2.1 CVE-2011-2784

Exploit Ransomware Risk

Google Chrome vor 13.0.782.107 ermöglicht entfernten Angreifern, vertrauliche Informationen über eine Anfrage für das GL-Programmprotokoll zu erhalten, die einen lokalen Pfad in einem nicht spezifizierten Protokolleintrag offenbart.
https://nvd.nist.gov/vuln/detail/CVE-2011-2784

Kategorien

CWE-200 : Preisgabe von sensiblen Informationen an einen unbefugten Akteur
Das Produkt gibt sensible Informationen an einen Akteur weiter, der nicht ausdrücklich zum Zugriff auf diese Informationen berechtigt ist. Die Entwickler fügen möglicherweise sensible Informationen ein, die sie nicht glauben, oder sie vergessen, die sensiblen Informationen nach der Verarbeitung zu entfernen. Separate Fehler oder Schwachstellen könnten die sensiblen Informationen versehentlich einem Angreifer zugänglich machen, z. B. in einer detaillierten Fehlermeldung, die von einer nicht autorisierten Partei gelesen werden kann. Oft kann CWE-200 missbraucht werden, um den Verlust der Vertraulichkeit darzustellen, auch wenn der Fehler - d.h. die Schwachstelle - nicht direkt mit dem falschen Umgang mit den Informationen selbst zusammenhängt, wie z.B. ein Out-of-bounds-Read, der auf sensible Speicherinhalte zugreift; hier ist das Out-of-bounds-Read die primäre Schwachstelle, nicht die Offenlegung des Speichers. Darüber hinaus wird dieser Ausdruck auch häufig in Richtlinien und Rechtsdokumenten verwendet, er bezieht sich jedoch nicht auf die Offenlegung sicherheitsrelevanter Informationen. Dies ist ein häufig verwendeter Begriff, aber der Begriff "Leck" wird im Sicherheitsbereich mehrfach verwendet. In einigen Fällen handelt es sich um die versehentliche Offenlegung von Informationen aus einer anderen Schwachstelle, in anderen Fällen (z. B. "Speicherleck") geht es jedoch um die unsachgemäße Verfolgung von Ressourcen, die zur Erschöpfung führen kann. Aus diesem Grund vermeidet CWE aktiv die Verwendung des Begriffs "Leck". Aufzählung gültiger Benutzernamen auf der Grundlage inkonsistenter Antworten Aufzählung von Kontonummern über inkonsistente Antworten. Aufzählung von Benutzern über Unstimmigkeiten in Fehlermeldungen. Das Telnet-Protokoll ermöglicht es Servern, sensible Umgebungsinformationen von Clients zu erhalten. Skript ruft phpinfo() auf und offenbart dem Web-Benutzer die Systemkonfiguration Produkt setzt eine andere TTL, wenn ein Port gefiltert wird, als wenn er nicht gefiltert wird, was entfernten Angreifern ermöglicht, gefilterte Ports durch Vergleich der TTLs zu identifizieren. Versionskontrollsystem erlaubt entfernten Angreifern, die Existenz beliebiger Dateien und Verzeichnisse über den -X-Befehl für eine alternative History-Datei zu ermitteln, was dazu führt, dass unterschiedliche Fehlermeldungen zurückgegeben werden. Virtuelle Maschine erlaubt es böswilligen Website-Betreibern, die Existenz von Dateien auf dem Client zu ermitteln, indem sie Verzögerungen bei der Ausführung der getSystemResource-Methode messen. Produkt sendet sofort eine Fehlermeldung, wenn ein Benutzer nicht existiert, was entfernten Angreifern ermöglicht, gültige Benutzernamen über einen Zeitangriff zu ermitteln. POP3-Server gibt ein Passwort in einer Fehlermeldung preis, nachdem mehrere APOP-Befehle gesendet wurden. Könnte die Folge einer anderen Schwachstelle sein. Programm gibt Passwort in Fehlermeldung preis, wenn Angreifer bestimmte Datenbankfehler auslösen kann. Composite: Anwendung, die mit hohen Rechten läuft (CWE-250), erlaubt dem Benutzer, eine eingeschränkte Datei zur Verarbeitung anzugeben, was einen Parsing-Fehler erzeugt, der den Inhalt der Datei preisgibt (CWE-209). Eine direkte Anfrage an eine Bibliotheksdatei in einer Webanwendung führt zu einem Leck im Pfadnamen in der Fehlermeldung. Eine fehlerhafte Regexp-Syntax führt zu einem Informationsleck in der Fehlermeldung. Passwort in Debug-Informationen offengelegt. FTP-Client mit aktivierter Debug-Option zeigt das Passwort auf dem Bildschirm an. Kollaborationsplattform löscht Team-E-Mails in einer Antwort nicht, was zu einem Leck bei den E-Mail-Adressen führt

Referenzen

CONFIRM

http://code.google.com/p/chromium/issues/detail?id=83841 Vendor Advisory
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html Vendor Advisory

OSVDB

74234 Broken Link

OVAL

oval:org.mitre.oval:def:14580 Third Party Advisory

XF Exploit

google-chrome-gl-path-disclosure(68946) Exploit Third Party Advisory VDB Entry

CPE

cpe	start	ende
Configuration 1
cpe:2.3:a:google:chrome::::::::		< 13.0.782.107

REMEDIERUNG

EXPLOITS

Exploit-db.com

id	beschreibung	datum
Keine bekannten Exploits

Andere (github, ...)

Url
google-chrome-gl-path-disclosure(68946)

