News Sicherheits-Software: Microsoft Defender ATP schützt jetzt auch Linux

[Serana]

@MountWalker
Du kannst das ganze doch einfach selbst testen.

Lege ein Skript mit dem Namen sudo an das irgendeinen harmlosen Text ausgibt und mache es ausführbar. Dann platziere es in #/home/<Nutzer>/.bin und teste aus was passiert wenn du in einem frisch eröffneten Terminal sudo eingibst. Wenn das noch nicht das falsche sudo-Kommando ausführt passe die Path-Variable natürlich unter Nutzerrechten entsprechend an #PATH="$HOME/.bin:$PATH". Wenn das System jetzt das falsche sudo-Kommando ausführt ist es mit dem beschriebenen Verfahren prinzipiell angreifbar. Und das alles brauchte nicht einmal root-Rechte.

 

[pmkrefeld]

Prinzipiell ist ein Schutz gegen diese Art des Angriffes natürlich durchaus denkbar.

Ja, in dem man normalen Benutzern Sudo einfach verbietet?
Willst du root-Rechte dann melde dich gefälligst mit einem entsprechendem User an, problem gelöst.

Was Linux bis jetzt noch schützt ist die geringe Verbreitung.

Welche geringe Verbreitung?
Die allermeisten Server laufen mit Linux, Windows und andere sind nicht einmal nah dran.
Oder meinst du die geringe Verbreitung von Android dass auf Linux basiert?

Je weiter sich Linux auf dem Desktop verbreitet desto mehr gleicht sich diese Situation (leider nicht zum positiven) an.

Auch wenn ich wirklich super fände, das wird nicht passieren.
Und selbst dann wären es andere Angriffsvektoren die für Angriffe auf Server um die es in dem Artikel geht nutzlos gewesen wären.

Ergänzung (25. Juni 2020)

Und das alles brauchte nicht einmal root-Rechte.

Dafür aber einen Benutzer der es hinkriegt ein ausführbares sudo Skript in seinem Home-Verzeichnis anzulegen und nicht erkennen kann was daran problematisch ist, dafür aber Sudo-Rechte hat.
Scheint mir, vor allem im Enterprise-Bereich, extrem unwahrscheinlich.

 

[MountWalker]

@ Serana

Hast du deine Ordnerangabe mit Absicht mit "#" also root geschrieben? Ich müsste doch in $HOME/.bin/ Und um die Pfadvariable von "sudo" darauf umzulinken müsste ich sie vom echten sudo entfernen. Letzteres ist eine System-Pfad-Variable - und die kann ich ohne sudo aufzurufen ändern? Ich will mich jetzt nicht an einem Linux-System anmelden um das durchzuspielen, weil ich dafür heute keine Zeit habe. Vielleicht mache ich das morgen. Aber was ihr hier an Anfälligkeit beschreibt, wäre so lächerlich einfach, dass es unwahrscheinlich bleibt, dass Red Hat und Suse Enterprise ein solches Scheunentor offenlassen.

 

[Serana]

Hast du deine Ordnerangabe mit Absicht mit "#" also Root geschrieben?

Die Raute ist in Shell-Skripten das Kommentarzeichen. Diese Sitte sollte früher auf der einen Seite verhindern, daß Befehlszeilen irrtümlich ausgeführt werden und zum anderen deutlich machen wo der Pfad oder jeweilige Befehl denn nun eigentlich beginnt. Wobei man sich in früheren Zeiten auch erspart hat in Befehlszeilen das heute übliche sudo mit hinzuschreiben. Es wurde nur gegebenenfalls dazugeschrieben ob eine Befehlszeile root-Rechte braucht. Wie man einen Befehl als root absetzt (und welche Befehle zwingend als root abgesetzt werden müssen) wurde als bekannt vorausgesetzt.

Übrigens @MountWalker , wenn du einen Nutzer direkt ansprechen willst, dann solltest du das Leerzeichen zwischen @ und Nutzernamen weg lassen. Dann wird man nämlich auch von der Forensoftware benachrichtigt das man von jemandem direkt angesprochen wurde.

