Go Back   Desktop & Server Management (DSM) Forum > GERMAN > DSM 7
Register FAQ Members List Calendar Search Today's Posts Mark Forums Read

Reply
 
Thread Tools Search this Thread Display Modes
  #1  
Old September 30th, 2015, 14:17
lucky devil lucky devil is offline
Erfahrener Benutzer
 
Join Date: 02-05-08
Posts: 178
Default Syss:Security vulnerabilities in the Client Management Software FrontRange DSM can be

Hallo NG,

die Syss hat eine PDF zum Thema "Security vulnerabilities in the Client Management Software FrontRange DSM can be leveraged in attacks against corporate networks" veröffentlicht:

Es geht um NiCfgLcl.ncp und NiCfgSrv.ncp!

https://www.syss.de/fileadmin/dokume...Softwar e.pdf

https://www.syss.de/fileadmin/dokume...t-Software.pdf

McAfee
https://www.syss.de/fileadmin/dokumente/Publikationen/2011/SySS_2011_Deeg_Privilege_Escalation_via_Antivirus_ Software.pdf


Viele Grüße
lucky devil

Last edited by lucky devil : September 30th, 2015 at 15:23.
Reply With Quote
  #2  
Old October 1st, 2015, 16:52
info@offlimits-it.com's Avatar
info@offlimits-it.com info@offlimits-it.com is offline
Erfahrener Benutzer
 
Join Date: 08-31-04
Posts: 389
Send a message via MSN to info@offlimits-it.com
Default

Dafür wurde ja in 2015.1.2 die Verschlüsselung eingeführt.
__________________
Gruß

Nordin Markow

http://www.offlimits-it.com
Reply With Quote
  #3  
Old October 6th, 2015, 11:14
lucky devil lucky devil is offline
Erfahrener Benutzer
 
Join Date: 02-05-08
Posts: 178
Default

Moin NG,

Textauszug von "HEAT software":
---------------------------------------------

Liebe HEAT Software Partner,

im mobilen Zeitalter und dem ständigen Anstieg von Applikationen, Daten und Zugriff auf Unternehmensdaten von teilweise auch privaten Endgeräten, rückt auch immer mehr das Thema IT-Security in den Fokus. Security Audit Firmen führen daher regelmäßig Audits durch, um Schwachstellen in Applikationen zu identifizieren und eventuelle neue Sicherheitslücken aufzuzeigen.

In unseren HEAT Softwarelösungen erweitern wir regelmäßig die Sicherheitsmaßnahmen, um entsprechende IT Risiken zu minimieren. Hier möchten wir Ihnen nun kurz ein paar Security-Verbesserungen vorstellen, die in der aktuellen HEAT DSM 2015.1 Version verstärkt wurden.

Vor wenigen Monaten wurde ein Security Audit zu HEAT DSM durchgeführt. Dabei wurden potentielle Schwachstellen identifiziert. Unabhängig davon haben wir mit HEAT DSM 2015.1 Build 2867 die Sicherheitsmaßnahmen verstärkt und dadurch die Ergebnisse dieses Tests entkräftet.

Im Folgenden finden Sie einen Überblick unserer durchgeführten Maßnahmen.

HEAT DSM 2015.1 Security Highlights beinhalten u.a.:
• Anzahl sowie die Rechte verwendeter Benutzerkonten
• Interne Klassifizierung
• die verwendeten Verschlüsselungsalgorithmen und
• Abwehr verschiedener Angriffsvektoren bzgl. den Zugriffsrechten
Allgemeiner Hinweis
Um Sicherheitsrisiken minimal zu halten, empfehlen wir allen Kunden jeweils auf die aktuelle Version von HEAT DSM 2015.1 Build 2867 zu migrieren. Solange DSM-Umgebungen nicht auf die aktuellste Version migriert werden, müssen IT Organisationen sicherstellen, dass keine Schadsoftware, die explizit diese Sicherheitslücke nutzen würde, in Ihrer Umgebung zur Ausführung kommt.

Benutzerkonten
Die effektive, von HEATSoftware DSM verwendete Menge an Benutzerkonten in den Konfigurationsfiles, die wiederum verschlüsselte Passwortinformationen enthalten, hängt von der während der Installation gewählten Sicherheitsstufe ab.
Der für die Sicherheitsstufen verwendete Dialog wurde ersetzt und bietet nun die Möglichkeit, die Konten granularer und einzeln anzugeben. Somit ist klar ersichtlich, dass für diese Konten unterschiedliche Privilegien erforderlich sind und die für diese Konten notwendigen Rechte gezielt vergeben werden können. Allerdings hat dies keinen Einfluss auf die Sicherheit der Konten und Kennwörter selbst.
In einer AD Umgebung müssen nicht zwingend alle Konten angegeben werden, solange dafür gesorgt wird, dass bei ausgelassenen Konten die Maschinen über ihren Computer-Account Zugriff haben.

Die Konten wurden im Zuge der Änderungen nach Verwendungszweck klassifiziert:
• wird auf Management Point verwendet
• wird auf den Clients verwendet
Sie werden wie bisher in den NCP-Dateien gespeichert. Allerdings arbeitet DSM 2015.1 an dieser Stelle mit einem sehr stark verbesserten Sicherheitskonzept.

Management Point Passwörter
Passwörter, die auf den MPs verwendet werden sind kritisch, da sie hohe Privilegien voraussetzen; wie z.B. Distribution – BLS-Authentifizierung, Database- und SIS-Account.
Die MP Kennwörter sind daher nun mit einem asymmetrischen Verfahren (curve 25519 zur Schlüssel-Erzeugung) gesichert und mit AES256 verschlüsselt.
Der zugehörige private Schlüssel liegt in einem speziell gesicherten Verzeichnis auf dem DSM Share, auf das nur die Infrastrukturkomponenten unter Verwendung des Distributions-Accounts Zugriff haben. So ist sichergestellt, dass kein Unberechtigter die oben genannten hoch sensiblen Konten und Kennwörter mehr auslesen kann.
Aufgrund dieser Änderungen gibt es auf dem Client aus dem niinst32.exe Prozess heraus keine Möglichkeit mehr, die hochsensiblen Konten und Kennwörter zu entschlüsseln.

Client Passwörter
Auf dem Client wurden Mechanismen zum Erkennen von Debuggern hinzugefügt (Anti-Debugging-Maßnahmen), um das Abgreifen von Kennwörtern mittels sogenannten Application-Level Debugger wie z.B. OllyDbg weitgehendst zu unterbinden. Durch das Erlangen des Depot-Accounts hätte ein Angreifer Leserrechte auf das Share. Allerdings stellt dies keine Sicherheitslücke dar, da auch reguläre Nutzer üblicherweise Zugriff darauf haben. Es gibt in DSM zusätzlich seit längerem auch die Option, ohne Depot Account zu arbeiten, womit dieser Sachverhalt vom Kunden komplett ausgeschlossen werden kann.
Um die Sicherheit weiter zu erhöhen, raten wir Kunden anstelle des Runtime-Accounts komplett mit dem SYSTEM Konto zu arbeiten.

Bei Fragen oder weiteren Informationen stehen wir Ihnen gerne zur Verfügung.

Mit den allerbesten Grüßen

Ihr HEAT Software Team
---------------------------------------------

viele Grüße
luck devil
Reply With Quote
Reply


Thread Tools Search this Thread
Search this Thread:

Advanced Search
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Forum Jump

   

All times are GMT +1. The time now is 12:43.

Powered by vBulletin Version 3.6.7
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.