CAPEC

Common Attack Pattern Enumerations and Classifications

id	beschreibung	schweregrad
116	Excavation Ein Angreifer sondiert das Ziel aktiv in einer Weise, die darauf abzielt, Informationen zu erlangen, die für böswillige Zwecke genutzt werden können.	Mittel
13	Umgebungsvariablenwerte unterwandern Der Angreifer verändert direkt oder indirekt die Umgebungsvariablen, die von der Zielsoftware verwendet werden oder diese steuern. Das Ziel des Angreifers ist es, die Zielsoftware dazu zu bringen, von ihrem erwarteten Betrieb in einer Weise abzuweichen, die dem Angreifer nützt. [Sondieren der Zielanwendung] Der Angreifer sondiert zunächst die Zielanwendung, um wichtige Informationen über das Ziel zu ermitteln. Zu diesen Informationen gehören z. B. die Art der verwendeten Software, die Softwareversionen, die Benutzereingaben, die die Anwendung verarbeitet, usw. Vor allem aber versucht der Angreifer herauszufinden, welche Umgebungsvariablen von der zugrunde liegenden Software oder sogar von der Anwendung selbst verwendet werden könnten. [Anhand der durch die Untersuchung der Anwendung gefundenen Informationen versucht der Angreifer, alle benutzergesteuerten Umgebungsvariablen zu manipulieren, von denen er herausgefunden hat, dass sie von der Anwendung verwendet werden oder von denen er annimmt, dass sie von der Anwendung verwendet werden, und beobachtet die Auswirkungen dieser Änderungen. Wenn der Angreifer signifikante Änderungen an der Anwendung feststellt, weiß er, dass eine bestimmte Umgebungsvariable für das Verhalten der Anwendung wichtig ist und einen möglichen Angriffsvektor darstellt. [Manipulation von benutzergesteuerten Umgebungsvariablen] Der Angreifer manipuliert die gefundene(n) Umgebungsvariable(n), um den normalen Ablauf von Prozessen zu missbrauchen oder Zugriff auf privilegierte Ressourcen zu erhalten.	Sehr hoch
169	Footprinting Ein Angreifer führt Sondierungs- und Erkundungsaktivitäten durch, um Bestandteile und Eigenschaften des Ziels zu ermitteln. (Request Footprinting) Der Angreifer untersucht die Website-Informationen und den Quellcode der Website und verwendet automatisierte Tools, um so viele Informationen wie möglich über das System und die Organisation zu erhalten.	Sehr niedrig
22	Exploiting Trust in Client Ein Angriff dieser Art nutzt Schwachstellen in der Authentifizierung und Datenintegrität des Client/Server-Kommunikationskanals aus. Er nutzt das implizite Vertrauen aus, das ein Server in den Client setzt, oder, noch wichtiger, in das, was der Server für den Client hält. Ein Angreifer führt diese Art von Angriff aus, indem er direkt mit dem Server kommuniziert, wobei der Server glaubt, dass er nur mit einem gültigen Client kommuniziert. Es gibt zahlreiche Variationen dieser Art von Angriff.	Hoch
224	Fingerprinting Ein Angreifer vergleicht die Ausgabe eines Zielsystems mit bekannten Indikatoren, die bestimmte Details des Ziels eindeutig identifizieren. Am häufigsten wird Fingerprinting durchgeführt, um Betriebssystem- und Anwendungsversionen zu ermitteln. Fingerprinting kann sowohl passiv als auch aktiv durchgeführt werden. Fingerprinting an sich ist in der Regel nicht schädlich für das Ziel. Die durch das Fingerprinting gesammelten Informationen ermöglichen es einem Angreifer jedoch oft, bestehende Schwachstellen des Ziels zu entdecken.	Sehr niedrig
285	ICMP Echo Request Ping Ein Angreifer sendet eine ICMP-Echo-Anfrage vom Typ 8, allgemein als "Ping" bekannt, um festzustellen, ob ein Zielsystem ansprechbar ist. Wenn die Anfrage nicht durch eine Firewall oder ACL blockiert wird, antwortet der Zielhost mit einem ICMP Typ 0 Echo Reply Datagramm. Diese Art des Austauschs wird in der Regel als "Ping" bezeichnet, da das Dienstprogramm Ping in fast allen Betriebssystemen vorhanden ist. Ping, so wie es üblicherweise implementiert ist, ermöglicht es dem Benutzer, auf aktive Hosts zu testen, die Umlaufzeit zu messen und den Prozentsatz der Paketverluste zu ermitteln.	Niedrig
287	TCP SYN Scan Ein Angreifer verwendet einen SYN-Scan, um den Status von Ports auf dem entfernten Ziel zu ermitteln. Der SYN-Scan ist die häufigste Art des Port-Scannings, die aufgrund ihrer vielen Vorteile und wenigen Nachteile verwendet wird. Daher neigen unerfahrene Angreifer dazu, sich bei der Systemerkundung zu sehr auf den SYN-Scan zu verlassen. Die Hauptvorteile des SYN-Scans als Scan-Methode sind seine Universalität und Geschwindigkeit. Ein Angreifer sendet SYN-Pakete an die Ports, die er scannen möchte, und überprüft die Antwort, ohne den TCP-Handshake abzuschließen. Der Angreifer nutzt die Antwort des Ziels, um den Status des Ports zu ermitteln. Der Angreifer kann den Status eines Ports anhand der folgenden Antworten ermitteln. Wenn ein SYN-Paket an einen offenen und ungefilterten Port gesendet wird, wird ein SYN/ACK erzeugt. Wenn ein SYN-Paket an einen geschlossenen Port gesendet wird, wird ein RST erzeugt, das anzeigt, dass der Port geschlossen ist. Wenn ein SYN-Scan an einen bestimmten Port keine Antwort erzeugt oder wenn die Anfrage ICMP-Fehler vom Typ 3 (unerreichbar) auslöst, wird der Port gefiltert.	Niedrig
290	Enumerate Mail Exchange (MX) Records Ein Angreifer zählt die MX-Einträge für einen gegebenen über eine DNS-Abfrage auf. Diese Art der Informationsbeschaffung liefert die Namen von Mailservern im Netzwerk. Mailserver sind oft nicht dem Internet ausgesetzt, sondern befinden sich innerhalb der DMZ eines durch eine Firewall geschützten Netzwerks. Ein Nebeneffekt dieser Konfiguration ist, dass die Aufzählung der MX-Einträge für eine Organisation die IP-Adresse der Firewall oder möglicherweise anderer interner Systeme aufdecken kann. Angreifer greifen häufig auf die Aufzählung von MX-Einträgen zurück, wenn ein DNS-Zonentransfer nicht möglich ist.	Niedrig
291	DNS Zone Transfers Ein Angreifer nutzt eine DNS-Fehlkonfiguration aus, die einen ZONE-Transfer erlaubt. Einige externe DNS-Server geben eine Liste von IP-Adressen und gültigen Hostnamen zurück. Unter bestimmten Bedingungen kann es sogar möglich sein, Zonendaten über das interne Netzwerk der Organisation zu erhalten. Bei Erfolg erfährt der Angreifer wertvolle Informationen über die Topologie der Zielorganisation, einschließlich Informationen über bestimmte Server, ihre Rolle innerhalb der IT-Struktur und möglicherweise Informationen über die im Netzwerk laufenden Betriebssysteme. Dieses Verhalten ist konfigurationsabhängig, sodass es auch erforderlich sein kann, mehrere DNS-Server zu durchsuchen, während er versucht, einen zu finden, bei dem ZONE-Transfers erlaubt sind.	Niedrig
292	Host Discovery Ein Angreifer sendet eine Probe an eine IP-Adresse, um festzustellen, ob der Host am Leben ist. Host Discovery ist eine der frühesten Phasen der Netzwerkerkundung. Der Angreifer beginnt in der Regel mit einem Bereich von IP-Adressen, die zu einem Zielnetzwerk gehören, und verwendet verschiedene Methoden, um festzustellen, ob ein Host unter dieser IP-Adresse vorhanden ist. Die Erkennung von Hosts wird in der Regel als "Ping"-Scan bezeichnet, wobei eine Analogie zum Sonar verwendet wird. Das Ziel ist es, ein Paket an die IP-Adresse zu senden und eine Antwort vom Host zu erhalten. Ein "Ping" kann praktisch jedes beliebige Paket sein, vorausgesetzt, der Angreifer kann anhand der Antwort einen funktionierenden Host identifizieren. Ein Angriff dieser Art wird normalerweise mit einem "Ping Sweep" durchgeführt, bei dem eine bestimmte Art von Ping an einen Bereich von IP-Adressen gesendet wird.	Niedrig
