Trojaner in Office X

Dieses Thema im Forum "Hardware" wurde erstellt von Thomas Treyer, 30. Dezember 2001.

  1. Thomas Treyer

    Thomas Treyer New Member

    Hallo,

    wenn man zwei Macs mit OS X und mindestens einmal Office X hat, kann man ein interessantes Experiment machen:
    1. Beide Macs starten und an gleiches Ethernet anschliessen.
    2. Mit "Network Utility" von Mac A einen Portscan auf den Mac B machen.
    3. Die offenen Ports notieren.
    4. Auf Mac B eines der Office-Programme (z.B. Word) starten.
    5. Noch einmal den Portscan machen.
    6. Einen zusätzlichen Port bewundern.

    Nach meinen Erfahrungen öffnet jedes der Office-Programme einen eigenen Port. MS geht dabei sehr konspirativ vor, es wird niemals der gleiche Port verwendet. Die Ports lagen bei allen Experimenten zwischen 3000 und 3999, aber das kann an einem anderen Tag auch anders sein.

    Ein offener Port bedeutet, dass MS auf dem MAC einen Server installiert hat, der irgendwelche Anfragen aus dem Netz beantworten soll. Aber was sind das für Abfragen? Die Doku von MS schweigt sich dazu aus. Selbst wenn die Abfragen harmlos sein sollten, geht man das Risiko ein, dass MS diese Serverprogramme schlecht programmiert hat und einem Angriff Tür und Tor geöffnet wird.

    Hat einer von euch eine Vermutung, was MS mit diesen offenen Ports vorhat? Mir fällt einfach keine harmlose Erklärung ein, aber vielleicht liegt das auch an meiner MS-Phobie.

    Thomas
     
  2. MILE

    MILE New Member

    ip-up' file prevents the Office X apps doing whatever it is they do that makes them so slow to quit.
    --------------------------------------------------------------------------------------

    Keine Ahnung, ob das mit dem von dir beschriebenen "Phänomen" zusammenhängt, aber interessant ist es allemal...

    ciao, MILE
     
  3. hakru

    hakru New Member

    s nur passiv wäre, bleiben Anfragen von aussen in 'ner richtig konfigurierten Firewall hängen.
    Deine Einschätzung zur Anfälligkeit gegen "exploits" dieses OfficeX feature teile ich. MS hat sich da ja nicht immer mit Ruhm bekleckert!

    hakru
     
  4. benz

    benz New Member

    Mensch! Da kann man direkt ein Drehbuch draus machen... Ich werde das heute Abend mal durchspielen, sobald der zweite Mac frei ist.

    Bin interessiert an neuen Erkenntnissen.

    Gruss benz
     
  5. Wolli

    Wolli New Member

    ich versteh zu wenig davon, dass ich dir da genau antwort geben könnte.

    doch ich weiss da was, was damit zu tun haben könnte... ich dachte eigentlich, dass das in der mac-version nicht integriert ist, doch man weiss ja nie.

    zum mindesten die windows-version von office (office xp) hat ein super feature... (ich weiss nicht, ob das ganze office oder nur word).

    wenn zb. word abstürzt, schickt word automatisch ein fehlerprotokoll an microsoft. das wäre ja eigentlich ganz gut. schliesslich könnte sich M$ so gut weiterentwickeln...
    doch der hammer daran ist: bei der übertragung des fehlerprotokolls wird automatisch auch das dokument an dem man gerade gearbeitet hat mitgeschickt...
    billy ist und bleibt also ein verdammter spion...
     
  6. benz

    benz New Member

    Hallo zusammen

    Ich habe den von Thomas beschriebenen Vorgang wiederholt und das selbe feststellen können. Jedes MS-Office v. X -Programm eröffnet für sich einen Port mit einer Nummer zwischen 3000 und 3999. Bei jedem Programmstart wird eine neue Nummer gewählt. Wenn mehrere MS-Programme gestartet werden, nimmt sich jedes Programm einen seperaten Port.

    Bisher konnte ich nicht feststellen, dass ein MS-Programm ungewöhnlich lange braucht, um es zu beenden. Benutze dauernd einen DSL-Anschluss, bin also dauernd online.
    Ich denke nicht, dass ein Datenfluss nach aussen stattfand. Dies müsste aber mit einem zusätzlichen Programm abgeklärt werden. Mir wäre das von Wolli beschriebenen Szenarium sehr unangenehm. Meine Kochrezepte gehen Billy nichts an...
     
  7. zwoelf11_

    zwoelf11_ New Member

    src port <derport> AND dst port <derport>'
    das ne weile laufen lassen, und dann ein
    cat DUMP | strings

    zur not man tcpdump ;o)

    und netstat ist auch immer fein, da kannst du schaun, wer auf deinen rechner connecten sollte

    viel spass beim jagen, ich würd ja mitmachen, doch ich hab kein office x =))
     
  8. Thomas Treyer

    Thomas Treyer New Member

    Vielen Dank für die Antworten.

