Win7: VSE2013, Firefox,Sandboxie

22/01/2015 - 13:22 von ha | Report spam
Hallo

Tut mir leid, wenn meine folgenden Erklàrungen ausschweifend
erscheinen, aber ich muss die relevanten Punkte deutlich
herausstellen ;-)


Es geht um "VisualStudioExpress 2013", Firefox und Sandboxie:

-> Ich starte nur den Firefox in der Sandbox. VisualStudio
làuft außerhalb.

Klicke ich Browserrelevantes aus der IDE heraus an, wird der
Browser, wie bislang immer in Fàllen, wo ein Programm per
Browser ins Netz will, nochmal, AUSSERHALB der Sandbox,
gestartet. Sandboxie meldet dabei lediglich:

SBIE 1301 "Der Prozess "firefox.exe" wurde außerhalb der
Sandbox gestartet"

So soll es sein. Denn ich nutze die freie Version von Sandboxie,
die das zwangsweise Starten über die Sandbox nicht unterstützt.

Rufe ich aber z.b. aus dem Quellcode heraus in der IDE per
F1-Taste eine Information auf, meldet Sandboxie das hier:

SBIE 2205 Dienst nicht implementiert: DDE DATA

-> und die Seite, die VisualStudio aufrufen will, wird im
Firefox der Sandbox geladen.

Hier wird der Browser also auf andere Weise angesprochen.

Normalerweise wissen Programme nicht, das z.b. der Firefox in der
Sandbox làuft, und bewirken daher einen neuen Firefox-Prozess
außerhalb der Sandbox wenn sie einen Browser starten wollen. Das
war bislang immer so.

-> Dann hatte ich, aufmerksam geworden, das hier getestet:

Habe ich den Browser NICHT gestartet, also auch nicht in der
Sandbox, wird er in der IDE per F1-Taste ganz normal AUSSERHALB
von Sandboxie gestartet. So wie es sein soll.



Es ist also prinzipiell möglich, von außerhalb der Sandbox
(VisualStudio lief ja NICHT über die Sandbox) festzustellen, ob
ein bestimmtes Programm in der Sandbox làuft um ihm dann Daten
zu senden.

Meine Frage:

Ist das ein Sicherheitsrisiko, bzw. könnte das eine Angriffs-
grundlage sein ?
 

Lesen sie die antworten

#1 Marcel Mueller
24/01/2015 - 18:38 | Warnen spam
On 22.01.15 13.22, ha wrote:
Rufe ich aber z.b. aus dem Quellcode heraus in der IDE per
F1-Taste eine Information auf, meldet Sandboxie das hier:

SBIE 2205 Dienst nicht implementiert: DDE DATA

-> und die Seite, die VisualStudio aufrufen will, wird im
Firefox der Sandbox geladen.

Hier wird der Browser also auf andere Weise angesprochen.



Exakt, weil er schon làuft.

Normalerweise wissen Programme nicht, das z.b. der Firefox in der
Sandbox làuft, und bewirken daher einen neuen Firefox-Prozess
außerhalb der Sandbox wenn sie einen Browser starten wollen. Das
war bislang immer so.



Programme wissen *niemals* ob FF schon làuft. Woher sollten sie auch
wissen, nach welchem Browser sie suchen sollen. Das macht FF schon selbst.


Es ist also prinzipiell möglich, von außerhalb der Sandbox
(VisualStudio lief ja NICHT über die Sandbox) festzustellen, ob
ein bestimmtes Programm in der Sandbox làuft um ihm dann Daten
zu senden.



1. nein, 2. ja.

Die Kommunikation geht über DDE. Und da das auch die Grundlage der
Zwischenablage ist, haben die meisten Virtualisierungsumgebungen
spezielle Funktionen, um diese Zugriffe durchzureichen.
Und genau das ist auch der Punkt. FF versucht normalerweise immer zuerst
den Aufruf an eine bereits laufende Instanz seiner selbst zu delegieren.
Erst wenn das fehl schlàgt, startet er. Schlicht und ergreifend deshalb,
weil sich zwei FF-Instanzen kein gemeinsames Profilverzeichnis des Users
teilen können. (IE hat diese Restriktion nicht.)


Ist das ein Sicherheitsrisiko, bzw. könnte das eine Angriffs-
grundlage sein ?



Ja. Ein Programm kann im Zusammenhang mit DDE Sicherheitslücken
aufweisen und damit von allen Programmen, die selbiges über DDE
erreichen können, kompromittiert werden. Normalerweise sind das nur
Programme auf demselben System, die sowieso dieselben Rechte haben -
wenig spannend. Im Fall von Virtualisierungsumgebungen oder
Remote-Desktop Verbindungen können es über die DDE-Bridge aber auch
Programme anderer Systeme sein. Damit kann man unter Umstànden aus einer
Virtualisierungsumgebung ausbrechen, nachdem man selbige kompromittiert hat.


Marcel

Ähnliche fragen