293	Traceroute Route Enumeration Ein Angreifer verwendet ein Traceroute-Dienstprogramm, um die Route aufzuzeichnen, die Daten auf dem Weg zu einem Zielort durch das Netzwerk fließen. Mit Tracerouting kann der Angreifer eine funktionierende Topologie von Systemen und Routern konstruieren, indem er die Systeme auflistet, durch die Daten auf ihrem Weg zum Zielcomputer fließen. Dieser Angriff kann unterschiedliche Ergebnisse liefern, je nachdem, welche Art von Traceroute durchgeführt wird. Traceroute funktioniert, indem Pakete an ein Ziel gesendet werden, während das Time-to-Live-Feld im Paketkopf erhöht wird. Während das Paket jeden Hop auf seinem Weg zum Ziel durchläuft, läuft seine TTL ab und erzeugt eine ICMP-Diagnosemeldung, die angibt, wo das Paket abgelaufen ist. Traditionelle Techniken für Tracerouting beinhalteten die Verwendung von ICMP und UDP, aber als mehr Firewalls begannen, eingehendes ICMP zu filtern, wurden Methoden für Traceroute unter Verwendung von TCP entwickelt.	Niedrig
294	ICMP Address Mask Request Ein Angreifer sendet eine ICMP Type 17 Address Mask Request, um Informationen über die Netzwerkkonfiguration eines Ziels zu erhalten. ICMP Address Mask Requests sind in RFC-950, "Internet Standard Subnetting Procedure.", definiert. Eine Address Mask Request ist eine ICMP-Meldung des Typs 17, die ein entferntes System dazu veranlasst, mit einem ICMP-Datagramm des Typs 18 Address Mask Reply eine Liste der zugehörigen Subnetze sowie des Standard-Gateways und der Broadcast-Adresse zu beantworten. Das Sammeln dieser Art von Informationen hilft dem Angreifer bei der Planung von Router-basierten Angriffen und Denial-of-Service-Angriffen gegen die Broadcast-Adresse.	Niedrig
295	Timestamp Request Dieses Angriffsmuster nutzt Standardanfragen aus, um die genaue Zeit eines Zielsystems zu erfahren. Ein Angreifer kann den vom Zielsystem zurückgegebenen Zeitstempel verwenden, um zeitbasierte Sicherheitsalgorithmen, wie z. B. Zufallszahlengeneratoren, oder zeitbasierte Authentifizierungsmechanismen anzugreifen.	Niedrig
296	ICMP Information Request Ein Angreifer sendet einen ICMP Information Request an einen Host, um festzustellen, ob dieser auf diesen veralteten Mechanismus antwortet. ICMP Information Requests sind ein veralteter Nachrichtentyp. Information Requests wurden ursprünglich für plattenlose Rechner verwendet, um automatisch ihre Netzwerkkonfiguration zu erhalten, aber dieser Nachrichtentyp wurde durch robustere Protokollimplementierungen wie DHCP abgelöst.	Niedrig
297	TCP ACK Ping Ein Angreifer sendet ein TCP-Segment mit gesetztem ACK-Flag an einen entfernten Host, um herauszufinden, ob der Host noch am Leben ist. Dies ist einer von mehreren TCP-"Ping"-Typen. Das nach RFC 793 erwartete Verhalten eines Dienstes besteht darin, auf jedes unaufgeforderte ACK-Segment, das nicht Teil einer bestehenden Verbindung ist, mit einem RST-"Reset"-Paket zu antworten. Durch das Senden eines ACK-Segments an einen Port kann der Angreifer also feststellen, dass der Host noch aktiv ist, indem er nach einem RST-Paket sucht. Normalerweise antwortet ein Remote-Server mit einem RST, unabhängig davon, ob ein Port offen oder geschlossen ist. Auf diese Weise können TCP ACK-Pings den Status eines Remote-Ports nicht ermitteln, da das Verhalten in beiden Fällen gleich ist. Die Firewall wird das ACK-Paket in ihrer Zustandstabelle nachschlagen und das Segment verwerfen, da es keiner aktiven Verbindung entspricht. Ein TCP ACK Ping kann verwendet werden, um herauszufinden, ob ein Host über RST-Antwortpakete, die vom Host gesendet werden, aktiv ist.	Niedrig
298	UDP Ping Ein Angreifer sendet ein UDP-Datagramm an den entfernten Host, um festzustellen, ob der Host lebt. Wenn ein UDP-Datagramm an einen offenen UDP-Port gesendet wird, gibt es sehr oft keine Antwort, daher besteht eine typische Strategie für die Verwendung eines UDP-Pings darin, das Datagramm an einen zufälligen hohen Port auf dem Ziel zu senden. Das Ziel ist es, eine "ICMP port unreachable"-Meldung vom Ziel zu erhalten, die anzeigt, dass der Host noch lebt. UDP-Pings sind nützlich, weil einige Firewalls nicht so konfiguriert sind, dass sie UDP-Datagramme blockieren, die an seltsame oder typischerweise unbenutzte Ports gesendet werden, z. B. Ports im 65K-Bereich. Außerdem können einige Firewalls zwar eingehendes ICMP filtern, aber Schwachstellen in Firewall-Regelsätzen können bestimmte Arten von ICMP (Host unerreichbar, Port unerreichbar) zulassen, die für UDP-Ping-Versuche nützlich sind.	Niedrig
299	TCP SYN Ping Ein Angreifer verwendet TCP SYN-Pakete als Mittel zur Host-Erkennung. Das typische RFC 793-Verhalten sieht vor, dass ein Host auf ein eingehendes SYN "synchronize"-Paket reagieren muss, indem er die zweite Stufe des "Drei-Wege-Handshakes" abschließt, indem er ein SYN/ACK-Paket als Antwort sendet, wenn ein TCP-Port geöffnet ist. Wenn ein Port geschlossen wird, ist das RFC 793-Verhalten, mit einem RST "reset"-Paket zu antworten. Dieses Verhalten kann verwendet werden, um ein Ziel "anzupingen", um zu sehen, ob es aktiv ist, indem ein TCP SYN-Paket an einen Anschluss gesendet und dann auf ein RST- oder ACK-Paket als Antwort gewartet wird.	Niedrig
300	Port Scanning Ein Angreifer verwendet eine Kombination von Techniken, um den Status der Ports auf einem entfernten Ziel zu ermitteln. Jeder Dienst oder jede Anwendung, die für TCP- oder UDP-Netzwerke verfügbar ist, hat einen Port für die Kommunikation über das Netzwerk geöffnet.	Niedrig
301	TCP Connect Scan Ein Angreifer verwendet vollständige TCP-Verbindungsversuche, um festzustellen, ob ein Port auf dem Zielsystem offen ist. Beim Scannen wird ein "Drei-Wege-Handshake" mit einem entfernten Port durchgeführt, und der Port wird als geschlossen gemeldet, wenn der vollständige Handshake nicht hergestellt werden kann. Ein Vorteil des TCP-Connect-Scannings ist, dass es gegen jeden TCP/IP-Stack funktioniert. Ein Angreifer versucht, eine TCP-Verbindung mit dem Zielport zu initialisieren. Der Angreifer verwendet das Ergebnis seiner TCP-Verbindung, um den Status des Zielports zu ermitteln. Eine erfolgreiche Verbindung zeigt an, dass der Port geöffnet ist und ein Dienst darauf wartet, während eine fehlgeschlagene Verbindung anzeigt, dass der Port nicht geöffnet ist.	Niedrig
