LIXXblog

macOS / MacOS X  -   Michael Kaufmann  -   13.02.2018  -   Tags: macOS, Advanced Mac Cleaner


Advanced Mac Cleaner ist eine Schadsoftware(Ransomware), die sich auf macOS Rechnern tief ins System einnistet, mit dem Ziel, vom Anwender Geld zu erpressen. Dabei wird vorgegeben, dass mithilfe dieses Tools Beschädigungen und Viren behoben/beseitigt werden. Tatsächlich werden diese Beschädigungen des Betriebssystems nur glaubhaft visualisiert, vergleichbar mit einer Placebo-Software.

Um das einfache Entfernen der Software durch einen Nicht-Administrator zu erschweren, besteht die Ransomware aus verteilten Elementen, die sich selbst reparieren können. Um Advanced Mac Cleaner dauerhaft vom System entfernen zu können, müssen alle Einzelkomponenten entfernt werden.

Folgende Verzeichnisse sind hierbei zu prüfen:

/Volumes/Macintosh HD/Applications

~/Library/Advanced Mac Cleaner

~/Library/Application Support/amc

Für das Self Repair ist ein Deamon "helperamc" zuständig, der per launchctl beim Start des Macs geladen wird und alle Komponten und die AMC-Application selbst prüft.

Wie löscht man nur die Advanced Mac Cleaner Ransomware erfolgreich?

Zuerst sollte man dem Mac den Zugriff aufs Internet sperren, um ein Nachladen(Self Repair) von Komponenten zu verhindern. Danach alle o.g. Verzeichnisse löschen und den Papierkorb entleeren. Über die "Aktivitätsanzeige" bzw. "Activity Monitor" ist der Deamon "helperamc" sofort zu beenden. Anschließend muß launchctrl von Einträgen des Deamons befreit werden.

Dies geschieht über:

launchctl unload ~/Library/LaunchAgents/com.pcv.hlpramcn.plist

rm ~/Library/Application\ Support/amc/helperamc.app

Nach einem Neustart und der Aktivierung des Internets sollte der Mac wieder ganz normal funktionieren und leidige Fenster des Advanced Mac Cleaner nicht mehr auftauchen.

Sollten Sie Probleme bei der Entfernung dieses Schädlings haben, vereinbaren Sie gern unter Telefon 0341-8607136 einen Termin mit einem unserer Techniker.

weiterlesen...
macOS / MacOS X  -   Michael Kaufmann  -   08.02.2018  -   Tags: macOS, 10.12.x, High Sierra Update Notifier


Im professionellen Umfeld werden macOS Clientsysteme bewußt auf einem homogen Betriebssystemstand gehalten und Updates bzw. Software per Softwareverteilung(Digital Software Management) bzw. Remote Management verteilt.

Nicht immer ist diese passive Haltung der IT-Abteilung bei Herstellern gewünscht, soll der Anwender doch möglichst alle Cloud-Dienste des Herstellers benutzen können.

Ein Wechsel der Systemumgebung birgt allerdings gerade beim Wechsel von 10.12.x auf 10.13.x Gefahren. Das Dateisystem der Clients migriert von HFS+ auf APFS, Inkompatibilitäten lizensierter Software sind zu erwarten.

Apple penetriert den Anwender am Client leider in regelmäßigen Abständen zu einem kostenlosen Upgrade auf 10.13.x welches auch nicht abgebrochen, sondern nur bestätigt werden kann. Spätestens dann sollte der Mechanismus greifen, das ein normaler Anwender keine Administrationsrechte eingeräumt bekommen hat.

Leider wird das Informationsfenster weiterhin angezeigt und versperrt wichtige Bereiche des Desktops. Um diese regelmäßige Penetrierung loszuwerden muß im Terminal das entsprechende Skript an einen anderen Ort verschoben werden. Dies erledigt man am Besten mit einem:

sudo mv /Library/Bundles/OSXNotification.bundle /Volumes/Macintosh\ HD/Installation/

weiterlesen...
macOS / MacOS X  -   Michael Kaufmann  -   28.01.2018  -   Tags: macOS, AD, Active Directory, OD, Open Directory, Login Window Notifications, Notifications


Werden Apple Macintosh Rechner in einem Netzwerk an eine Open Directory oder Active Directory unter Microsoft Windows Server 2012 -2016 angebunden, greifen auch deren Sicherheitsregularien. Eine davon ist die Notwendigkeit eines regelmäßigen Paßwortwechsels seitens des Anwenders. Dafür erhält der Anwender nach Eingabe des Paßwortes an der Loginmaske eine Login Window Notification, die u.a. einen Begrüßungstext oder die Erinnerung zum Paßwortwechsel in X Tagen enthält.

Bis macOS 10.8.x betrug der im macOS Betriebssystem eingestellte Zeitintervall 14 Tage. Heißt, 14 Tage vor Ablauf erhält der Anwender den Reminder zum baldigen Wechsel des Paßwortes. Seit macOS 10.9.x ist dieser Intervall per default auf 30 Tage eingestellt.

Ist die Aufgabe nun, diesen Zeitintervall zu verkürzen, gibt es hier viele Angriffspunkte, die aber in Nicht-Windows-Umgebung nicht greifen.

