Bundesamt für Sicherheit in der Informationstechnik

G 4.81 Erweiterte Rechte durch Programmdialoge auf Terminalservern

Sichere Konfigurationen von Terminalservern sehen zumeist einen restriktiven Zugriff vor. Hierzu dürfen nur bestimmte Anwendungen, die in einer Positivliste (Whitelist) aufgeführt sind, dem Benutzer angeboten und gestartet werden. Der Zugriff auf den gesamten Desktop, der eine Vielzahl von Start- und Interaktionsmöglichkeiten von und mit Anwendungen erlaubt, wird in der Regel unterbunden. Häufig lassen sich jedoch über Programmdialoge in freigegebenen Anwendungen weitere Applikationen starten und Lese- wie Schreibberechtigungen ausdehnen.

Unerlaubte Dateizugriffe

Besonders Dialoge, in denen Dateien geöffnet und gespeichert werden können, sind exponierte Angriffspunkte, um auf ungesicherte Verzeichnisse und Laufwerke des Terminalservers zu gelangen. Ohne besondere Vorkehrungen sind beispielsweise die Benutzer bei auf Windows basierenden Lösungen in der Lage, auf das eigentlich verborgene Laufwerk M zuzugreifen, das das Betriebssystem beherbergt. Bei Unix-basierten Lösungen kann ebenfalls ohne ein entsprechendes Rechtekonzepte auf alle Ressourcen innerhalb des Verzeichnisbaums zugegriffen werden. Auch vermeintlich ungefährdete Dialoge, wie Hilfefunktionen, Druckdialoge etc., können Menüpunkte enthalten, die ein Ausspähen des Terminalservers ermöglichen.

Directory Traversal

Über den "Verzeichnis übergreifenden Zugriff" (Directory Traversal) kann gegebenenfalls in übergeordnete Dateiordner gewechselt werden. Hierfür können beispielsweise die üblichen Schaltflächen zur Navigation durch die Verzeichnisstruktur genutzt werden. Sind diese durch den Systemadministrator deaktiviert worden, kann der Schutz durch die direkte Eingabe von Zeichenketten, wie z. B. "../" auf Unixsystemen oder "..\" unter Windows, umgangen werden.

Uniform Ressource Identifier

Uniform Ressource Identifier (URI) identifizieren virtuelle sowie physische Ressourcen und verknüpfen so lokale oder auf einem Server bereitgestellte Dateien mit lokal installierten Anwendungen. Wird ein URI angeklickt, wird die angegebene Datei mit der vorher festgelegten Anwendung geöffnet. Hierdurch kann der Anwender unter Umständen direkt auf die Datei zugreifen, in deren Verzeichnis er sonst nicht wechseln darf. Das genaue Verzeichnis, in dem sich die festgelegte Applikation befindet, muss der Anwender ebenfalls nicht kennen und kann so eventuell auf Anwendungen zugreifen, auf die er nicht zugreifen darf.

Neben den ursprünglich für Browser definierten URI-Typen http:// und ftp:// existieren inzwischen zahlreiche weitere Typen, deren Verwendung nicht mehr nur auf Dialoge in Internetanwendungen beschränkt ist. Eine aktuelle Übersicht pflegt die Internet Assigned Numbers Authority (IANA) gemäß der RFC 4395. Überdies registrieren einige Programme eigene URI, die noch nicht Bestandteil des Standards sind.

Beispiele für weitere häufig registrierte URI sind:

  • file://
    Erlaubt den Zugriff auf das lokale Dateisystem
  • tftp://
    Trivial File Transfer Protocol, gestattet gegebenenfalls den Dateizugriff eingebettete Systeme wie Router, Drucker etc.
  • mailto://
    Startet das im System als Standard registrierte E-Mail-Programm
  • telnet://
    Startet eine Telnet-Applikation
  • nfs://
    Network File System Protocol, Zugriff auf NFS-Dateiserver
  • skype://, callto://
    Verknüpfung mit Voice-Over-IP Anwendungen

Stand: 12. EL Stand 2011