Scheint mir, vor allem im Enterprise-Bereich, extrem unwahrscheinlich.

Mag ja sein, daß die Wahrscheinlichkeit, daß ein Linux-Admin im Enterprise-Bereich weiß was er tut relativ hoch ist, aber die Welt besteht nicht nur aus Enterprise. Es wird leider allzu oft vor allem im Privatbereich so getan als wäre Linux so eine Art magisches Schutzamulett das einen unangreifbar macht. Dabei dürften die meisten erfolgreichen Angriffe auf simple menschliche Dummheit zurückzuführen sein. Und davor bietet leider auch Linux keinen Schutz.

 

[pmkrefeld]

aber die Welt besteht nicht nur aus Enterprise.

Aber hier geht es doch um Enterprise und eben nicht Endanwendersysteme

 

[Serana]

Ja, MS Defender ATP wurde für den Enterprise-Bereich entwickelt. Aber überlegen wir doch mal zum Thema Angreifbarkeit von Systemen. Wieviele Windows-Nutzer im Unternehmensbereich haben Adminrechte auf ihrer "eigenen" Maschine? Sei es weil es "schon immer so war" oder weil der eigentliche Administrator sich Arbeit sparen will. Je weiter sich nun Linux auch auf dem Unternehmensdesktop verbreitet desto attraktiver wird die Plattform für Schadsoftware und umso wahrscheinlicher wird es, daß auch Nutzer die auf alles klicken was nicht bei drei auf dem Baum sitzt eine Linux-Kiste vor sich haben.

Es wäre naiv anzunehmen, daß die unsägliche Windows-Praxis einfachen Nutzern auf "ihren" Maschinen Adminrechte zu geben nicht irgendwann auch in die Linux-Welt überschwappt. Und da kommen wir dann zu sudo und den eventuellen Angriffen darauf. Linux wurde eigentlich für Nutzer gemacht die wissen was sie tun. Nutzer vor sich selbst und ihrer eigenen Dummheit zu schützen war meiner Ansicht nach niemals ein Designziel.

 

[MountWalker]

Natürlich haben Heimcomputernutzer Adminrechte auf ihren Systemen, aber meine entscheidende Frage steht immernoch im Raum, weil ich heute keine Zeit habe mich auf einem privaten Linux-System anzumelden um das selber auszuprobieren. Die entscheidende Frage ist, ob ich den Pfadaufruf einer Systemvariable wie sudo erfolgreich auf eine Datei in meinem Home-Verzeichnis umlenken kann ohne dafür explizit erstmal dieses Pfadänderscript schon mit sudo aufrufen zu müssen. Wenn ich letzteres muss, dann ist es nicht triviale REechteerhöhung sondern Social Engineering und in einem solchen Fall kann nichts und nimandces Superüberwachungssoftware einen zuverlässigen Schutz bieten.

Ergänzung (25. Juni 2020)

P.S.
Und wenn die Umlenkung des sudo-Befehls auf eine Datei in meinem Home-Verzeichnis ohne sudo-Rechte möglich wäre, wäre das ja auch mit su der Fall und das wäre dann noch einfacher zu scripten, weil ein su-Fake-Script nicht noch damit umgehen müsste, dass dahinter noch ein Haufen Variablen eines vom Admin beabsichtigten Kommandos folgen.

 

[Autokiller677]

Jein. Sie machen es halt munter dort, wo es ihnen grad gefällt. Ich meine aber, dass die auch schon was auf Git posten. Gab irgendwo mal nen Link wer wieviel Input zur Kernel-Entwicklung jedes Jahr beisteuert. Da sind Microsoft und sogar auch Apple weiter vorne als man annehmen würde.

Z.b. haben'se doch auch voll funktionsfähige Treiber für den XBox Transciever veröffentlicht und zum Kernel beigesteuert, wenn ich das richtig auf dem Schirm habe.

Kannst unter Linux mittlerweile bis 4 Xbox Controller gleichzeitig pairen ohne irgendwelche Zusatztools, ohne Probleme.

