Trojaner in Office X

Hallo,

wenn man zwei Macs mit OS X und mindestens einmal Office X hat, kann man ein interessantes Experiment machen:
1. Beide Macs starten und an gleiches Ethernet anschliessen.
2. Mit "Network Utility" von Mac A einen Portscan auf den Mac B machen.
3. Die offenen Ports notieren.
4. Auf Mac B eines der Office-Programme (z.B. Word) starten.
5. Noch einmal den Portscan machen.
6. Einen zusätzlichen Port bewundern.

Nach meinen Erfahrungen öffnet jedes der Office-Programme einen eigenen Port. MS geht dabei sehr konspirativ vor, es wird niemals der gleiche Port verwendet. Die Ports lagen bei allen Experimenten zwischen 3000 und 3999, aber das kann an einem anderen Tag auch anders sein.

Ein offener Port bedeutet, dass MS auf dem MAC einen Server installiert hat, der irgendwelche Anfragen aus dem Netz beantworten soll. Aber was sind das für Abfragen? Die Doku von MS schweigt sich dazu aus. Selbst wenn die Abfragen harmlos sein sollten, geht man das Risiko ein, dass MS diese Serverprogramme schlecht programmiert hat und einem Angriff Tür und Tor geöffnet wird.

Hat einer von euch eine Vermutung, was MS mit diesen offenen Ports vorhat? Mir fällt einfach keine harmlose Erklärung ein, aber vielleicht liegt das auch an meiner MS-Phobie.

Thomas

 

ip-up' file prevents the Office X apps doing whatever it is they do that makes them so slow to quit.
--------------------------------------------------------------------------------------

Keine Ahnung, ob das mit dem von dir beschriebenen "Phänomen" zusammenhängt, aber interessant ist es allemal...

ciao, MILE

 

s nur passiv wäre, bleiben Anfragen von aussen in 'ner richtig konfigurierten Firewall hängen.
Deine Einschätzung zur Anfälligkeit gegen "exploits" dieses OfficeX feature teile ich. MS hat sich da ja nicht immer mit Ruhm bekleckert!

hakru

 

Mensch! Da kann man direkt ein Drehbuch draus machen... Ich werde das heute Abend mal durchspielen, sobald der zweite Mac frei ist.

Bin interessiert an neuen Erkenntnissen.

Gruss benz

 

ich versteh zu wenig davon, dass ich dir da genau antwort geben könnte.

doch ich weiss da was, was damit zu tun haben könnte... ich dachte eigentlich, dass das in der mac-version nicht integriert ist, doch man weiss ja nie.

zum mindesten die windows-version von office (office xp) hat ein super feature... (ich weiss nicht, ob das ganze office oder nur word).

wenn zb. word abstürzt, schickt word automatisch ein fehlerprotokoll an microsoft. das wäre ja eigentlich ganz gut. schliesslich könnte sich M$ so gut weiterentwickeln...
doch der hammer daran ist: bei der übertragung des fehlerprotokolls wird automatisch auch das dokument an dem man gerade gearbeitet hat mitgeschickt...
billy ist und bleibt also ein verdammter spion...

 

Hallo zusammen

Ich habe den von Thomas beschriebenen Vorgang wiederholt und das selbe feststellen können. Jedes MS-Office v. X -Programm eröffnet für sich einen Port mit einer Nummer zwischen 3000 und 3999. Bei jedem Programmstart wird eine neue Nummer gewählt. Wenn mehrere MS-Programme gestartet werden, nimmt sich jedes Programm einen seperaten Port.

Bisher konnte ich nicht feststellen, dass ein MS-Programm ungewöhnlich lange braucht, um es zu beenden. Benutze dauernd einen DSL-Anschluss, bin also dauernd online.
Ich denke nicht, dass ein Datenfluss nach aussen stattfand. Dies müsste aber mit einem zusätzlichen Programm abgeklärt werden. Mir wäre das von Wolli beschriebenen Szenarium sehr unangenehm. Meine Kochrezepte gehen Billy nichts an...

 

src port <derport> AND dst port <derport>'
das ne weile laufen lassen, und dann ein
cat DUMP | strings

zur not man tcpdump ;o)

und netstat ist auch immer fein, da kannst du schaun, wer auf deinen rechner connecten sollte

viel spass beim jagen, ich würd ja mitmachen, doch ich hab kein office x =))

 

Vielen Dank für die Antworten.

