blog.atwork.at

news and know-how about microsoft, technology, cloud and more.

Defense Against the Dark Ages: Your Old Web Apps Are Trying to Kill You #TEE12

Auf TechEd Europe 2012 hielt Aaron Margosis von Microsoft eine Session mit diesem reißerischen Titel. Dabei geht es vor allem darum, alte Applikationen (Legacy Apps) sicher zu machen und sicher zu betreiben. Hier wurden nicht die üblichen Top-sicherheitslösche wie Cross Site Scripting und SQL Injection & Co betrachtet, sondern Sicherheits-Themen, die weniger bekannt sind.

Microsoft kündigt Fix für ASP.NET #hashDoS an-Azure wird automatisch gefixt

Wie gestern in "Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS #28C3" gewarnt, besteht bei Webservern (Windows Servern mit IIS) eine Verwundbarkeit gegen "hash collision attacks" #hashDoS. Angreifer können mit speziell präparierten HTTP-Requests eine Hash-Tabelle mit einer großen Zahl von Werten befüllen, deren Keys in demselben Hash-Code aufgelöst werden - damit sinkt die Performance der HashTable auf eine simple Linked List. Das kann bei repetitiven Requests zu einer Überlastung des Webservers führen, sinngemäß so: Betroffen ist auch ASP.NET. Microsoft arbeitet bereits an einem Fix, so schreibt ScottGu in seinem Blog: Ab heute, 29. Dezember, etwa 19h (unsere Zeitzone) wird ein Fix verfügbar sein! ASP.NET Security Update Shipping Thursday, Dec 29th ..."We are releasing the security update via Windows Update and the Windows Server Update Service.  You can also manually download and install it via the Microsoft Download Center. We will release the update on Thursday, December 29th at approximately 10am Pacific Time (US and Canada). We are announcing it ahead of time to ensure that administrators know that the security update is coming, and are prepared to apply it once it is available." Der Fix wird per Windows Update, Windows Server Update Service und im Microsoft Download Center verfügbar sein. Gestern bekannt gegeben - heute gefixt. Wow, das nenn ich wirklich rasch! Achja, betrifft die #hashDoS Verwundbarkeit Windows Azure Kunden? Nein, ScottGu schreibt: "Customers on Azure that have their Hosted Services OS servicing policy set to "Auto" (which is the default) will have their environments automatically updated to include the security update. There is no action required for this." Sehr praktisch, diese Cloud Services... Alle IT-Pros mit eigenen Webservern: Bei Verfügbarkeit Fix einspielen!!

Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS

Achtung Web-Developer und Web-Hoster! Seit kurzem ist eine DoS-Attacke gegen Webserver bekannt, die zur Überlastung von Websites führen kann. Die Verwundbarkeit läuft unter #hashDoS und #28C3, sie führt "hash collision attacks" gegen Websites durch. Wie funktioniert #hashDoS? Technisch gesehen werden durch einen HTTP Request "teure" Hash Table Berechnungen ausgeführt, die - selbst auf sehr leistungsfähigen CPU´s - abertausende Form-Werte berechnen und so zu einer Überlastung = Stillstand des Webservers führen können. Selbst kleine HTTP-Requests können sehr rechenintensiv werden: Die Verwundbarkeit kann von anonymen Angreifern ausgenutzt werden, um in ASP.NET einen speziell präparierten HTTP-Request mit beispielsweise 100kB abzusetzen. Dieser Angriff kann eine CPU zu 100% auslasten und zwischen 90 und 110 Sekunden dauern. Durch mehrfache Wiederholung der Angriffe kann ein Stillstand erzeugt werden. (siehe 3.) CPU-Grafik von 3. Hier liegt die CPU-Last eines 4-Core Servers kontinuierlich bei 25% - nur durch einen WorkerProcess. Weitere Informationen finden Sie in 4. Wen betrifft es? Eigentlich alle Webserver im Internet. Alle Versionen des .NET Frameworks sind verwundbar. (siehe 1.) #hashDoS betrifft nicht nur Microsoft-Technologie (ASP.NET), sondern es sind alle Systeme gefährdet: Java, Python, Ruby 1.8, PHP, etc. Wann sind Windows Server betroffen? Verwundbar sind Windows-Systeme mit IIS-Rolle, wenn ASP.NET Websites mit diesen Content-Types (siehe 2.) verwendet werden: "application/x-www-form-urlencoded" oder "multipart/form-data" Andernfalls droht keine Gefahr durch #hashDoS. Wie können ASP.NET Websites geschützt werden? Eigentlich simpel - durch Limitierung des HTTP-Requests: Hier die Empfehlungen aus TechNet: Wenn Ihre Applikation ViewState verwendet: In web.config die maximale HTTP-Request Größe auf 200KB beschränken: <configuration> <system.web>   <httpRuntime maxRequestLength="200"/> </system.web> </configuration> Wenn kein ViewState verwendet wird: In web.config die maximale HTTP-Request Größe auf 20KB beschränken: <configuration> <system.web>   <httpRuntime maxRequestLength="20"/> </system.web> </configuration> ...abhängig vom Szenario. Nicht vergessen: Eventuelle File Uploads in der App! Die Empfehlung: Wenn Sie befürchten, Ziel eines Angriffs durch #hashDoS zu werden, führen Sie obige Schritte durch. (siehe 3.) Gibt es einen Fix? Ein Fix ist in Arbeit: "Our teams are working around the clock worldwide to develop a security update of appropriate quality to address this issue." (siehe 1.). Auch an Forefront wird gearbeitet. Es werden zwei neue "Rules" hinzugefügt werden, welche den Content Type prüfen und die Anzahl der Form values im HTTP-Request prüfen (> 1000 = Deny): "Microsoft's own Forefront Threat Management Gateway (TMG) will receive an update containing a signature for this issue today. (Vulnerability: Win/ASPNET.POST.DoS!NIS-2011-0001)" (siehe 3.) Hier alle Links mit weiterführenden Informationen gesammelt: Microsoft releases Security Advisory 2659883, offers workaround for industry-wide issue TechNet: Microsoft Security Advisory (2659883) -  Vulnerability in ASP.NET Could Allow Denial of Service More information about the December 2011 ASP.Net vulnerability Eine sehr feine Erklärung liefert Effective DoS attacks against Web Application Plattforms - #hashDoS Allgemein: Microsoft Security Response Center (MSRC) Home

Die Cloud ist nicht sicher....