Spoiler

With the addition of these three people, Microsoft now employs 12 Linux kernel contributors. As for what these engineers are doing, Linux kernel maintainer Greg Kroah-Hartman says, “Microsoft now has developers contributing to various core areas of the kernel (memory management, core data structures, networking infrastructure), the CIFS filesystem, and of course many contributions to make Linux work better on its Hyper-V systems.”

Office auf der anderen Seite fehlt seit Jahren. Da programmieren sie lieber grad mal schnell die komplette Suite für MacOS (ARM) um.

Stringent sind die in ihrem Umgang mit Linux allgemein daher (noch) nicht wirklich.

Das ist total stringent. Linux auf dem Desktop ist und bleibt total Randerscheinung, und von den Usern ist dann auch noch ein guter Teil ideologisch geprägt und möchte möglichst nur FOSS nutzen, wird sich also sicher kein proprietäres MS Office installieren. Vor allem aber ist Linux auf dem Desktop im Geschäftsbereich quasi nicht existent, und das große Geld verdient MS mit Office und Windows für Unternehmen. MacOS hat auf dem Desktop a) einen höheren Marktanteil als Linux, b) sind die Kunden bereit zu zahlen und c) wird es auch in Firmen breiter eingesetzt. Damit kann man also sinnvoll Geld verdienen.

Und dann schau mal, wo MS sich bei Linux reihängt: Da wo es Geld gibt.

Xbox Controller Treiber für Linux? Valve pusht Gaming unter Linux stark, auf nVidias Shield läuft Linux, die Switch benutzt teilweise Android Software, und Android TV auf vielen Fernsehern und Streaming Boxen ist auch Linux.
Im Gaming Bereich - insbesondere "Casual mit dem Controller auf der Couch" - Gaming Linux nicht zu unterstützen kostet einfach Geld.

Und die Beiträge zum Linux Kernel sind noch klarer zu begründen: Das ganz große Geld liegt aktuell in der Cloud. Und da ist mit Windows Server halt nicht so viel zu wollen. Einerseits bei der Administration der Cloud (Azure), da haben sie sogar ihre eigene Distro intern: https://azure.microsoft.com/en-us/blog/microsoft-showcases-the-azure-cloud-switch-acs/?cdn=disable
Aber auch die allermeisten Kunden haben mindestens gemischte Umgebungen in der Cloud, wenn nicht sogar nur Linux. Wenn man da Linux nicht ordentlich in Azure laufen lassen kann, gehen die Kunden mit dem Geld halt zu Amazon.

An Linux führt da kein Weg vorbei. Mich würde es nichtmal wundern, wenn MS mehr Linux- als Windows Rechner laufen hat, wenn man alle Server in Azure mitzählt.

Also ganz einfach: MS entwickelt da für Linux, wo es Geld bringt.

 

[Fred_VIE]

@Fred_VIE Viel Spaß, dann stell mal einen Konzern mit > 10.000 Mitarbeitern auf Linux um und erkläre das auch gleichzeitig Microsoft zum Thema Lizenzmanagement und natürlich auch Deinen Kunden und Stakeholdern, have fun.

....und was soll das damit zu tun haben Linux mit dem Defender zu verwenden?

 

[t3chn0]

@Fred_VIE

vielleicht solltest Du alles lesen. Hier wurde davon gesprochen, dass Microsoft Spionageprodukte vertreibt und man deshalb eh auf Linux umstellen sollte.

Darauf habe ich geantwortet.

 

[Hayda Ministral]

Für Visual Studio Code gibt es doch auch schon seit längerem ein offizielles Debian-Repository.

VS Code passt tatsächlich. Dafür wird Debian offiziell als Zielplattform genannt, im Gegensatz beispielsweise zu MSSQL dass es zwar als .deb gibt, bei dem aber Debian keine unterstützte Plattform ist.

 

[cgs]

Linux auf dem Desktop ist und bleibt total Randerscheinung, und von den Usern ist dann auch noch ein guter Teil ideologisch geprägt und möchte möglichst nur FOSS nutzen, wird sich also sicher kein proprietäres MS Office installieren. Vor allem aber ist Linux auf dem Desktop im Geschäftsbereich quasi nicht existent, und das große Geld verdient MS mit Office und Windows für Unternehmen. MacOS hat auf dem Desktop a) einen höheren Marktanteil als Linux, b) sind die Kunden bereit zu zahlen und c) wird es auch in Firmen breiter eingesetzt. Damit kann man also sinnvoll Geld verdienen.