@MILE:
Das Entourage-Problem und mein Experiment hängen ja wohl dicht zusammen. In deiner Anleitung taucht auch der Portnummernbereich 3000-4000 auf. Ich vermute, dass Entourage-User, die beim Quit lange warten müssen, wohl einen "Client" an ihrem "Server" hängen haben, der Rechenzeit belegt und sich noch etwas dem "Logout" widersetzt. Jetzt ist meine Neugier noch mehr gestiegen: Was macht MS da? Wollen die etwa Rechenzeit auf Macs nutzen, um außerirdische Lebensformen aus Datenströmen herauszufiltern?
Der von dir zitierte Fix besteht darin, die fraglichen Ports zu schließen. Das scheint wohl vernünftig zu sein.

@Wolli
Bei diesen offenen Ports geht es nicht darum, dass MS Daten aus dem Mac heraus verschickt, denn dazu braucht man keine offenen Ports. Die offenen Ports weisen darauf hin, dass MS Daten oder Befehle in den Mac hineinlässt. Aber wozu?

@Benz
Danke für die unabhängige Bestätigung.

@zwelf11
Für die Kommunikation von thread zu thread müsste doch der Weg über localhost gehen. Der Portscan zeigt aber, dass die Ports am Ethernet (Gerät 0 oder 1) offen sind.
Die Sache mit dem tcpdump werde ich einmal testen. Danke für den Tipp.

Thomas (Das Rätselraten geht weiter...)

 

1. *huch*
<TT>/sbin/ipfw add 10000 deny tcp from $myip 49000-50000 to $myip 3000-4000
out via ppp0</TT>
dürfte eigentlich überhauptnichts machen: diese rule verhindert verbindungen von MIR zu MIR aber über ppp0. verbindungen from myip to myip müssen eigentlich über lo0 laufen, sonst geht was schief?!

2. Nein, wenn ich einen Port öffne, sage ich nicht, welches Device ich will. das entscheided das System.

 

&gt;&gt;fehlerprotokoll an microsoft. das wäre ja eigentlich ganz gut. schliesslich könnte sich M$ so gut weiterentwickeln...

oja, nur toll das da ms gleich alles mitschickt,username, hardware, software usw...

ra.ma.

 

Aber für eine Thread-zu-Thread Kommunikation wäre ein offener Port, der von außen sichtbar ist, doch etwas ungewöhnlich, oder bin ich da schief gewickelt? Das würde doch heißen, dass die interne Kommunikation in einem Rechner via Localhost von außen gestört werden könnte, und ich dachte immer, Localhost wäre dazu gemacht, genau das zu verhindern? Und überhaupt, wozu TCP, wenn es um eine interne Kommunikation geht? Oder dachte der Programmierer, über localhost könnte es Paketverluste geben?

Andererseits wäre es eine schöne, harmlose Erklärung.

Thomas

 

ich bin auch noch nicht so fit in "inter-application-communication", drum habe ich einmal selber über so eine lösung nachgedacht.
Wenn man TCP/IP verwendet ist das interface/device wiegesagt egal, das wird dann entschieden.
Und über TCP Sockets könnte zB Word super was an Excel weitergeben (ich würd es, wenns schnell gehen müsste, und ich kein bock hab mich zu belesen (also wie M$) es auch so machen)
Theoretisch könnte man diese "unterhaltung" von aussen stören, aber sicherlich erwartet der ein "handshake" á la "Hi, ich bin Word, ich will was von dir!" - "Find ich kuhl, ich bin Excel!" - "Supi. Dann los!" und ein eigenes protokoll, was bis auf microsoft entwickler niemand kennt (und kennen will)
Paketverlust ist über TCP nicht möglich. Darum nimmt man ja auch TCP und nicht UDP, ausser dort, wo es egal ist (Bei Quake zB)

Und wie gesagt, die firewall regel macht null sinn. sie blockiert nur die kommunikation innerhalb des rechners, von aussen darf man laut ihr trotzdem drauf.

übrigens: ein netstat enthüllt, das eine menge connectionen vom localhost zum localhost laufen. wahrscheinlich einfach nur um daten auszutauschen (ist ja auch ne recht gute möglichkeit):<TT>
tcp 0 0 127.0.0.1.1033 127.0.0.1.893 ESTABLISHED
tcp 0 0 127.0.0.1.893 127.0.0.1.1033 ESTABLISHED
tcp 0 0 127.0.0.1.1033 127.0.0.1.829 ESTABLISHED
tcp 0 0 127.0.0.1.829 127.0.0.1.1033 ESTABLISHED</TT>
und das sind doch nicht wirklich alles trojaner, oder? )

 

src port 1033 or dst port 1033'</TT>
wobei 1033 ersetzt werden sollte durch den entsprechenden port.
das legt eine datei "TEST" an, die man mit
<TT>sudo cat TEST | strings</TT> liesst.
komischerweise muss man seit OSX10.1 bei tcpdump das interface mit angeben.