...und meine Daten müssen bei mir bleiben. Eines der vielen Argumente, die ich im Rahmen von Office 365 Anfragen und Cloud Diskussionen immer wieder höre. Alles was rund um Rechenzentren, wo liegen meine Daten und Sicherheit passiert, ist in diesem Sommer ein häufig diskutiertes Thema, nicht zuletzt wegen der Hackerangriffe, vor denen auch Österreich nicht verschont geblieben ist. Gerade ist mir über einen Newsletter ein Bericht aufgefallen, der damit titelt: "Heimische Betriebe gehen zu unvorsichtig mit Daten um." Vor allem Klein- und Mittelbetriebe investieren manchmal erst nach einem Angriff in Ihre IT-Security. Dazu möchte ich einen kurzen aktuellen Anlassfall aus der Praxis beschreiben, anhand dem mir wieder so richtig bewusst geworden ist, wie sehr es leider immer noch stimmt, dass wir unvorsichtig mit Daten umgehen. Es handelte sich hier um eine ganz normale Kundenanfrage zum Thema Office 365, der Kunde wollte laut eigener Definition alle Serverdaten in die Cloud legen, da das eigene Serversystem nicht mehr optimal funktioniert und befürchtet wurde, dass der Server in Kürze "eingehen" wird. Bevor das aber passiert, sollte geprüft werden, wie viele Daten überhaupt vorhanden sind und ob diese in SharePoint Online ausgelagert werden könnten. Der Servercheck sollte remote durchgeführt werden, um dies festzustellen. Die Ausgangssituation ist ein SBS 2003, also nicht ungewöhnlich, bei nur 4 Usern auf Office 365 umzusteigen. Sicherheitswarnung Nr. 1: Das Administrator Kennwort wurde telefonisch bekannt gegeben, obwohl die Ansprechperson, die den Check vereinbart hatte, gar nicht vor Ort war und bestätigen konnte, dass es sich hierbei um eine reelle Anfrage handelte. Sicherheitswarnung Nr. 2: Ein 15 Minütiger Check des Servers war ausreichend um die Ursache des "Eingehens" festzustellen: der Server wurde unter anderem als Workstation verwendet, die Exchange Logfiles zeigten an bestimmten Tagen (Wochenende) eine - für vier User - sehr ungewöhnliche Größe. Die Ursache für die großen Logfiles wurde ebenfalls sehr rasch gefunden. Ein Hacker, der dieses System als Zombie für seinen Spamversand verwendete, hatte sich nicht einmal die Mühe gemacht, seine Spuren zu verstecken: Direkt im Root des Servers lag eine - konfigurierbare - Datei, wo man Absender und Inhalte des Mailversandes bequem einstellen konnte. Sicherheitswarnung Nr. 3: Bitte vertrauen Sie Experten! In diesem konkreten Fall war es weder dem lokalen IT Betreuer noch dem Kunden bewusst, was da passierte. Unsere Empfehlung war dann doch eine etwas weitreichendere als nur eine Umstellung auf Office 365: Firewall, Security Check, Einsatz von Windows Intune, usw. Prompt kam auch zwei Tage später der Anruf: Der Server steht (nein, er ist nicht gestanden, er musste nur gerade ca. 2 Millionen Spam-E-Mails abarbeiten...). - Ein Tag später: "Es ist nicht mehr so eilig, der Server geht jetzt wieder (an diesem Tag war der Server mit dem Versand der E-Mails fertig, deswegen war ein Zugriff wieder möglich). Eine gut organisierte IT und Basis-Sicherheitsmaßnahmen sollten jedem von uns ein Anliegen sein! Helfen Sie mit, indem Sie sichere Kennwörter verwenden, einen Virenschutz einsetzen, regelmäßig Sicherheitsupdates durchführen, keine illegal heruntergeladene Software installieren, eine professionelle IT-Betreuung haben oder anbieten und jene Dienste, die Sie nicht notwendigerweise selbst betreiben müssen oder wollen, in Hände von Experten geben! Dieses Unternehmen hat mit der Wahl auf Office 365 sicher kein unsicheres Service gewählt sondern zumindest erste Schritte gesetzt! Trotzdem, die Anschaffung einer Firewall (aus Kostengründen?) wurde jedoch abgelehnt.

Service Pack 1 für Windows Server 2008 R2 und Windows 7 ist fertig

Wie das Windows Server Division WebLog gestern bekannt gab, ist das das Service Pack 1 für die aktuellsten Microsoft Betriebssysteme Windows Server 2008 R2 und Windows 7 fertig (Release). Gerüchte über das Erscheinungsdatum gab es ja schon reichlich, nun ist es fix: Für TechNet und MSDN-Abonnenten sowie Volume Licensing-Kunden wird SP1 ab dem 16. Februar verfügbar sein, die breite (öffentliche) Masse wird SP1 ab dem 22. Februar via Windows Update und Microsoft Download Center downloaden können. Erfahren Sie mehr über die Funktionen des SP1 hier: Windows Server 2008 R2 and Windows 7 SP1 Releases to Manufacturing Today Webcast-Tipp: TechNet Webcast: Dynamic Memory und RemoteFX (Level 200) - Überblick über das Service Pack 1 für Windows Server 2008 R2 und Windows 7 Windows 7 und Windows Server 2008 R2 SP1 Release Candidate Windows 7 und Windows Server 2008 R2 Service Pack 1: Dynamic Memory und RemoteFX für Hyper-V  Erste Erfahrungsberichte auf windowsblog.at: Installationsbericht Windows 7 Service Pack 1 Ich selbst bin schon sehr auf Dynamic Memory auf meinen Hyper-V Servern gespannt, und fast genauso auf Remote FX - die Anforderung von Video-Wiedergabe und Video-Konferenzen auf Remote Maschinen hatte ich auch schon mehrmals. Also, Windows-Maschinen, SP1 kommt bald

Dezember Patchday!

