Frage:
Kann eine Netzwerkanfälligkeit lokal ausgenutzt werden?
vuln newbie
2019-08-28 15:36:44 UTC
view on stackexchange narkive permalink

Ich habe nach Informationen zur Schwachstellenklassifizierung gesucht und es ist mir nicht ganz klar.

Lesen der CVSS-Dokumentation (2.1.1. Access Vector) Ich beobachte die Die folgende Erklärung zum N-Wert (Netzwerk) für AV (Access Vector) lautet:

"Eine beim Netzwerkzugriff ausnutzbare Sicherheitsanfälligkeit bedeutet, dass die anfällige Software an den Netzwerkstapel gebunden ist und der Angreifer kein lokales System benötigt Netzwerkzugriff oder lokaler Zugriff. Eine solche Sicherheitsanfälligkeit wird häufig als "remote ausnutzbar" bezeichnet. Ein Beispiel für einen Netzwerkangriff ist ein RPC-Pufferüberlauf. "

Meiner Meinung nach bedeutet dies, dass die Sicherheitsanfälligkeit vorliegt kann remote, aber möglicherweise auch lokal ausgenutzt werden ("nicht erforderlich").

Habe ich recht?

Meistens, aber manchmal auch nicht.Beispiel: Nehmen wir an, es liegt ein Fehler in NFS vor. Zum Ausnutzen müssen Sie jedoch an einen Port <1024 binden. Wenn Sie kein Root sind, können Sie ihn möglicherweise nicht ausnutzen.Wenn Sie root sind, gibt es nichts auszunutzen.
Gute Frage und wichtig.Eine Netzwerk-Firewall kann eine bestimmte Netzwerk-Sicherheitsanfälligkeit aufheben, jedoch nur für Angriffe, die diese Firewall passieren würden.
Fünf antworten:
schroeder
2019-08-28 17:31:50 UTC
view on stackexchange narkive permalink

"Lokaler Zugriff" bedeutet, dass Sie sich auf dem Computer befinden müssen.

"Lokaler Netzwerkzugriff" bedeutet, dass Sie aktiviert sein müssen das gleiche Netzwerksegment. Diese Ebene des Netzwerkzugriffs ermöglicht einen spezifischen Zugriff auf den Datenverkehr und deckt verschiedene Schwachstellen auf.

"Remote-Netzwerkzugriff" bedeutet, dass es auch dann ausgenutzt werden kann, wenn Sie sich nicht im selben Netzwerksegment befinden. Sie könnten es aber auch sein.

Die Klassifizierung bedeutet die Mindestzugriffsebene und nicht die einzige Zugriffsmöglichkeit.

Luc
2019-08-28 15:49:55 UTC
view on stackexchange narkive permalink

Dies bedeutet, dass die Sicherheitsanfälligkeit remote, aber möglicherweise auch lokal ausgenutzt werden kann.

Sie haben Recht. Wenn etwas vom Netzwerk ausgenutzt werden kann, kann man es unter typischen Umständen auch lokal ausnutzen. Wenn ich einen anfälligen Dienst ausführe, der beim Besuch von "example.com/crash.php" abstürzt, stürzt er auch ab, wenn Sie "localhost / crash.php" auf dem Computer selbst besuchen.

Das Netzwerk Der Vektor ist schwerwiegender als der lokale Vektor, da Sie keinen lokalen Zugriff benötigen. Wenn Sie sich jedoch bereits auf dem Computer befinden, können Sie (normalerweise) alles tun, was ein entfernter Angreifer auch tun kann.

