W ostatnich tygodniach szeroko dyskutowana jest nowa luka w zabezpieczeniach systemu Windows. Podatność zwana “Windows Binary Planting” lub “DLL Preloading Bug” pozwala na przeprowadzenie ataku na podatne aplikacje i w konsekwencji wykonanie spreparowanego kodu.

Omawiana luka w rzeczywistości nie jest luką w kontekście exploitacji oprogramowania, a raczej błędem projektowym, który można w zasadzie uznać za część funkcjonalności systemów Windows. Jest ona konsekwencją podejścia do ładowania bibliotek dołączanych dynamicznie (DLL) i, jako taka, jest znana już od dość dawna. Metoda nazywana Windows Binary Planting to po prostu nowy, pomysłowy sposób jej wykorzystania. Jest to metoda o olbrzymim potencjale dla potencjalnych napastników, przede wszystkim ze względu na duży zbiór podatnych aplikacji, których wersja jest w zasadzie bez znaczenia. O Windows Binary Planting pisał już w lutym pracownik Uniwersytetu Kalifornijskiego, Taeho Kwon, natomiast o innych metodach korzystania z luk w systemie ładowania bibliotek DLL (DLL spoofing) – m.in. polski specjalista ds bezpieczeństwa informacji Gynvael Coldwind (http://vexillium.org/?sec-dllsp).

(more…)

Od dnia 23 sierpnia w systemie ARAKIS obserwujemy atak (D)DoS na serwery Facebooka. Dnia 24.08.2010 o godzinie 21 został wygenerowany alarm NSNORT mówiący o dopasowaniu reguły Snorta do przepływu. Oznacza to zwykle jakąś znaną formę ataku, która jednak nie była ostatnio rejestrowana przez system ARAKIS. Ta reguła to: ET POLICY facebook activity.

(more…)

Wczoraj (2 sierpnia) Microsoft wypuścił poprawkę łatającą ostatnią podatność w systemach Windows (opisaną w poprzedniej wiadomości: http://www.cert.pl/news/2590).

Przypomnijmy – podatność związana jest z mechanizmem wyświetlania ikon do skrótów – konkretnie skrótów do apletów panelu sterowania. Umożliwia ona uruchomienie złośliwego kodu na atakowanym komputerze – konieczne jednak jest zmuszenie ofiary do wyświetlenia spreparowanego pliku .lnk (plik skrótu). Błąd najprawdopodobniej znajduje się w funkcjach interfejsu IExtractIcon odpowiedzialnych za lokalizowanie i ładowanie ikon. Implementacja tego mechanizmu znajduje się w pliku shell32.dll. Ryzyko infekcji podnosi fakt, że skróty mogą być również osadzane w dokumentach MS Office – aby zostać ofiarą ataku wystarczy otworzyć dokument zawierający złośliwy kod.

Zalecamy niezwłoczne zainstalowanie aktualizacji !

Łatki dostępne są na wszystkie wspierane wersje systemu Windows. Pliki do pobrania oraz opis znajduje się na stronie: http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx. Łatka powinna również być dostępna w ramach “Automatycznych Aktualizacji” systemów Windows.

W systemach z rodziny WINDOWS została znaleziona nowa luka umożliwiająca atakującemu wykonanie złośliwego kodu i w efekcie zainfekowanie komputera ofiary. Luka związana jest z błędem w przetwarzaniu skrótów (plików .lnk) do apletów w panelu sterowania – prawdopodobnie w module odpowiedzialnym za wyświetlanie ikony skrótów. Pierwsze doniesienia pochodzą z białoruskiej firmy VirusBlokAda (www.anti-virus.by). Microsoft potwierdził już informację o występowaniu podatności oraz informuje, że narażone na atak są wszystkie wersje systemu WINDOWS: XP,Vista,7, 2003 Server oraz 2008 Server (http://www.microsoft.com/technet/security/advisory/2286198.mspx)

Opis podatności:

Podatność pozwala zmusić komputer ofiary do wykonania złośliwego kodu w momencie przeglądania folderu zawierającego spreparowany plik skrótu (plik .lnk). Pierwsze doniesienia mówią o infekcjach za pomocą nośników USB – ładowanie kodu następowało podczas przeglądania zawartości dysku. W sieci pojawiły się już informacje o możliwości przeprowadzeniu ataku przez sieć – z wykorzystaniem protokołu WebDAV oraz SAMBA.

Atak udało się pomyślnie odtworzyć w środowisku testowym CERT Polska. Po otwarciu folderu zawierającego spreparowany plik .lnk nastąpiło załadowanie wskazanego pliku .dll oraz wykonanie kodu w nim zawartego.

Jak się bronić ?

Jak na razie jedyną skuteczną metodą jest dezaktywacja mechanizmu wyświetlającego ikony skrótów. Można to zrobić ręcznie przy użyciu edytora rejestru systemowego „regedit”. W edytorze należy otworzyć klucz [HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]. Aby móc odtworzyć wyłączoną funkcjonalność warto jest wyeksportować zaznaczony klucz do pliku. Następnie należy w prawym panelu zaznaczyć wartość „(Domyślna)”.

Następnie z menu kontekstowego wybrać „Modyfikuj”. W oknie edycji usunąć dane z pola „Dane wartości”. Po wykonaniu operacji można zamknąć edytor rejestru. Efektem potwierdzającym skuteczne przeprowadzenie operacji będzie niewyświetlanie ikon skrótów.