Mit dem Dezember Patchday kommen (wenn ich mich nicht verzählt habe) 17 Updates, zwei davon sind mit "Kritisch" eingestuft: Eines behebt gleich mehrere Schwachstellen im Internet Explorer 6, 7 und 8 (MS10-090), das zweite eine Schwachstelle im OpenType Font (OTF) Driver (MS10-091) - das betrifft den Windows Explorer - und auch alle aktuellen Windows Versionen. Dann gibt es noch 14 "wichtige" Updates und ein "mäßig wichtiges" Update im Dezember. Einen Überblick der Dezember-Patches finden Sie hier: Microsoft Security Bulletin Summary for December 2010  Microsoft Security Bulletin Search zeigt alle immer die aktuellen Patches, auch durchsuchbar! Generell ist für alle Sicherheits-Experten (und solche die es werden wollen) die Zusammenfassung der Microsoft Security Bulletin Summaries and Webcasts empfehlenswert: Microsoft Security Bulletin Summaries and Webcasts Hier finden sich auch Webcasts zu den einzelnen monatlichen Security Bulletins. Die Webcasts dauern meist so um die 90 Minuten und erfordern nur eine Registrierung mit einer LiveID und können online angesehen oder downgeloadet werden, so zum Beispiel der Webcast vom November 2010: Heute, 15.12., um (11:00 Pacific Time, bei uns) 18:00 findet der Dezember-Webcast statt: Webcast- Information About Microsoft December Security Bulletins Der Patchday erfolgt jeden 2.ten Dienstag pro Monat - die Updates sind also seit gestern verfügbar und sollten auch rasch angewendet werden. Secure Computing!

IE9 ganz Privat: Tracking Protection Lists

Das IE9-Team tut (Einiges) Alles, um den neuen Internet Explorer 9 zum Top-Browser zu machen (siehe auch TechNet: Microsoft Internet Explorer). Vor kurzem hat das Produkt-Team in seinem Blog eine weitere neue Funktion angekündigt: "Tracking Protection". Mit "Tracking Protection Lists" (mit der sinnigen Abkürzung TPL) kann ein Benutzer unerwünschtes Tracking ausschalten - und somit auch kontrollieren, welche Informationen an fremde Systeme gesendet oder nicht gesendet werden dürfen. Das Thema Privatsphäre muss ernst genommen werden. Somit hat sich auch das IE Team zum Ziel gemacht, effektive Mechanismen einzusetzen um dem Benutzer die Steuerung seines Datenstroms zu ermöglichen ("...more effective technologies for consumer control"). TPL ist eine davon. Hm, wozu könnte das gut sein? Heute sind fast alle Webseiten verlinkt und benutzen Inhalte und Scripts von anderen Web(systemen), etwa für Social Media-Aktivitäten, Website-Traffic Analyse aber auch für Werbebanner und sonstige Adserver-Aktivitäten. Hier einige Beispiele: oder Der Seiten-Quellcode offenbart auch die Quelle, zum Beispiel sieht das bei der obigen Werbung so aus: <iframe width="300" height="250" title="Ad" src="http://d3l3lkinz3f56t.cloudfront.net/dclk1-0.9.html#swf=http%3A//s0.2mdn.net/1614546/EA_... Mit TPL können solche eingebetteten Inhalte auf Wunsch blockiert werden. "IE9 will offer consumers a new opt-in mechanism ("Tracking Protection") to identify and block many forms of undesired tracking." Unerwünschte URLs können zur TPL hinzugefügt werden, das sieht dann (mit unscharfem Screenshot aus einem Video) in etwa so aus: Geblockte Inhalte werden mit rotem Rahmen angezeigt, zugelassene Inhalte mit grünem Rahmen (nach dem Reload der Seite erscheinen die roten Rahmen nur mehr leer). Diese Regeln "Do not Track" wirken sich nicht nur auf die aktuelle Webseite aus, sondern natürlich für alle Webseiten (die diese geblockten Adressen aus der TPL verwenden) - wir kennen das Verhalten ja bereits von Drittherstellern und "AdServer-Blocking" AddOns. Mit TPL kann jeder Anwender mit einem Regelwerk selbst bestimmen, welche Fremd-Aufrufe zugelassen werden sollen und welche nicht. Die Regeln können sehr komplex sein und werden in einem XML-Dokument gespeichert - dieses wird voraussichtlich so aussehen (Screenshot aus dem Original-Artikel): Hier werden mit Regular Expressions geblockte (blockRegex) und erlaubte (allowRegex) Adressen angegeben: Das Fazit des IE-Produktteams: "We believe that the combination of consumer opt-in, an open platform for publishing of Tracking Protection Lists (TPLs), and the underlying technology mechanism for Tracking Protection offer new options and a good balance between empowering consumers and online industry needs." Vor allem: Es funktioniert sehr einfach - eine gute Voraussetzung für den Einsatz. Hier geht es zum Original-Artikel: IE9 and Privacy: Introducing Tracking Protection. Ein kurzes Silverlight-Video im Artikel zeigt die TPL-Funktionalität in Action: TPL wird ab dem IE9 Release Candidate verfügbar sein. (Für die letzte IE9-Version siehe http://ie.microsoft.com/testdrive) Achja noch ein Hinweis zur Installation von IE9: Im Web sind Gerüchte aufgetaucht, dass IE9 RTM unbedingt Windows 7 SP1 benötigen wird. Diese sind FALSCH. IE9 wird nur einige Hotfixes und Updates benötigen, die in SP1 enthalten sein werden, aber nicht das "ganze" SP1 - und diese Updates werden mit der Installation von IE9 mitkommen und sich bei Bedarf automatisch installieren: "When you install Internet Explorer 9 on a system that has Windows 7 RTM installed, additional operating system components are included as part of the installation of Internet Explorer 9. ... this will be a seamless process for the user." Derzeit ist Windows 7 Service Pack 1 Release Candidate verfügbar, die RTM-Version wird in der ersten Jahreshälfte 2011 veröffentlicht werden. Viel Spaß beim Testen von IE9!