Der Netzwerkangriff ist möglicherweise immer noch ansprechend, wenn Sie Zugriff auf einen anderen Benutzer erhalten, insbesondere wenn der neue Benutzer über höhere Berechtigungen verfügt.
@ConorMancone, aber wenn es über das Netzwerk möglich ist, können Sie das auch lokal ausführen, oder?Dem Webserver ist es egal (oder er weiß), von welchem Systembenutzer die Anforderung stammt (wenn der Webserver die anfällige Komponente ist, ist dies natürlich nur ein Beispiel).
Ja, sehr.Ich war mit Ihrer Antwort nicht einverstanden.Mein Punkt war nur, dass Sie, selbst wenn Sie bereits lokalen Zugriff haben, möglicherweise einen Exploit auf Netzwerkebene auf dem Computer versuchen, wenn Sie durch Erfolg Zugriff auf einen privilegierteren Benutzer erhalten.Wenn Sie beispielsweise als Benutzer mit geringen Berechtigungen einbrechen und dann einen Angriff auf Netzwerkebene finden, mit dem Sie auf demselben Computer auf root zugreifen können, wäre dies offensichtlich ein großer Gewinn.Das heißt,In einigen Fällen würden Sie einen Netzwerkangriff versuchen, selbst wenn Sie bereits lokalen Zugriff haben.
@ConorMancone Ah, jetzt verstehe ich, was du sagen wolltest :)
Die einzige Ausnahme ist eine Sicherheitsanfälligkeit im Netzwerkstapel selbst: Wenn für den Exploit beispielsweise ein fehlerhaftes Paket erforderlich ist, das von der Leitung kommt und die Netzwerkkarte in einen unerwarteten Zustand versetzt, müssen Sie einen Ort finden, an dem das Paket abpralltvon, um einen lokalen Angriff durchzuführen.
@Mark Ich habe das nie gebraucht, also habe ich es nie versucht, aber würde (fast?) Kein Router das Paket an Sie zurücksenden, wenn Sie es adressiert an Ihre eigene MAC-Adresse senden?Oder vielleicht der MAC des Routers, aber Ihre interne IP?Sollte ziemlich einfach mit Scapy zu testen sein.Dies setzt voraus, dass das Schreiben eines Rohpakets auf das richtige Gerät gesendet wird.
@Luc Das Schreiben von Rohpaketen erfordert häufig erhöhte Berechtigungen.Wenn Sie nur Zugriff auf ein nicht privilegiertes Konto auf dem lokalen Computer haben, können Sie dies nicht fälschen.
@Barmar Ah wahr, guter Punkt.Ich denke, jedes Paket mit einem lokalen Ziel würde nur vom Betriebssystem abgefangen und nicht zum Abprallen gesendet.
vidarlo
2019-08-30 01:20:19 UTC
view on stackexchange narkive permalink

Ich denke, es wäre theoretisch möglich, einen Exploit zu haben, der nur remote funktioniert, aber nicht von derselben Maschine .

Zum Beispiel Eine Sicherheitsanfälligkeit bei der Behandlung empfangener Pakete durch den Hardwaretreiber kann vom lokalen Computer möglicherweise nicht ausgenutzt werden, da es schwierig ist, in Betriebssysteme integrierte Loopback-Mechanismen zu umgehen.

Ich sage nicht, dass solche Angriffe tatsächlich existieren, sondern nur, dass es möglich ist, Szenarien zu konzipieren, in denen ein bestimmter Angriff vom lokalen Computer aus schwierig oder unmöglich durchzuführen ist.

okoester
2019-08-28 15:49:03 UTC
view on stackexchange narkive permalink

Was hier gemeint ist, ist, dass "remote ausnutzbar" sich auf die (Zwischen-) Verwendung des Netzwerkstapels bezieht, um eine Sicherheitsanfälligkeit auf diesem System auszunutzen und Zugriff über das Netzwerk zu erhalten. Wahrscheinlich kann man diese Sicherheitsanfälligkeit lokal ausnutzen, aber als Sie würde es nicht "remote ausnutzbar" nennen

Gethin LW
2019-08-29 11:39:59 UTC
view on stackexchange narkive permalink

In den meisten Fällen korrekt, es gibt jedoch einige Umstände, unter denen dies nicht zutrifft. Beispielsweise in einer stark gesperrten Unternehmensumgebung, in der Benutzergeräte nur die Ausführung einiger Prozesse zulassen und erforderliche Tools nicht auf lokale Computer importiert werden können.

Die Frage betrifft die Klassifizierung des Vektors.Natürlich wird es eine Million Dinge geben, die es in keinem Fall möglich machen, aber die Klassifizierung des Vektors nicht beeinflussen.
Ich glaube nicht, dass sie gefragt haben, wie sie es klassifizieren sollen.
Die Frage bezieht sich buchstäblich auf die Klassifizierung des "N" -Vektors.CVSS kann nicht jedes Detail der Umgebung oder Implementierungsdetails berücksichtigen.Der N-Vektor beschreibt den verwendeten Vektortyp.Es besteht bereits ein inhärentes Verständnis, dass es mildernde Faktoren geben könnte.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...