Und dann schau mal, wo MS sich bei Linux reihängt: Da wo es Geld gibt.

Xbox Controller Treiber für Linux? Valve pusht Gaming unter Linux stark, auf nVidias Shield läuft Linux, die Switch benutzt teilweise Android Software, und Android TV auf vielen Fernsehern und Streaming Boxen ist auch Linux.
Im Gaming Bereich - insbesondere "Casual mit dem Controller auf der Couch" - Gaming Linux nicht zu unterstützen kostet einfach Geld.

Und die Beiträge zum Linux Kernel sind noch klarer zu begründen: Das ganz große Geld liegt aktuell in der Cloud. Und da ist mit Windows Server halt nicht so viel zu wollen. Einerseits bei der Administration der Cloud (Azure), da haben sie sogar ihre eigene Distro intern: https://azure.microsoft.com/en-us/blog/microsoft-showcases-the-azure-cloud-switch-acs/?cdn=disable
Aber auch die allermeisten Kunden haben mindestens gemischte Umgebungen in der Cloud, wenn nicht sogar nur Linux. Wenn man da Linux nicht ordentlich in Azure laufen lassen kann, gehen die Kunden mit dem Geld halt zu Amazon.

An Linux führt da kein Weg vorbei. Mich würde es nichtmal wundern, wenn MS mehr Linux- als Windows Rechner laufen hat, wenn man alle Server in Azure mitzählt.

Also ganz einfach: MS entwickelt da für Linux, wo es Geld bringt.

Also wir haben MS als Terminal zu Linux Servern. Aber MS braucht es eigentlich nur für Office und Outlook und so. Ist also überflüssig.

 

[Fred_VIE]

@Fred_VIE

vielleicht solltest Du alles lesen. Hier wurde davon gesprochen, dass Microsoft Spionageprodukte vertreibt und man deshalb eh auf Linux umstellen sollte.

Darauf habe ich geantwortet.

Ich habe deine Antwort an mich gelesen, was interessiert mich der Rest?

 

[t3chn0]

Und Dein Ansatz ist, auf Microsoft Defender ATP zu verzichten und direkt auf Linux umzusteigen?

 

[MountWalker]

@Serana
Also ich habs jetzt auf einem Testkonto auf einem aktuell gepatchten Fedora 32 probiert und der Trick funktioniert tatsächlich unabhängig davon, wie weit man das Kommando hinter sudo erweitert (ich hab sudo dnf install transmission eingetippt) und ohne, dass dafür jemals sudo-Rechte abgefragt werden. Da ist die UAC von Windows sicherer, weil sich dieses Problem für Rechteerhöhung bei einer Drive-By-Attacke ausbeuten lässt. Sobald ein Prozess eine Datei im Benutzerbereich anlegen und ausführbar machen kann, kann er das Passwort dieses sudoer-Benutzers erbeuten. Das ist wirklich ein ziemliches Scheunentor für die Verwendung als Heimcomputer-System.

Interessanterweise geht das nur mit dem sudo-Befehl. Mit su funktioniert das nicht, da ruft der Befehl su immer trotzdem das originale su auf. Ich wundere mich, warum man das bei su hinbekommt und bei sudo nicht.

 

[Groug]

Ich denke eher nicht, dass irgendeine Linux-Distribution eine Konkurrenz für ein Microsoft-Betriebssystem ist.

Stimmt, wenn man alle M$ Server aus dem Internet nimmt fällt das fast keinem auf. Nimmt man alle Linux und BSD Server raus existiert das Internet nicht mehr

 

[bluedxca93]

Linux Server könnten einen guten Virenscanner gebrauchen, nicht weil Linux selbst besonders gefährdet ist, sondern um andere Windows und Macintosh Rechner vor dem installieren von Viren zu bewahren.

Allerdings braucht es dazu kein M$.