302	TCP FIN Scan Ein Angreifer verwendet einen TCP FIN-Scan, um festzustellen, ob die Ports auf dem Zielcomputer geschlossen sind. Dieser Scantyp wird durch das Senden von TCP-Segmenten erreicht, bei denen das FIN-Bit im Paketkopf gesetzt ist. Nach RFC 793 wird erwartet, dass jedes TCP-Segment mit einem Out-of-State-Flag, das an einen offenen Port gesendet wird, verworfen wird, während Segmente mit Out-of-State-Flags, die an geschlossene Ports gesendet werden, mit einem RST als Antwort behandelt werden sollten. Dieses Verhalten sollte es dem Angreifer ermöglichen, nach geschlossenen Ports zu suchen, indem er bestimmte Arten von Paketen sendet, die gegen die Regeln verstoßen (nicht synchron oder von der TCB nicht zugelassen), und geschlossene Ports über RST-Pakete zu erkennen. Ein Angreifer sendet TCP-Pakete mit dem FIN-Flag, die jedoch nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Zustand des Ports zu ermitteln. Wenn er keine Antwort erhält, ist der Port offen. Wird ein RST-Paket empfangen, ist der Anschluss geschlossen.	Niedrig
303	TCP Xmas Scan Ein Angreifer verwendet einen TCP XMAS-Scan, um festzustellen, ob die Ports auf dem Zielcomputer geschlossen sind. Dieser Scantyp wird erreicht, indem TCP-Segmente mit allen möglichen Flags im Paketkopf gesendet werden, wodurch Pakete erzeugt werden, die gemäß RFC 793 illegal sind. Das nach RFC 793 erwartete Verhalten ist, dass jedes TCP-Segment mit einem Out-of-State-Flag, das an einen offenen Port gesendet wird, verworfen wird, während Segmente mit Out-of-State-Flags, die an geschlossene Ports gesendet werden, mit einem RST als Antwort behandelt werden sollten. Dieses Verhalten sollte es einem Angreifer ermöglichen, nach geschlossenen Ports zu suchen, indem er bestimmte Arten von Paketen sendet, die gegen die Regeln verstoßen (nicht synchron oder von der TCB nicht zugelassen), und geschlossene Ports über RST-Pakete zu erkennen. Ein Angreifer sendet TCP-Pakete, bei denen alle Flags gesetzt sind, die aber nicht mit einer bestehenden Verbindung zu den Zielports verbunden sind. Der Angreifer verwendet die Antwort des Ziels, um den Zustand des Ports zu ermitteln. Wenn er keine Antwort erhält, ist der Port offen. Wenn ein RST-Paket empfangen wird, ist der Anschluss geschlossen.	Niedrig
304	TCP Null Scan Ein Angreifer verwendet einen TCP-NULL-Scan, um festzustellen, ob Ports auf dem Zielcomputer geschlossen sind. Dieser Scantyp wird durch das Senden von TCP-Segmenten ohne Flags im Paketkopf erreicht, wodurch Pakete erzeugt werden, die gemäß RFC 793 illegal sind. Das nach RFC 793 erwartete Verhalten ist, dass jedes TCP-Segment mit einem Out-of-State-Flag, das an einen offenen Port gesendet wird, verworfen wird, während Segmente mit Out-of-State-Flags, die an geschlossene Ports gesendet werden, mit einem RST als Antwort behandelt werden sollten. Dieses Verhalten sollte es einem Angreifer ermöglichen, nach geschlossenen Ports zu suchen, indem er bestimmte Arten von Paketen sendet, die gegen die Regeln verstoßen (nicht synchron oder von der TCB nicht zugelassen), und geschlossene Ports über RST-Pakete zu erkennen. Ein Angreifer sendet TCP-Pakete ohne gesetzte Flags, die nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu bestimmen. Wenn er keine Antwort erhält, ist der Port offen. Wenn ein RST-Paket empfangen wird, ist der Anschluss geschlossen.	Niedrig
305	TCP ACK Scan Ein Angreifer verwendet TCP ACK-Segmente, um Informationen über die Firewall- oder ACL-Konfiguration zu sammeln. Der Zweck dieser Art von Scan ist es, Informationen über Filterkonfigurationen und nicht über den Portstatus zu ermitteln. Diese Art des Scannens ist allein nur selten nützlich, aber in Kombination mit dem SYN-Scannen ergibt sich ein vollständigeres Bild über die Art der vorhandenen Firewall-Regeln. Ein Angreifer sendet TCP-Pakete mit gesetztem ACK-Flag, die nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu bestimmen. Wird ein RST-Paket empfangen, ist der Zielport entweder geschlossen oder das ACK wurde unsynchronisiert gesendet. Wenn keine Antwort empfangen wird, verwendet das Ziel wahrscheinlich eine Stateful-Firewall.	Niedrig
306	TCP Window Scan Ein Angreifer führt ein TCP Window Scanning durch, um den Portstatus und den Betriebssystemtyp zu analysieren. TCP Window Scanning verwendet die ACK-Scan-Methode, untersucht aber das TCP Window Size-Feld von RST-Antwortpaketen, um bestimmte Schlüsse zu ziehen. Obwohl TCP Window Scans schnell und relativ unauffällig sind, funktionieren sie bei weniger TCP-Stack-Implementierungen als alle anderen Arten von Scans. Einige Betriebssysteme geben eine positive TCP-Fenstergröße zurück, wenn ein RST-Paket von einem offenen Port gesendet wird, und einen negativen Wert, wenn das RST-Paket von einem geschlossenen Port stammt. Die TCP-Fensterüberprüfung ist eine der komplexesten Überprüfungsarten, und ihre Ergebnisse sind schwer zu interpretieren. Fenster-Scans allein liefern nur selten nützliche Informationen, aber in Kombination mit anderen Scan-Typen sind sie nützlicher. Es ist im Allgemeinen ein zuverlässigeres Mittel, um Rückschlüsse auf Betriebssystemversionen zu ziehen als auf den Portstatus. Ein Angreifer sendet TCP-Pakete mit gesetztem ACK-Flag, die nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu ermitteln. Insbesondere sieht der Angreifer die TCP-Fenstergröße aus dem zurückgesendeten RST-Paket, falls ein solches empfangen wurde. Je nach Zielbetriebssystem kann eine positive Fenstergröße auf einen offenen Port hinweisen, während eine negative Fenstergröße einen geschlossenen Port bedeutet.	Niedrig
307	TCP RPC Scan Ein Angreifer scannt nach RPC-Diensten, die auf einem Unix/Linux-Host aufgelistet sind. Ein Angreifer sendet RCP-Pakete an die Zielports. Der Angreifer verwendet die Antwort des Ziels, um festzustellen, welcher RPC-Dienst, wenn überhaupt, auf diesem Port ausgeführt wird. Die Antworten variieren je nachdem, welcher RPC-Dienst läuft.	Niedrig
308	UDP Scan Ein Angreifer führt ein UDP-Scanning durch, um Informationen über den Status des UDP-Ports auf dem Zielsystem zu sammeln. Bei den UDP-Scan-Methoden wird ein UDP-Datagramm an den Zielport gesendet und nach Hinweisen darauf gesucht, dass der Port geschlossen ist. Offene UDP-Ports reagieren in der Regel nicht auf UDP-Datagramme, da es innerhalb des Protokolls keinen zustandsabhängigen Mechanismus gibt, der den Aufbau oder die Einrichtung einer Sitzung erfordert. Antworten auf UDP-Datagramme sind daher anwendungsspezifisch und können nicht als Methode zur Erkennung eines offenen Ports herangezogen werden. Das UDP-Scanning stützt sich stark auf ICMP-Diagnosemeldungen, um den Status eines entfernten Ports zu ermitteln. Ein Angreifer sendet UDP-Pakete an die Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu bestimmen. Ob ein Port auf ein UDP-Paket antwortet, hängt von der Anwendung ab, die diesen Port abhört. Keine Antwort bedeutet nicht, dass der Anschluss nicht geöffnet ist.	Niedrig
309	Network Topology Mapping Ein Angreifer führt Scan-Aktivitäten durch, um Netzwerkknoten, Hosts, Geräte und Routen abzubilden. Angreifer führen diese Art der Netzwerkerkundung in der Regel in den frühen Phasen eines Angriffs auf ein externes Netzwerk durch. In der Regel werden viele Arten von Scan-Utilities eingesetzt, darunter ICMP-Tools, Netzwerk-Mapper, Port-Scanner und Routentest-Utilities wie Traceroute.	Niedrig
