglicht das Schreiben beliebiger Dateien außerhalb des vorgesehenen Verzeichnisses über ein Container-Image (.tar-Format) mit Dateinamen, die symbolische Links sind, die auf andere Dateien innerhalb derselben tar-Datei verweisen; die Dateien, auf die verwiesen wird, können jedoch auch symbolische Links zu Zielen außerhalb des vorgesehenen Verzeichnisses sein, wodurch die anfängliche Prüfung umgangen wird.

Referenzen

BID

11743
24504

CONFIRM

http://sourceforge.net/project/shownotes.php?release_id=516070&group_id=67429
http://wmfrog.svn.sourceforge.net/svnroot/wmfrog/wmfrog/CHANGES

MISC

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=294352

OSVDB

12118

SECUNIA

13259 Vendor Advisory
25686 Vendor Advisory

VUPEN

ADV-2007-2238 Vendor Advisory

XF

wmfrog-symlink(18232)
wmfrog-wmfrog-symlink(34924)

CPE

cpe	start	ende
Configuration 1
cpe:2.3:a:wmfrog:wmfrog:0.1.6:::::::*

REMEDIERUNG

EXPLOITS

Exploit-db.com

id	beschreibung	datum
Keine bekannten Exploits

Andere (github, ...)

Url
Keine bekannten Exploits

CAPEC

Common Attack Pattern Enumerations and Classifications

id	beschreibung	schweregrad
132	Symlink Attack Ein Angreifer positioniert einen symbolischen Link so, dass der anvisierte Benutzer oder die anvisierte Anwendung auf den Endpunkt des Links zugreift, in der Annahme, dass er auf eine Datei mit dem Namen des Links zugreift. [Ziel identifizieren] Der Angreifer identifiziert die Zielanwendung, indem er feststellt, ob vor dem Schreiben von Daten in eine Datei und dem Erstellen von Symlinks zu Dateien in verschiedenen Verzeichnissen eine ausreichende Überprüfung stattfindet. [Versuchen, Symlinks zu verschiedenen Dateien zu erstellen] Der Angreifer verwendet dann eine Reihe von Techniken, wie Überwachung oder Erraten, um Symlinks zu den Dateien zu erstellen, auf die die Zielanwendung in den Verzeichnissen zugreift, die in der Erkundungsphase identifiziert wurden. [Der Angreifer ist in der Lage, Symlinks zu sensiblen Dateien zu erstellen, während die Zielanwendung mit der Datei arbeitet.	Hoch
17	Using Malicious Files Bei einem Angriff dieser Art wird eine Systemkonfiguration ausgenutzt, die es einem Angreifer ermöglicht, entweder direkt auf eine ausführbare Datei zuzugreifen, z. B. durch Shell-Zugriff, oder im schlimmsten Fall eine Datei hochzuladen und dann auszuführen. Webserver, FTP-Server und nachrichtenorientierte Middlewaresysteme mit vielen Integrationspunkten sind besonders anfällig, da sowohl die Programmierer als auch die Administratoren hinsichtlich der Schnittstellen und der richtigen Berechtigungen für jede Schnittstelle auf dem Laufenden sein müssen. [Datei-/Verzeichniskonfiguration ermitteln] Der Angreifer sucht nach falsch konfigurierten Dateien oder Verzeichnissen auf einem System, die einer zu großen Gruppe von Benutzern Zugriff auf ausführbare Dateien geben könnten. [Upload bösartiger Dateien] Wenn der Angreifer ein Verzeichnis mit ausführbaren Rechten entdeckt, versucht er, eine bösartige Datei zur Ausführung hochzuladen. [Bösartige Datei ausführen] Der Angreifer führt entweder die hochgeladene bösartige Datei aus oder er führt eine vorhandene Datei aus, die falsch konfiguriert wurde, um dem Angreifer ausführbaren Zugriff zu ermöglichen.	Sehr hoch
35	Leverage Executable Code in Non-Executable Files Ein Angriff dieser Art nutzt das Vertrauen eines Systems in Konfigurations- und Ressourcendateien aus. Wenn die ausführbare Datei die Ressource lädt (z. B. eine Bild- oder Konfigurationsdatei), hat der Angreifer die Datei so modifiziert, dass er entweder direkt bösartigen Code ausführt oder den Zielprozess (z. B. den Anwendungsserver) so manipuliert, dass er auf Basis der bösartigen Konfigurationsparameter ausgeführt wird. Da Systeme zunehmend miteinander vernetzt sind und Ressourcen aus lokalen und entfernten Quellen zusammenführen, ist die Wahrscheinlichkeit für diesen Angriff hoch.	Sehr hoch
76	Manipulation von Web-Eingaben bei Dateisystemaufrufen Ein Angreifer manipuliert Eingaben an die Zielsoftware, die diese an Dateisystemaufrufe im Betriebssystem weitergibt. Ziel ist es, Zugriff auf Bereiche des Dateisystems zu erhalten und diese möglicherweise zu verändern, auf die die Zielsoftware nicht zugreifen wollte. [Fingerprinting des Betriebssystems] Um eine gültige Dateiinjektion zu erstellen, muss der Angreifer das zugrunde liegende Betriebssystem kennen, damit der richtige Dateitrenner verwendet wird. [Der Angreifer untersucht die Zielanwendung, um alle benutzerkontrollierbaren Eingaben zu identifizieren, möglicherweise als gültiger und authentifizierter Benutzer [Eingaben variieren, nach bösartigen Ergebnissen suchen] Je nachdem, ob es sich bei der auszunutzenden Anwendung um eine entfernte oder lokale Anwendung handelt, bastelt der Angreifer die entsprechende bösartige Eingabe, die den Pfad der Zieldatei oder eine andere Syntax zur Steuerung des Dateisystems enthält, die an die Anwendung weitergegeben werden soll [Manipulation von Dateien, auf die die Anwendung zugreifen kann] Der Angreifer kann Informationen stehlen oder Dateien direkt manipulieren (löschen, kopieren, flushen usw.)	Sehr hoch