Ab Windows Server 2012 ist es möglich, einer Active Directory eine Default Domain Policy mitzugeben und darin den Hinweisintervall festzulegen. Alternativ ließ sich schon immer per Gruppenrichtlinie(Group Policy) ein individueller Erinnerungsintervall auf Windows Clients ausrollen. Leider funktionieren beide Methoden, die Default Domain Policy sowie die Group Policy nicht mit Nicht-Windows Clients, also Linux oder macOS Clients.

Für macOS gibt es eine Voreinstellungsdatei unter /Library/Preferences/com.apple.loginwindow.plist die per default keinen Eintrag bzgl. PasswortExpiration enthält. Scheinbar ist diese default Einstellung im System hardcodiert.

Mit einem:

sudo defaults write /Library/Preferences/com.apple.loginwindow.plist PasswordExpirationDays 14

läßt sich ein individueller Wert hinzufügen, der dann augenscheinlich den Standardwert überschreibt.

Alternativ zu 14 kann ein beliebiger Integer-Wert angegeben werden.

Diese Erweiterung der loginwindow.plist kann nun - am Besten mit Apple Remote Desktop - an alle im Netzwerk befindlichen macOS Clients verteilt werden. Nach einem Neustart greift das Überschreiben der Richtlinie mit einem individuellen Wert.

weiterlesen...
Groupware  -   Michael Kaufmann  -   30.10.2016  -   Tags: kerio, kerio connect, groupware, mailserver, mykerio


Kerio Connect 9.2 - Integration in MyKerio

Mit dem Release von Kerio Connect 9.2 erhält der Kerio Connect Mailserver eine Integration in die zentrale Administrationsoberfläche für alle Kerio Produkte -> MyKerio.

MyKerio aggregiert somit alle in einer Firma eingesetzten Kerio Produkte in einer cloudbasierten Management-Konsole und ermöglicht so, mandantenübergreifende Administration mehrerer Kerio Instanzen und unterschiedlicher Kerio Produktfamilien.

Zudem wird zum bereits bestehenden Kerio Connect Client(Fat Client) für macOS ein Kerio Connect Client(Fat Client) für Windows zur Installation angeboten. Beide Clients zielen auf Anwender, welche kein Microsoft Outlook im Unternehmen einsetzen wollen, trotzdem auf Features wie Notification und native Mailclient nicht verzichten wollen.

Der Bayesian Anti-Spam Filter erhält die Möglichkeit des clientbasierten Tagging zurück, sodaß jetzt Kerio Anti-Spam und Bayesian Filtering eine optimalere Einstufung auf Spam-Merkmale ermöglichen.

Apple iPhones werden mit einer einfacheren Integration der Mail-App Spark belohnt, die Synchronisation von Mials und Kalender funktionieren jetzt wieder per Push-Synchronisation.

ab sofort supportet: macOS Sierra, iOS 10, Android 7, Safari 10

nicht mehr supportet: Microsoft Internet Explorer 10

weiterlesen...
TYPO3  -   Michael Kaufmann  -   29.10.2016  -   Tags: Penetration Testing, Pentest, Content Management System, CMS, Wordpress


Einschätzung des Sicherheitslevels einer Installation des Content Management Systems Wordpress

Wordpress ist als einfach zu installierendes Content Management System bekannt und wird meist von kleinen Werbe-Agenturen oder Privatpersonen implementiert, die wenig oder kein eigenes KnowHow in Programmierung und Systemsicherheit haben und kein Budget für die laufende Systemwartung und Updates vorhanden ist. Die meisten Installationen werden nach Übergabe an den Kunden nie wieder gepatcht und sind in einem hochgradig unsicheren Zustand.

Die bestehende Installation eines Content Management Systems bei Übernahme des Kunden objektiv zu beurteilen ist mitunter nur begrenzt und mit viel Aufwand möglich.

Es ist zu prüfen, welches Patchlevel das CMS-Basissystem, welche Versionierung einzelne Erweiterungen/Extensions haben und welcher Anteil davon per Extension Hook modifiziert ist.
Zudem muß man gegenüber dem Kunden dokumentieren, wie 'clean' die Installation, bzw. ob diese möglicherweise infiziert ist. Nur wenn alle Parameter passen und die CMS-Basis noch ausreichend Long Term Support(LTS) des Herstellers besitzt, macht es Sinn, mit einer bestehenden Installation weiterzuarbeiten.
Eine solche Einschätzung ist sehr aufwändig und subjektiv. Es werden Compares gegen eine Clean Install gefahren, sowohl auf Datei-Ebene als auch in der Datenbank.

Als gutes Pentesting Tool nutzen wir das Ruby Skript WPscan. Mit Vulnerability Checks auf Sicherheitslücken/Schwachstellen in der Basisinstallation und allen installierten Modulen in Wordpress läßt sich dieser Penetration Test vollautomatisch ausführen und bringt ein belastbares Ergebnis auf derzeit bekannte Angriffsszenarien.

WPscan gibt es als Modul für die aktuelle KALI Distribution
tools.kali.org/web-applications/wpscan

oder man installiert sich Ruby in seine Linux-Distribution und lädt sich dann WPscan
wpscan.org
aus vom Hersteller.

Sie haben einen Internet-Auftritt mit einer infizierten Wordpress Installation? Gern prüfen wir diese und erstellen ein Angebot zur Bereinigung/Migration auf TYPO3!

WPscan Wordpress Vulnerability Scanner
weiterlesen...