310	Scanning for Vulnerable Software Ein Angreifer führt Scanning-Aktivitäten durch, um verwundbare Software-Versionen oder -Typen zu finden, z. B. Betriebssystem-Versionen oder Netzwerkdienste. Anfällige oder ausnutzbare Netzwerkkonfigurationen, wie z. B. nicht ordnungsgemäß mit einer Firewall versehene Systeme oder falsch konfigurierte Systeme in der DMZ oder im externen Netzwerk, bieten einem Angreifer ein Zeitfenster. Häufige Arten von anfälliger Software sind ungepatchte Betriebssysteme oder Dienste (z. B. FTP, Telnet, SMTP, SNMP), die auf offenen Ports laufen, die der Angreifer identifiziert hat. Angreifer beginnen in der Regel mit der Suche nach verwundbarer Software, sobald das externe Netzwerk nach Ports gescannt wurde und potenzielle Ziele aufgedeckt wurden.	Niedrig
312	Active OS Fingerprinting Ein Angreifer versucht, das Betriebssystem oder die Firmware-Version eines entfernten Ziels zu erkennen, indem er ein Gerät, einen Server oder eine Plattform mit einer Sonde abfragt, die darauf ausgelegt ist, ein Verhalten zu erzwingen, das Informationen über die Betriebssysteme oder die Firmware in der Umgebung offenbart. Die Erkennung von Betriebssystemen ist möglich, weil sich die Implementierungen gängiger Protokolle (z. B. IP oder TCP) deutlich unterscheiden. Während die Implementierungsunterschiede nicht ausreichen, um die Kompatibilität mit dem Protokoll zu "brechen", sind die Unterschiede nachweisbar, weil das Ziel auf spezifische Sondierungsaktivitäten, die die semantischen oder logischen Regeln der Paketkonstruktion für ein Protokoll brechen, auf einzigartige Weise reagiert. Verschiedene Betriebssysteme werden eine einzigartige Reaktion auf die anomale Eingabe haben, was die Grundlage für einen Fingerabdruck des Betriebssystemverhaltens darstellt. Diese Art von OS-Fingerprinting kann zwischen Betriebssystemtypen und -versionen unterscheiden.	Niedrig
313	Passive OS Fingerprinting Ein Angreifer versucht, die Version oder den Typ der Betriebssystemsoftware in einer Umgebung zu erkennen, indem er die Kommunikation zwischen Geräten, Knoten oder Anwendungen passiv überwacht. Passive Techniken zur Erkennung von Betriebssystemen senden keine tatsächlichen Sonden an ein Ziel, sondern überwachen die Netzwerk- oder Client-Server-Kommunikation zwischen Knoten, um Betriebssysteme anhand des beobachteten Verhaltens im Vergleich zu einer Datenbank mit bekannten Signaturen oder Werten zu identifizieren. Während passives OS-Fingerprinting in der Regel nicht so zuverlässig ist wie aktive Methoden, ist es im Allgemeinen besser in der Lage, sich der Erkennung zu entziehen.	Niedrig
317	IP ID Sequencing Probe Diese OS Fingerprinting Probe analysiert den IP 'ID' Feld Sequenznummer Generierungsalgorithmus eines entfernten Hosts. Betriebssysteme generieren IP 'ID' Nummern unterschiedlich, was einem Angreifer erlaubt, das Betriebssystem des Hosts zu identifizieren, indem er untersucht, wie es ID Nummern bei der Generierung von Antwortpaketen zuordnet. RFC 791 spezifiziert nicht, wie ID-Nummern ausgewählt werden oder welche Bereiche sie haben, so dass sich die Generierung der ID-Sequenz von Implementierung zu Implementierung unterscheidet. Es gibt zwei Arten der Analyse von IP-'ID'-Sequenznummern - IP-'ID'-Sequenzierung: Analyse des Algorithmus zur Generierung von IP-'ID'-Sequenzen für ein Protokoll, das von einem Host verwendet wird, und Shared IP-'ID'-Sequenzierung: Analyse der Paketreihenfolge über IP-'ID'-Werte, die mehrere Protokolle überspannen, z. B. zwischen ICMP und TCP.	Niedrig
318	IP 'ID' Echoed Byte-Order Probe Diese OS-Fingerprinting-Probe testet, ob der entfernte Host den IP-'ID'-Wert aus dem Probe-Paket zurückechoed. Ein Angreifer sendet ein UDP-Datagramm mit einem beliebigen IP-'ID'-Wert an einen geschlossenen Port auf dem entfernten Host, um die Art und Weise zu beobachten, in der dieses Bit in der ICMP-Fehlermeldung zurückechoed wird. Das Identifikationsfeld (ID) wird typischerweise für das Wiederzusammensetzen eines fragmentierten Pakets verwendet. Einige Betriebssysteme oder Router-Firmware kehren die Bitreihenfolge des ID-Feldes um, wenn der IP-Header-Teil des ursprünglichen Datagramms in einer ICMP-Fehlermeldung zurückgesendet wird.	Niedrig
319	IP (DF) 'Don't Fragment Bit' Echoing Probe Diese OS Fingerprinting Probe testet, ob der entfernte Host das IP 'DF' (Don't Fragment) Bit in einem Antwortpaket zurückechoed. Ein Angreifer sendet ein UDP-Datagramm mit gesetztem DF-Bit an einen geschlossenen Port des entfernten Hosts und beobachtet, ob das 'DF'-Bit im Antwortpaket gesetzt ist. Einige Betriebssysteme geben das Bit in der ICMP-Fehlermeldung als Echo aus, während andere das Bit im Antwortpaket auf Null setzen.	Niedrig
320	TCP Timestamp Probe Dieser OS-Fingerprinting-Test untersucht die Implementierung von TCP-Zeitstempeln durch den Remote-Server. Nicht alle Betriebssysteme implementieren Zeitstempel im TCP-Header, aber wenn Zeitstempel verwendet werden, bietet dies dem Angreifer die Möglichkeit, das Betriebssystem des Ziels zu erraten. Der Angreifer beginnt damit, jeden aktiven TCP-Dienst zu testen, um eine Antwort zu erhalten, die einen TCP-Zeitstempel enthält. Verschiedene Betriebssysteme aktualisieren den Zeitstempelwert in unterschiedlichen Intervallen. Diese Art der Analyse ist am genauesten, wenn mehrere Antworten mit Zeitstempel empfangen und dann analysiert werden. TCP-Zeitstempel sind im Feld TCP-Optionen des TCP-Headers zu finden. [Der Angreifer sendet ein Probe-Paket an den Remote-Host, um festzustellen, ob Zeitstempel vorhanden sind. [Aufzeichnen und Analysieren der Zeitstempelwerte] Wenn der Remote-Host Zeitstempel verwendet, werden mehrere Zeitstempel erfasst, analysiert und mit bekannten Werten verglichen.	Niedrig
321	TCP Sequence Number Probe Diese OS Fingerprinting Probe testet die Vergabe von TCP-Sequenznummern durch das Zielsystem. Eine übliche Methode, die Erzeugung von TCP-Sequenznummern zu testen, besteht darin, ein Prüfpaket an einen offenen Port auf dem Ziel zu senden und dann zu vergleichen, wie die vom Ziel erzeugte Sequenznummer mit der Bestätigungsnummer im Prüfpaket zusammenhängt. Verschiedene Betriebssysteme vergeben Sequenznummern unterschiedlich, so dass ein Fingerabdruck des Betriebssystems erhalten werden kann, indem die Beziehung zwischen der Bestätigungsnummer und der Sequenznummer wie folgt kategorisiert wird: 1) die vom Ziel generierte Sequenznummer ist Null, 2) die vom Ziel generierte Sequenznummer ist die gleiche wie die Bestätigungsnummer in der Sonde, 3) die vom Ziel generierte Sequenznummer ist die Bestätigungsnummer plus eins, oder 4) die Sequenznummer ist eine beliebige andere Zahl ungleich Null.	Niedrig
322	TCP (ISN) Greatest Common Divisor Probe Diese OS Fingerprinting Probe sendet eine Anzahl von TCP SYN Paketen an einen offenen Port eines entfernten Rechners. Die Initial Sequence Number (ISN) in jedem der SYN/ACK-Antwortpakete wird analysiert, um die kleinste Zahl zu ermitteln, die der Zielhost bei der Inkrementierung von Sequenznummern verwendet. Diese Information kann für die Identifizierung eines Betriebssystems nützlich sein, da bestimmte Betriebssysteme und Versionen Sequenznummern mit unterschiedlichen Werten inkrementieren. Das Ergebnis der Analyse wird dann mit einer Datenbank des Betriebssystemverhaltens verglichen, um den Betriebssystemtyp und/oder die Version zu bestimmen.	Niedrig