1033 scheint übrigens zur kommunikation von/mit der NetInfo zu sein. zumindest rate ich das mal so ins blaue.

 

Hallo zwoelf11,

ich glaube, du hast recht. Vermutlich ist es eine reine localhost-Geschichte. Allerdings halte ich es für einen Programmierfehler, die Kommunikation zweier Programme auf einem Mac so durchzuführen. Das Risiko ist doch sehr groß, dass irgendeine Netztätigkeit mit dem MS-Protokoll interferiert, was ja anscheinend bei manchen Entourage-Nutzern auch passiert.
Auf alle Fälle werde ich mich mal mit tcpDump befassen, um deine Tipps nutzen zu können.

Thomas

 

Auch wenn das, was ihr mittlerweile hier von euch gebt, für mich böhmische Dörfer sind, habe ich Thomas' kleines "Experiment" mal in der Entourage-Newgroup angesprochen...

Naja, während der Feiertage ist auch dort wenig los...aber zumindest einer der "Experten" dort hat dazu Stellung genommen:

"This is a piracy control, to keep you from buying one copy of Office and
installing it on two Macs. If both Copies of Office were installed with the
same CD key, then the second copy of office that you try to open will not
open.

Each copy opens up a UDP for listening, and transmits on a TCP."

Vielleicht macht das euch irgendwie schlauer...mich jedenfalls nicht...! ;+)

ciao, MILE

 

wär ja aber sehr albern von microsoft.
ein kleiner perl skript, der die ports rausfindet und sperrt. pumpe. kein piracy control.
die ham immer komische ideen bei M$...

 

Sowas habe ich mir gedacht. Office schaut über das Netzwerk, ob noch andere Office-Programme installiert sind, für die man keine Lizenz hat. Ist das so, so lässt sich das andere Programm nicht starten. Damit wird der Software-Piraterie entgegengewirkt.
Nicht ganz sauber ist es schon-und v.a. nutzlos, wenn man die Ports einfach schliesst.

 

bleibt allerdings immer noch die Frage, ob nicht Version "A":
(Fehlerbeschreibung inklusive Dokument und Benutzerdaten)
nachwievor an M$ geschickt werden, im Falle eines (für M$) "unerwarteten" Programm-Ende!
oder nur Version "B":
(Duplikat-Schutz)
oder beides?
oder doch was anderes?

In einem Interview mit M$ Leuten bezüglich Office X war jedenfalls die REde davon, dass sie ebenso wie bei WinXP einen 50stelligen Sicherheitscode inklusive Anschrift zur Freischaltung integrieren wollen und schon gemacht hätten, wenn sie genug "Zeit" gehabt hätten, bei der Entwicklung von Office X.

 

Ich habe das durchgespielt... Meine zwei Powerbook habe ich vernetzt. Anschliessend startete ich auf beiden Arbeitsplätzen Excel. Tatsächlich erhalte ich die Meldung, das das Programm nicht gestartet wird, weil Benutzer XY, bereits das Programm Excel verwendet und aus lizenzrechtlichen Gründen... bla bla bla. Das gleiche konnte ich bei allen anderen Office-Programme feststellen.

Ist diese Port-Geschichte also nur ein simpler MS-Kopierschutz? Das denen nichts besseres einfällt!

Welche Folgen hat es, wenn ich alle Ports zwischen 3000 und 3999 schliesse? Ich würde nämlich gerne auf je zwei vernetzten Arbeitsstationen gleichzeitig mit Word arbeiten. Auf dem einen Rechner könnte ich das Drehbuch weiterschreiben und auf dem anderen ein Kochrezept suchen und ausdrucken, ohne mühsam Fenster wechseln zu müssen ;-)

Gruss benz

PS: Allen einen guten Rutsch ins neue Jahr!

 

ist doch bei photoshop genauso? wenn wir bei uns in der firma zweimal die gleiche photoshop versions nummer benutzen, meldet sich der rechner "ähh!! photoshop wird schon benutzt!" apple talk aus, samba pc server. meiner meinung war das auch schon vor zehn jahren so, irgendwie kommunizieren die auf einer sehr niedrigen eben miteinander&