Bill Gates verteilt gerade sein Vermögen - oder warum Hoax E-Mails noch immer die Runde machen

Gerade ist folgende E-Mail in meiner Mailbox gelandet: Bill Gates verteilt gerade sein Vermögen - bitte leitet diese E-Mail an soviel Leute wie möglich weiter. Kein Scherz - natürlich nicht.... Offensichtlich hat Bill Gates zu viel Geld. Dies verschenkt er jetzt - natürlich über E-Mail, an ihm unbekannte Personen. Klarerweise sind in der E-Mail auch die Glücksfälle der Bekannten von Bekannten genannt, die tausende Dollar per Scheck erhalten haben. Nebenbei erfahre ich von einer geplanten Fusion von Intel und AOL. Aha. Das E-Mail wurde, ehe es bei mir gelandet ist, bereits 38(!!!!) Mal weiter geleitet - an hunderte Empfänger (deren datenschutzrechtlich geschützte E-Mail Adressen enthalten). Wir erhalten - aufgrund eines ausgezeichneten Spamschutzes über FOPE normalerweise solche E-Mails nimmer, umso erfreulicher ist dieses Exemplar. Hier ein Auszug des Inhaltes: So, muss mal meine Bekannten von Bekannten oder Tanten fragen, wie viel Geld sie schon bekommen haben. Sollte jemand die Mail weiterleiten wollen, bitte nicht an mich. Ich glaube nicht daran. Sollten Sie nicht sicher sein, ob eine E-Mail ein Hoax ist: hier können Sie nachschauen, das ausgezeichnete, bereits in die Jahre gekommene Info Service der TU-Berlin.

Im Internet wirds langsam eng...