323	TCP (ISN) Counter Rate Probe Diese OS-Erkennungssonde misst die durchschnittliche Rate der anfänglichen Sequenznummern-Inkremente während einer bestimmten Zeitspanne. Sequenznummern werden mit einem zeitbasierten Algorithmus inkrementiert und sind anfällig für eine Zeitanalyse, die die Anzahl der Inkremente pro Zeiteinheit bestimmen kann. Das Ergebnis dieser Analyse wird dann mit einer Datenbank von Betriebssystemen und Versionen verglichen, um wahrscheinliche Übereinstimmungen mit dem Betriebssystem zu ermitteln.	Niedrig
324	TCP (ISN) Sequence Predictability Probe Diese Art von Betriebssystem-Sonde versucht, eine Schätzung zu ermitteln, wie vorhersehbar der Algorithmus zur Erzeugung von Sequenznummern für einen entfernten Host ist. Statistische Techniken, wie z. B. die Standardabweichung, können verwendet werden, um zu bestimmen, wie vorhersehbar die Sequenznummernerzeugung für ein System ist. Dieses Ergebnis kann dann mit einer Datenbank des Betriebssystemverhaltens verglichen werden, um eine wahrscheinliche Übereinstimmung für Betriebssystem und Version zu ermitteln.	Niedrig
325	TCP Congestion Control Flag (ECN) Probe Diese OS-Fingerprinting-Probe prüft, ob der entfernte Host explizites Congestion Notification (ECN) Messaging unterstützt. ECN-Messaging wurde entwickelt, um Routern zu ermöglichen, einen entfernten Host zu benachrichtigen, wenn Signalüberlastungsprobleme auftreten. Explicit Congestion Notification Messaging ist in RFC 3168 definiert. Verschiedene Betriebssysteme und Versionen können ECN-Benachrichtigungen implementieren oder nicht, oder sie können auf bestimmte ECN-Flag-Typen eindeutig reagieren.	Niedrig
326	TCP Initial Window Size Probe Dieser OS-Fingerprinting-Test prüft die anfängliche TCP-Fenstergröße. TCP-Stacks begrenzen den Bereich der zulässigen Sequenznummern innerhalb einer Sitzung, um den "connected"-Status innerhalb der TCP-Protokolllogik aufrechtzuerhalten. Die anfängliche Fenstergröße spezifiziert einen Bereich von akzeptablen Sequenznummern, die als Antwort auf ein ACK-Paket innerhalb einer Sitzung gelten. Verschiedene Betriebssysteme verwenden unterschiedliche Anfangsfenstergrößen. Die anfängliche Fenstergröße kann durch den Aufbau einer normalen TCP-Verbindung ermittelt werden.	Niedrig
327	TCP Options Probe Diese OS Fingerprinting Probe analysiert den Typ und die Reihenfolge aller TCP-Header-Optionen, die innerhalb eines Antwortsegments vorhanden sind. Die meisten Betriebssysteme verwenden eine eindeutige Reihenfolge und unterschiedliche Optionssätze, wenn Optionen vorhanden sind. RFC 793 spezifiziert keine erforderliche Reihenfolge beim Vorhandensein von Optionen, so dass verschiedene Implementierungen eindeutige Wege der Anordnung oder Strukturierung von TCP-Optionen verwenden. TCP-Optionen können durch normalen TCP-Verkehr erzeugt werden.	Niedrig
328	TCP 'RST' Flag Checksum Probe Diese OS-Fingerprinting-Probe führt eine Prüfsumme über alle ASCII-Daten durch, die im Datenteil eines RST-Pakets enthalten sind. Einige Betriebssysteme melden eine menschenlesbare Textnachricht in der Nutzlast eines 'RST'-Pakets (Reset), wenn bestimmte Arten von Verbindungsfehlern auftreten. RFC 1122 erlaubt Text-Payloads in Reset-Paketen, aber nicht alle Betriebssysteme oder Router implementieren diese Funktionalität.	Niedrig
329	ICMP Error Message Quoting Probe Ein Angreifer verwendet eine Technik, um eine ICMP-Fehlermeldung (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) von einem Ziel zu generieren und dann die Datenmenge zu analysieren, die von der ursprünglichen Anfrage, die die ICMP-Fehlermeldung generiert hat, zurückgegeben oder "gequotet" wurde.	Niedrig
330	ICMP Error Message Echoing Integrity Probe Ein Angreifer verwendet eine Technik, um eine ICMP-Fehlermeldung (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) von einem Ziel zu generieren und dann die Integrität der Daten zu analysieren, die von der ursprünglichen Anfrage, die die Fehlermeldung generiert hat, zurückgegeben oder "gequotet" wurden.	Niedrig
472	Browser Fingerprinting Ein Angreifer bastelt sorgfältig kleine Java-Script-Schnipsel, um den Browsertyp des potenziellen Opfers effizient zu erkennen. Viele webbasierte Angriffe benötigen Vorwissen über den Webbrowser, einschließlich der Browserversion, um die erfolgreiche Ausnutzung einer Schwachstelle sicherzustellen. Mit diesem Wissen kann ein Angreifer das Opfer mit Angriffen angreifen, die gezielt bekannte oder Zero-Day-Schwachstellen im Typ und in der Version des vom Opfer verwendeten Browsers ausnutzen. Die Automatisierung dieses Prozesses über Java Script als Teil desselben Auslieferungssystems, das zum Ausnutzen des Browsers verwendet wird, wird als effizienter angesehen, da der Angreifer eine Browser-Fingerprinting-Methode bereitstellen und sie mit Exploit-Code integrieren kann, alles in Java Script und als Antwort auf dieselbe Webseitenanforderung durch den Browser.	Niedrig
497	File Discovery Ein Angreifer führt Sondierungs- und Erkundungsaktivitäten durch, um festzustellen, ob gemeinsame Schlüsseldateien vorhanden sind. Solche Dateien enthalten oft Konfigurations- und Sicherheitsparameter der angegriffenen Anwendung, des Systems oder des Netzwerks. Die Nutzung dieses Wissens kann oft den Weg für schädlichere Angriffe ebnen.	Sehr niedrig
508	Shoulder Surfing Bei einem Shoulder-Surfing-Angriff beobachtet ein Angreifer die Tastatureingaben, den Bildschirminhalt oder die Gespräche einer unbekannten Person mit dem Ziel, an sensible Informationen zu gelangen. Ein Motiv für diesen Angriff ist es, sensible Informationen über die Zielperson zu erhalten, um daraus finanzielle, persönliche, politische oder andere Vorteile zu ziehen. Aus der Perspektive einer Insider-Bedrohung könnte ein zusätzliches Motiv darin bestehen, an System-/Anwendungsanmeldeinformationen oder kryptografische Schlüssel zu gelangen. Schulter-Surfing-Angriffe werden durchgeführt, indem der Inhalt "über die Schulter des Opfers" beobachtet wird, wie der Name dieses Angriffs andeutet.	Hoch
573	Process Footprinting Ein Angreifer nutzt eine Funktionalität aus, die dazu gedacht ist, einem autorisierten Benutzer Informationen über die aktuell laufenden Prozesse auf dem Zielsystem zu liefern. Indem er weiß, welche Prozesse auf dem Zielsystem laufen, kann der Angreifer etwas über die Zielumgebung lernen, um weiteres bösartiges Verhalten zu erreichen.	Niedrig
574	Services Footprinting Ein Angreifer nutzt Funktionen aus, die dazu gedacht sind, einem autorisierten Benutzer Informationen über die Dienste auf dem Zielsystem zu liefern. Indem er weiß, welche Dienste auf dem Zielsystem registriert sind, kann der Angreifer etwas über die Zielumgebung erfahren, um weitere bösartige Handlungen vorzunehmen. Je nach Betriebssystem können die Befehle "sc" und "tasklist/svc" mit Tasklist und "net start" mit Net Informationen über Dienste abrufen.	Niedrig