Dziś (21 lipca) Microsoft również udostępnił opis zawierający tymczasowe rozwiązanie problemu pod adresem: http://support.microsoft.com/kb/2286198

W dniach 13-18 czerwca odbyła się 22. doroczna konferencja FIRST. Jest to najważniejsze w roku wydarzenie w tym ogólnoświatowym forum zespołów reagujących, zrzeszającym w tej chwili ponad 220 zespołów z sześciu kontynentów, od uczelnianych i akademickich, przez bankowe i należące do wielkich korporacji po rządowe. Tegoroczna konferencja miała miejsce w Miami na Florydzie i zgromadziła przeszło 450 uczestników. CERT Polska jest jednym z aktywnych członków forum. W tym roku oprócz trzyosobowej reprezentacji wśród uczestników miał także znaczący wkład merytoryczny w program konferencji. Byliśmy autorami lub współautorami aż czterech wygłoszonych prezentacji:

• R&D projects launched in response to the dynamic evolution of Internet security threats – CERT view wygłoszona przez Krzysztofa Silickiego i Piotra Kijewskiego (współautor: Mirosław Maj)
• Cooperation and self-regulation of Polish ISPs in combating online crime – wygłoszona przez Przemysława Jaroszewskiego
• FISHA – A Framework for Information Sharing and Alerting in Europe – współautorstwa Piotra Kijewskiego i Katarzyny Gorzelak
• WOMBAT API: handling incidents by querying a world-wide network of advanced honeypots wygłoszona przez Piotra Kijewskiego (współautor: Adam Kozakiewicz)

Znaczący udział wśród pozostałych prezentacji miały tematy związane z bezpieczeństwem i prywatnością w systemach cloud computing. Pojawiły się także interesujące prezentacje dotyczące ataków dedykowanych oraz mnóstwo interesujących przykładów rozwiązań organizacyjnych i technicznych związanych z bezpieczeństwem i reagowaniem na incydenty. Bardzo ciekawy program sprawiał, że często trudno było dokonać wyboru między trzema ścieżkami tematycznymi.

Pełny program konferencji znaleźć można na stronach konferencji.

Projekt WOMBAT wraz z demonstracją API został także zaprezentowany na towarzyszącym konferencji FIRST spotkaniu zespołów narodowych. Spotkania takie od kilku lat organizowane są przez CERT/CC bezpośrednio po konferencji FIRST i są doskonałą okazją do wymiany kontaktów oraz zapoznania się z wyzwaniami, które stoją przed zespołami CERT działającymi na szczeblu narodowym.

SECURE is the oldest IT security conference in Poland, serving as a forum for discussion about current computer and network security problems. Organized by CERT Polska, SECURE is targeted primarily at IT administrators, security officers and security practicioners. CERT Polska, a team experienced with incident handling and coordination, focuses the conference on practical technical solutions, current trends in attacks, threats and their mitigation, as well as legal aspects of data security, making the event a great meeting place for security experts. Participants of the conference gain access to up-to-date knowledge, as well as a chance for experience sharing and networking opportunities.

SECURE 2010 will be held on October 25-27 at Adgar Conference Center in Warsaw, Poland, focused around three main tracks:

• technical – practical aspects of implementation and integration of security solutions
• organizational – new trends in attacks, threats and their mitigation
• legal

This year, the conference will experience a face-lifting, involving introduction of lightning talks – short speeches or presentations about almost anything that bothers the participants in IT security world.

Lightning talks

We encourage participants of SECURE to share their thoughts. One of the conference blocks will include lightning talks, allowing everyone to talk briefly about their projects, works, ideas or problems. Everything goes, as long as it touches IT security.

Important facts about lightning talks

• maximum time for a talk is 5 minutes and total time for all talks will be limited
• application for a lightning talk can be submitted anytime after registration for the conference; this can be done early, by sending an email to: cfp@secure.edu.pl, or at the conference
• the organizers reserve the right to refuse any lightning talk application

Full presentations

We are looking for speakers willing deliver a talk covering one or more of the following subjects:

• malware analysis, including viruses, worms and botnets
• monitoring of network threats
• intrusion detection
• new applications of honeypots
• visualization of security events
• early warning against network threats
• computer security incident handling
• standards for security and incident information exchange
• new attacks, threats and mitigation techniques
• evaluation of the effectiveness of open source tools
• online identity protection
• threats from user-generated content
• human factor in computer and network security
• Polish and European law in regards to computer and information security
• law enforcement tasks in regards to computer and information security
• research projects in the area of computer and information security
• international cooperation in the area of computer and information security
• public-private partnership in the area of computer and information security

Important facts about full presentations

• proposals for presentations should be submitted via email to cfp@secure.edu.pl and should include the title of presentation, its abstract and short bio of the author, mentioning former conference talks where applicable.
• time for presentation: 45 minutes, including q&a
• commercial presentations will not be accepted
• all materials should be submitted in one of the following formats: OpenOffice, Microsoft Office, PDF
• slides of the presentations will be distributed to the participants electronically
• authors of accepted proposals will be given the full conference package (excl. workshops, 1 package per presentation)
• important dates:
  • proposal submission deadline: 30 June 2010
  • acceptance notice: 19 July 2010
  • submission due: 11 October 2010

Zespół CERT Polska opublikował raport podsumowujący rok 2009.

W raporcie odnosimy się do statystyk incydentów obsłużonych przez CERT Polska w poprzednim roku. Prezentujemy także subiektywne wnioski i dodatkowe statystyk na podstawie danych zbieranych przez nasz zespół. Zamieściliśmy także opis najważniejszych wydarzeń dotyczących działalności zespołu. Jest to zwarty obraz podsumowujący cały rok naszej pracy.
Odrębną, istotną częścią jest także raport ze zdarzeń i obserwacji z autorskiego systemu ARAKIS (www.arakis.pl).

Cały raport znajduje się pod adresm: http://www.cert.pl/PDF/Raport_CP_2009.pdf