Die IPv4 Ära geht zu Ende. Die 4,3 Milliarden möglichen offiziellen Adressen von IPv4 werden nicht mehr lange ausreichen, so berichtet auch das renommierte c´t Magazin "IPv4-Adressen werden ab 2011 knapp". Auch wenn viele reservierte IPv4 Bereiche derzeit nicht genutzt werden, so ist es nur eine Frage der Zeit, bis Internet-Provider keine IPv4-Adressen mehr hergeben werden oder können. In Nordamerika wird das allerdings noch länger kein Problem sein, da dieser Region bei der Vergabe fast 70% aller IPv4 Adressen zugewiesen wurden. Überall anders wird bzw. ist es bald eng. Unabhängig davon sind die Adressbereiche von IPv4 mittlerweile stark fragmentiert. Deswegen wird bereits seit etwa fünf Jahren von Hardware- und Software-Herstellern und Carriern/ISPs in den Ausbau des Internet-Protokolls Nachfolgers IPv6 investiert. Ein wesentlicher Vorteil von IPv6 ist der riesige Adressraum von 2^128 (statt 2^32 bei IPv4 und unglaubliche 340 Sextillionen Adressen). Damit sollte dann für jedes mögliche Gerät vom Handy bis hin zum Kühlschrank (...und theoretisch für jedes Sandkorn auf der Erde) eine eigene IP-Adresse möglich sein. Hinzu kommen besseres Routing sowie Verbesserungen bei der Netzwerkadministration und ein neues, einfacheres HeaderFormat. Die Autokonfiguration erlaubt es jedem Gerät, sich selbst eine eindeutige Adresse zuzuweisen, ohne dass ein DHCP-Server benötigt wird, Network Address Translation entfällt bei IPv6 vollständig. Jedes Gerät erhält mit IPv6 also eine eigene, eindeutige Adresse aus einem zugewiesenen Teilnetz. Das ist vor allem für mobile Geräte hilfreich. In Windows XP ab SP2 und Windows Server 2003 kann IPv6 nachträglich aktiviert werden. Ab Windows Vista, Windows 7 und Windows Server 2008 und R2 ist IPv6 standardmäßig aktiviert (und u.a. Voraussetzung für Direct Access). So liefert der Befehl ipconfig beispielsweise: Verbindungslokale IPv6-Adresse  . : fe80::6469:7862:7230:f74a%12 IPv4-Adresse  . . . . . . . . . . : 192.168.75.114 Mit dem Kommando netsh interface ipv6 kann IPv6 dauerhaft konfiguriert werden, mehr dazu im TechNet. IPv6 ist ein sehr weites, immer aktuelleres Thema. Für Netzwerker ist es somit wichtig, Know How und Infrastruktur aufzubauen! Ein Umstieg bzw. eine Symbiose von IPv4 und IPv6 kann sanft erfolgen, aber es gibt viel zu diesem Thema zu erfahren. Letztlich wird IPv4 auslaufen und im Laufe der nächsten Jahr(zehnte ;-) komplett durch IPv6 ersetzt werden. Zum Abschluss noch ein paar interessante Links: TechNet: Einrichten der IPv6-Infrastruktur TechNet: IPv6 TechNet Video: IPv6 - Aufbau eines gerouteten Netzwerks Ping mich mal mit IPv4 vs. Windows und IPv6

SQL Server 2008 SP2 ist verfügbar

Ganz frisch! Das SQL Server 2008 Service Pack 2 (Version 10.00.4000.00) kann seit heute aus dem Microsoft Download Center downgeloadet werden: Microsoft SQL Server 2008 Service Pack 2. Für die Express-Editions gibt es einen eigenen Download: Microsoft SQL Server 2008 SP2 Express Edition Service Pack 2 Was ist Neu in SP2? SQL Server Utility - Ein Verwaltungstool zur konsolidierten Ansicht von Ressourcen und "Gesundheit" aus verschiedenen SQL-Instanzen Data-tier Application (DAC) - Verwaltung von Daten in Multi-Tier Applikationen - Für nähere Hinweise lesen Sie diesen Artikel oder fragen Sie den Developer Ihres Vertrauens ;-) Reporting Services in SharePoint Integrated Mode - Verbesserungen der Reporting Services, in Tablix, Chart und Gauge Datenregionen, neue Datenquellen-Typen und Report Builder 2.0. SQL Server 2008 SP2 Report Server können in SharePoint 2010 und 2007 integriert werden. List of the bugs that are fixed in SQL Server 2008 Service Pack 2 (KB2285068) Mehr zum SQL Server und zum SP2: Microsoft Download Center - Microsoft SQL Server 2008 Service Pack 2 TechNet Wiki - Microsoft SQL Server 2008 SP2 Release Notes TechNet Microsoft SQL Server 2008 Home MSDN Microsoft SQL Server 2008 Empfehlenswert vor der Installation ist der Microsoft SQL Server 2008 SP2 Upgrade Advisor! Voraussetzung für SP2: SQL Server ;-), NET Framework 3.5 SP1, SQL Server Native Client, Unterstützungsdateien für SQL Server-Setup, Microsoft Windows Installer 4.5. (für x86 und x64) und zw. 110 und 396MB Festplattenplatz für den Download und etwa 675MB für die Installation. Happy testing and upgrading!