575	Account Footprinting Ein Angreifer nutzt eine Funktion aus, die dazu dient, einem autorisierten Benutzer Informationen über die Domänenkonten und deren Berechtigungen auf dem Zielsystem zu liefern. Indem er weiß, welche Konten auf dem Zielsystem registriert sind, kann der Angreifer weitere und gezieltere bösartige Handlungen vornehmen. Beispiele für Windows-Befehle, die diese Informationen beschaffen können, sind: "net user" und "dsquery".	Niedrig
576	Group Permission Footprinting Ein Angreifer nutzt eine Funktion aus, die Informationen über Benutzergruppen und deren Berechtigungen auf dem Zielsystem für einen autorisierten Benutzer ermitteln soll. Indem er weiß, welche Benutzer/Berechtigungen auf dem Zielsystem registriert sind, kann der Angreifer weitere und gezieltere bösartige Handlungen vornehmen. Ein Beispiel für einen Windows-Befehl, der lokale Gruppen auflisten kann, ist "net localgroup".	Niedrig
577	Owner Footprinting Ein Angreifer nutzt eine Funktion aus, die dazu dient, einem autorisierten Benutzer Informationen über die Hauptbenutzer des Zielsystems zu liefern. Dies kann z. B. durch die Überprüfung von Logins oder Datei-Änderungszeiten geschehen. Wenn der Angreifer weiß, welche Benutzer das Zielsystem nutzen, kann er weitere und gezieltere bösartige Handlungen vornehmen. Ein Beispiel für einen Windows-Befehl, mit dem dies erreicht werden kann, ist "dir /A ntuser.dat". Er zeigt die letzte Änderungszeit der Datei ntuser.dat eines Benutzers an, wenn er im Stammordner eines Benutzers ausgeführt wird. Diese Zeit ist gleichbedeutend mit dem Zeitpunkt, an dem der Benutzer zuletzt angemeldet war.	Niedrig
59	Sitzungsnachweisfälschung durch Vorhersage Dieser Angriff zielt auf vorhersehbare Sitzungs-IDs ab, um Privilegien zu erlangen. Der Angreifer kann die während einer Transaktion verwendete Sitzungs-ID vorhersagen, um Spoofing und Session Hijacking durchzuführen. Sitzungs-IDs finden] Der Angreifer interagiert mit dem Zielhost und stellt fest, dass Sitzungs-IDs zur Authentifizierung von Benutzern verwendet werden. IDs charakterisieren] Der Angreifer untersucht die Merkmale der Sitzungs-ID (Größe, Format usw.). Als Ergebnis stellt der Angreifer fest, dass legitime Sitzungs-IDs vorhersehbar sind. [Ausgegebene IDs abgleichen] Der Angreifer erprobt verschiedene Werte der Sitzungs-ID und schafft es, eine gültige Sitzungs-ID vorherzusagen. [Abgestimmte Sitzungs-ID verwenden] Der Angreifer verwendet die gefälschte Sitzungs-ID, um auf das Zielsystem zuzugreifen.	Hoch
60	Wiederverwendung von Session-IDs (aka Session Replay) Dieser Angriff zielt auf die Wiederverwendung einer gültigen Sitzungs-ID ab, um das Zielsystem zu fälschen und sich so Privilegien zu verschaffen. Der Angreifer versucht, eine gestohlene Sitzungs-ID wiederzuverwenden, die zuvor während einer Transaktion verwendet wurde, um Spoofing und Session Hijacking durchzuführen. Ein anderer Name für diese Art von Angriff ist Session Replay. Der Angreifer interagiert mit dem Zielhost und stellt fest, dass Sitzungs-IDs zur Authentifizierung von Benutzern verwendet werden. Der Angreifer stiehlt eine Sitzungs-ID von einem gültigen Benutzer. Der Angreifer versucht, die gestohlene Sitzungs-ID zu verwenden, um Zugriff auf das System mit den Rechten des ursprünglichen Besitzers der Sitzungs-ID zu erhalten.	Hoch
616	Establish Rogue Location Ein Angreifer stellt eine bösartige Version einer Ressource an einem Ort bereit, der dem erwarteten Ort einer legitimen Ressource ähnlich ist. Nachdem der Angreifer den betrügerischen Standort eingerichtet hat, wartet er darauf, dass ein Opfer den Standort besucht und auf die bösartige Ressource zugreift.	Mittel
643	Identify Shared Files/Directories on System Ein Angreifer entdeckt Verbindungen zwischen Systemen, indem er die Standardpraxis des Zielsystems ausnutzt, diese in durchsuchbaren, gemeinsamen Bereichen offenzulegen. Durch die Identifizierung von gemeinsamen Ordnern/Laufwerken zwischen Systemen kann der Angreifer sein Ziel, sensible Informationen/Dateien zu finden und zu sammeln, weiter verfolgen oder potenzielle Routen für laterale Bewegungen innerhalb des Netzwerks abbilden.	Mittel
646	Peripheral Footprinting Angreifer können versuchen, Informationen über angeschlossene Peripheriegeräte und Komponenten zu erhalten, die mit einem Computersystem verbunden sind. Beispiele hierfür sind die Entdeckung des Vorhandenseins von iOS-Geräten durch die Suche nach Backups, die Analyse der Windows-Registrierung, um festzustellen, welche USB-Geräte angeschlossen wurden, oder die Infizierung eines Opfersystems mit Malware, die meldet, wenn ein USB-Gerät angeschlossen wurde. Dadurch kann der Angreifer zusätzliche Erkenntnisse über das System oder die Netzwerkumgebung gewinnen, die für die Konstruktion weiterer Angriffe nützlich sein können.	Mittel
651	Eavesdropping Ein Angreifer fängt eine Form der Kommunikation (z.B. Text, Audio, Video) mittels Software (z.B. Mikrofon und Audioaufnahmeanwendung), Hardware (z.B. Aufnahmegerät) oder physischen Mitteln (z.B. physische Nähe) ab. Das Ziel des Abhörens ist in der Regel, unbefugten Zugang zu sensiblen Informationen über die Zielperson zu erlangen, um daraus finanzielle, persönliche, politische oder andere Vorteile zu ziehen. Lauschangriffe unterscheiden sich von Schnüffelangriffen, da sie nicht auf einem netzwerkbasierten Kommunikationskanal (z. B. IP-Verkehr) stattfinden. Stattdessen wird die unbearbeitete Audioquelle eines Gesprächs zwischen zwei oder mehreren Parteien abgehört.	Mittel
79	Schrägstriche in alternativer Kodierung verwenden Dieser Angriff zielt auf die Kodierung der Slash-Zeichen ab. Ein Angreifer würde versuchen, gängige Filterprobleme im Zusammenhang mit der Verwendung von Schrägstrich-Zeichen auszunutzen, um Zugriff auf Ressourcen auf dem Zielhost zu erhalten. Verzeichnisgesteuerte Systeme wie Dateisysteme und Datenbanken verwenden in der Regel das Schrägstrich-Zeichen, um den Durchgang zwischen Verzeichnissen oder anderen Container-Komponenten anzuzeigen. Aus unerfindlichen historischen Gründen verwenden PCs (und infolgedessen auch Microsoft-Betriebssysteme) einen Backslash, während in der UNIX-Welt in der Regel der Schrägstrich verwendet wird. Das schizophrene Ergebnis ist, dass viele MS-basierte Systeme beide Formen des Schrägstrichs verstehen müssen. Dies gibt dem Angreifer viele Möglichkeiten, eine Reihe von gängigen Filterproblemen zu entdecken und zu missbrauchen. Ziel dieses Musters ist es, Serversoftware zu entdecken, die nur auf eine Version Filter anwendet, aber nicht auf die andere. [Mit Hilfe eines Browsers, eines automatisierten Tools oder durch Inspektion der Anwendung zeichnet ein Angreifer alle Eingangspunkte zur Anwendung auf. [Der Angreifer verwendet die in der Erkundungsphase erfassten Einstiegspunkte als Zielliste und sucht nach Bereichen, in denen Benutzereingaben verwendet werden, um auf Ressourcen des Zielhosts zuzugreifen. Der Angreifer versucht verschiedene Kodierungen von Schrägstrichzeichen, um Eingabefilter zu umgehen. [Sobald der Angreifer herausgefunden hat, wie er Filter, die Schrägstriche herausfiltern, umgehen kann, manipuliert er die Benutzereingabe so, dass sie Schrägstriche enthält, um Verzeichnisse zu durchsuchen und auf Ressourcen zuzugreifen, die nicht für den Benutzer bestimmt sind.	Hoch