MITRE

Techniken

id	beschreibung
T1027.006	Verdeckte Dateien oder Informationen: HTML-Schmuggel
T1027.009	Verdeckte Dateien oder Informationen: Eingebettete Nutzlasten
T1547.009	Autostart-Ausführung beim Booten oder Anmelden: Änderung der Verknüpfung
T1564.009	Artefakte ausblenden: Ressource Forking
T1574.005	Hijack-Ausführungsablauf: Schwachstelle bei den Berechtigungen für ausführbare Installer-Dateien
T1574.010	Hijack-Ausführungsablauf: Schwachstelle in den ServicesFile-Berechtigungen
© 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet.

Abhilfemaßnahmen

id	beschreibung
T1027.009	Aktivieren Sie unter Windows 10 ASR-Regeln (Attack Surface Reduction), um die Ausführung von potenziell verschleierten Skripten zu verhindern.
T1547.009	Beschränken Sie die Berechtigungen für die Erstellung symbolischer Links in Windows auf geeignete Gruppen wie Administratoren und die für die Virtualisierung erforderlichen Gruppen. Dies kann über GPO erfolgen: Computerkonfiguration > [Richtlinien] > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten: Symbolische Links erstellen.
T1564.009	Konfigurieren Sie die Anwendungen so, dass sie die Struktur der Anwendungspakete verwenden, die den Speicherort des Ordners <code>/Resources</code> nutzen.
T1574.005
T1574.010
© 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet.

Sherlock® flash

Machen Sie mit wenigen Klicks ein Foto von Ihrem Computernetzwerk !

Mit der Sherlock® flash Audit-Lösung können Sie ein Audit durchführen, um die Sicherheit Ihres Computerbestands zu erhöhen. Scannen Sie Ihre physischen und virtuellen Geräte auf Schwachstellen. Planung von Patches nach Priorität und verfügbarer Zeit. Detaillierte und intuitive Berichte.

Entdecke dieses Angebot

Sherlock® flash: Erste Lösung für sofortige Cybersicherheitsprüfung