    @MILE:
    Das Entourage-Problem und mein Experiment hängen ja wohl dicht zusammen. In deiner Anleitung taucht auch der Portnummernbereich 3000-4000 auf. Ich vermute, dass Entourage-User, die beim Quit lange warten müssen, wohl einen "Client" an ihrem "Server" hängen haben, der Rechenzeit belegt und sich noch etwas dem "Logout" widersetzt. Jetzt ist meine Neugier noch mehr gestiegen: Was macht MS da? Wollen die etwa Rechenzeit auf Macs nutzen, um außerirdische Lebensformen aus Datenströmen herauszufiltern?
    Der von dir zitierte Fix besteht darin, die fraglichen Ports zu schließen. Das scheint wohl vernünftig zu sein.

    @Wolli
    Bei diesen offenen Ports geht es nicht darum, dass MS Daten aus dem Mac heraus verschickt, denn dazu braucht man keine offenen Ports. Die offenen Ports weisen darauf hin, dass MS Daten oder Befehle in den Mac hineinlässt. Aber wozu?

    @Benz
    Danke für die unabhängige Bestätigung.

    @zwelf11
    Für die Kommunikation von thread zu thread müsste doch der Weg über localhost gehen. Der Portscan zeigt aber, dass die Ports am Ethernet (Gerät 0 oder 1) offen sind.
    Die Sache mit dem tcpdump werde ich einmal testen. Danke für den Tipp.

    Thomas (Das Rätselraten geht weiter...)
     
  9. zwoelf11_

    zwoelf11_ New Member

    1. *huch*
    <TT>/sbin/ipfw add 10000 deny tcp from $myip 49000-50000 to $myip 3000-4000
    out via ppp0</TT>
    dürfte eigentlich überhauptnichts machen: diese rule verhindert verbindungen von MIR zu MIR aber über ppp0. verbindungen from myip to myip müssen eigentlich über lo0 laufen, sonst geht was schief?!

    2. Nein, wenn ich einen Port öffne, sage ich nicht, welches Device ich will. das entscheided das System.
     
  10. RaMa

    RaMa New Member

    &gt;&gt;fehlerprotokoll an microsoft. das wäre ja eigentlich ganz gut. schliesslich könnte sich M$ so gut weiterentwickeln...

    oja, nur toll das da ms gleich alles mitschickt,username, hardware, software usw...

    ra.ma.
     
  11. Thomas Treyer

    Thomas Treyer New Member

    Aber für eine Thread-zu-Thread Kommunikation wäre ein offener Port, der von außen sichtbar ist, doch etwas ungewöhnlich, oder bin ich da schief gewickelt? Das würde doch heißen, dass die interne Kommunikation in einem Rechner via Localhost von außen gestört werden könnte, und ich dachte immer, Localhost wäre dazu gemacht, genau das zu verhindern? Und überhaupt, wozu TCP, wenn es um eine interne Kommunikation geht? Oder dachte der Programmierer, über localhost könnte es Paketverluste geben?

    Andererseits wäre es eine schöne, harmlose Erklärung.

    Thomas
     
  12. zwoelf11_

    zwoelf11_ New Member

    ich bin auch noch nicht so fit in "inter-application-communication", drum habe ich einmal selber über so eine lösung nachgedacht.
    Wenn man TCP/IP verwendet ist das interface/device wiegesagt egal, das wird dann entschieden.
    Und über TCP Sockets könnte zB Word super was an Excel weitergeben (ich würd es, wenns schnell gehen müsste, und ich kein bock hab mich zu belesen (also wie M$) es auch so machen)
    Theoretisch könnte man diese "unterhaltung" von aussen stören, aber sicherlich erwartet der ein "handshake" á la "Hi, ich bin Word, ich will was von dir!" - "Find ich kuhl, ich bin Excel!" - "Supi. Dann los!" und ein eigenes protokoll, was bis auf microsoft entwickler niemand kennt (und kennen will)
    Paketverlust ist über TCP nicht möglich. Darum nimmt man ja auch TCP und nicht UDP, ausser dort, wo es egal ist (Bei Quake zB)

    Und wie gesagt, die firewall regel macht null sinn. sie blockiert nur die kommunikation innerhalb des rechners, von aussen darf man laut ihr trotzdem drauf.

    übrigens: ein netstat enthüllt, das eine menge connectionen vom localhost zum localhost laufen. wahrscheinlich einfach nur um daten auszutauschen (ist ja auch ne recht gute möglichkeit):<TT>
    tcp 0 0 127.0.0.1.1033 127.0.0.1.893 ESTABLISHED
    tcp 0 0 127.0.0.1.893 127.0.0.1.1033 ESTABLISHED
    tcp 0 0 127.0.0.1.1033 127.0.0.1.829 ESTABLISHED
    tcp 0 0 127.0.0.1.829 127.0.0.1.1033 ESTABLISHED</TT>
    und das sind doch nicht wirklich alles trojaner, oder? :eek:)
     
  13. zwoelf11_

    zwoelf11_ New Member

    src port 1033 or dst port 1033'</TT>
    wobei 1033 ersetzt werden sollte durch den entsprechenden port.
    das legt eine datei "TEST" an, die man mit
    <TT>sudo cat TEST | strings</TT> liesst.
    komischerweise muss man seit OSX10.1 bei tcpdump das interface mit angeben.