MITRE

Techniken

id	beschreibung
T1007	Systemdienst-Ermittlung
T1016	System Netzwerkkonfiguration Erkennung
T1018	Fernerkundung von Systemen
T1033	Erkennung des Systembesitzers/Benutzers
T1036.005	Maskerade: Legitimen Namen oder Standort anpassen
T1046	Scannen von Netzwerkdiensten
T1049	System Netzwerk-Verbindungen Erkennung
T1057	Prozess Entdeckung
T1069	Erkennung von Berechtigungsgruppen
T1082	Suche nach Systeminformationen
T1083	Suche nach Dateien und Verzeichnissen
T1087	Kontoentdeckung
T1111	Abfangen der Multi-Faktor-Authentifizierung
T1120	Erkennung von Peripheriegeräten
T1124	System Time Discovery
T1134.001	Manipulation von Zugangstoken: Token-Impersonation/Diebstahl
T1135	Erkennung von Netzwerkfreigaben
T1217	Browser-Lesezeichen-Entdeckung
T1550.004	Alternatives Authentifizierungsmaterial verwenden: Websession-Cookie
T1562.003	Verteidigungen beeinträchtigen:Protokollierung der Befehlshistorie beeinträchtigen
T1574.006	Hijack-Ausführungsablauf: Dynamisches Linker-Hijacking
T1574.007	Hijack-Ausführungsablauf: Abfangen von Pfaden durch die Umgebungsvariable PATH
T1590	Sammeln von Informationen über das Opfernetzwerk
T1592	Sammeln von Informationen über das Opfer
T1595	Aktives Scannen
T1615	Gruppenrichtlinien-Ermittlung
© 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet.

Abhilfemaßnahmen

id	beschreibung
T1036.005
T1046
T1087	Verhindern Sie, dass Administratorkonten aufgezählt werden, wenn eine Anwendung die Berechtigung über die Benutzerkontensteuerung erhöht, da dies zur Offenlegung von Kontonamen führen kann. Der Registrierungsschlüssel befindet sich unter <code>HKLM SOFTWAREMicrosoftWindowsCurrentVersionPoliciesCredUIEnumerateAdministrators</code>. Es kann über GPO deaktiviert werden: Computerkonfiguration > [Richtlinien] > Administrative Vorlagen > Windows-Komponenten > Credential User Interface: E numerate administrator accounts on elevation.
T1111	Entfernen Sie die Smartcards, wenn sie nicht benutzt werden.
T1134.001	Ein Angreifer muss bereits über Administratorrechte auf dem lokalen System verfügen, um diese Technik in vollem Umfang nutzen zu können; stellen Sie sicher, dass Sie Benutzer und Konten auf die geringsten erforderlichen Rechte beschränken.
T1135	Aktivieren Sie die Sicherheitseinstellung der Windows-Gruppenrichtlinie "Anonyme Aufzählung von SAM-Konten und Freigaben nicht zulassen", um die Benutzer einzuschränken, die Netzwerkfreigaben aufzählen können.
T1550.004
T1562.003	Stellen Sie sicher, dass die <code>HISTCONTROL</code> Umgebungsvariable auf "ignoredups" statt auf "ignoreboth" oder "ignorespace" gesetzt ist.
T1574.006	Wenn Systemintegritätsschutz (SIP) in macOS aktiviert ist, werden die oben genannten Umgebungsvariablen bei der Ausführung geschützter Binärdateien ignoriert. Anwendungen von Drittanbietern können auch Apples Hardened Runtime nutzen, um sicherzustellen, dass diese Umgebungsvariablen auferlegten Einschränkungen unterworfen sind. Administratoren können Anwendungen Einschränkungen hinzufügen, indem sie die setuid- und/oder setgid-Bits setzen, Berechtigungen verwenden oder ein __RESTRICT-Segment in der Mach-O-Binärdatei haben.
T1574.007
T1590	Diese Technik lässt sich nicht ohne weiteres durch präventive Kontrollen eindämmen, da sie auf Verhaltensweisen beruht, die außerhalb des Geltungsbereichs von Unternehmensschutzmaßnahmen und -kontrollen liegen. Die Bemühungen sollten sich darauf konzentrieren, die Menge und Sensibilität der Daten, die für externe Parteien zugänglich sind, zu minimieren.
T1592	Diese Technik lässt sich nicht ohne weiteres durch präventive Kontrollen eindämmen, da sie auf Verhaltensweisen beruht, die außerhalb des Geltungsbereichs von Unternehmensschutzmaßnahmen und -kontrollen liegen. Die Bemühungen sollten sich darauf konzentrieren, die Menge und Sensibilität der Daten, die für externe Parteien zugänglich sind, zu minimieren.
T1595	Diese Technik lässt sich nicht ohne weiteres durch präventive Kontrollen eindämmen, da sie auf Verhaltensweisen beruht, die außerhalb des Geltungsbereichs von Unternehmensschutzmaßnahmen und -kontrollen liegen. Die Bemühungen sollten sich darauf konzentrieren, die Menge und Sensibilität der Daten, die für externe Parteien zugänglich sind, zu minimieren.
© 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet.

Sherlock® flash

Machen Sie mit wenigen Klicks ein Foto von Ihrem Computernetzwerk !

Mit der Sherlock® flash Audit-Lösung können Sie ein Audit durchführen, um die Sicherheit Ihres Computerbestands zu erhöhen. Scannen Sie Ihre physischen und virtuellen Geräte auf Schwachstellen. Planung von Patches nach Priorität und verfügbarer Zeit. Detaillierte und intuitive Berichte.

Entdecke dieses Angebot

Sherlock® flash: Erste Lösung für sofortige Cybersicherheitsprüfung