    1033 scheint übrigens zur kommunikation von/mit der NetInfo zu sein. zumindest rate ich das mal so ins blaue.
     
  14. Thomas Treyer

    Thomas Treyer New Member

    Hallo zwoelf11,

    ich glaube, du hast recht. Vermutlich ist es eine reine localhost-Geschichte. Allerdings halte ich es für einen Programmierfehler, die Kommunikation zweier Programme auf einem Mac so durchzuführen. Das Risiko ist doch sehr groß, dass irgendeine Netztätigkeit mit dem MS-Protokoll interferiert, was ja anscheinend bei manchen Entourage-Nutzern auch passiert.
    Auf alle Fälle werde ich mich mal mit tcpDump befassen, um deine Tipps nutzen zu können.

    Thomas
     
  15. MILE

    MILE New Member

    Auch wenn das, was ihr mittlerweile hier von euch gebt, für mich böhmische Dörfer sind, habe ich Thomas' kleines "Experiment" mal in der Entourage-Newgroup angesprochen...

    Naja, während der Feiertage ist auch dort wenig los...aber zumindest einer der "Experten" dort hat dazu Stellung genommen:

    "This is a piracy control, to keep you from buying one copy of Office and
    installing it on two Macs. If both Copies of Office were installed with the
    same CD key, then the second copy of office that you try to open will not
    open.

    Each copy opens up a UDP for listening, and transmits on a TCP."

    Vielleicht macht das euch irgendwie schlauer...mich jedenfalls nicht...! ;+)

    ciao, MILE
     
  16. zwoelf11_

    zwoelf11_ New Member

    wär ja aber sehr albern von microsoft.
    ein kleiner perl skript, der die ports rausfindet und sperrt. pumpe. kein piracy control.
    die ham immer komische ideen bei M$...
     
  17. mats

    mats New Member

    Sowas habe ich mir gedacht. Office schaut über das Netzwerk, ob noch andere Office-Programme installiert sind, für die man keine Lizenz hat. Ist das so, so lässt sich das andere Programm nicht starten. Damit wird der Software-Piraterie entgegengewirkt.
    Nicht ganz sauber ist es schon-und v.a. nutzlos, wenn man die Ports einfach schliesst.
     
  18. tazmandevil

    tazmandevil New Member

    bleibt allerdings immer noch die Frage, ob nicht Version "A":
    (Fehlerbeschreibung inklusive Dokument und Benutzerdaten)
    nachwievor an M$ geschickt werden, im Falle eines (für M$) "unerwarteten" Programm-Ende!
    oder nur Version "B":
    (Duplikat-Schutz)
    oder beides?
    oder doch was anderes?

    In einem Interview mit M$ Leuten bezüglich Office X war jedenfalls die REde davon, dass sie ebenso wie bei WinXP einen 50stelligen Sicherheitscode inklusive Anschrift zur Freischaltung integrieren wollen und schon gemacht hätten, wenn sie genug "Zeit" gehabt hätten, bei der Entwicklung von Office X.
     
  19. benz

    benz New Member

    Ich habe das durchgespielt... Meine zwei Powerbook habe ich vernetzt. Anschliessend startete ich auf beiden Arbeitsplätzen Excel. Tatsächlich erhalte ich die Meldung, das das Programm nicht gestartet wird, weil Benutzer XY, bereits das Programm Excel verwendet und aus lizenzrechtlichen Gründen... bla bla bla. Das gleiche konnte ich bei allen anderen Office-Programme feststellen.

    Ist diese Port-Geschichte also nur ein simpler MS-Kopierschutz? Das denen nichts besseres einfällt! :)

    Welche Folgen hat es, wenn ich alle Ports zwischen 3000 und 3999 schliesse? Ich würde nämlich gerne auf je zwei vernetzten Arbeitsstationen gleichzeitig mit Word arbeiten. Auf dem einen Rechner könnte ich das Drehbuch weiterschreiben und auf dem anderen ein Kochrezept suchen und ausdrucken, ohne mühsam Fenster wechseln zu müssen ;-)

    Gruss benz

    PS: Allen einen guten Rutsch ins neue Jahr!
     
  20. macmanne

    macmanne New Member

    ist doch bei photoshop genauso? wenn wir bei uns in der firma zweimal die gleiche photoshop versions nummer benutzen, meldet sich der rechner "ähh!! photoshop wird schon benutzt!" apple talk aus, samba pc server. meiner meinung war das auch schon vor zehn jahren so, irgendwie kommunizieren die auf einer sehr niedrigen eben miteinander&
     

Diese Seite empfehlen