Niedawno (5 listopada) pisaliśmy o błędzie przepełnienia bufora w aplikacji ProFTPd. System ARAKIS zarejestrował próby włamania z wykorzystaniem exploitów na tę lukę. Jako źródło ataku określiliśmy sieć znajdującą się na terenie Stanów Zjednoczonych, a zastosowany do ataku exploit to prawdopodobnie skrypt Perl opublikowany na liście full-disclosure kilka dni po ujawnieniu luki. W najbliższym czasie należy się spodziewać zwiększonej częstotliwości skanowań usług FTP oraz ślepych prób ich wykorzystania.

Od ostatniego dnia sierpnia dostępny jest w Internecie exploit wykorzystujący nieznaną wcześniej lukę w usłudze FTP popularnego oprogramowania serwerowego Microsoft Internet Information Services (IIS). Firma z Redmond do tej pory nie wydała łaty usuwającej niebezpieczeństwo, ale – jak zapewnia – cały czas nad tym pracuje.

Problem tkwi w parserze nazw katalogów – użycie komendy NLST (NAME LIST) ze specyficznym ciągiem znaków powoduje przepełnienie bufora stosu (stack-based buffer overflow). W wyniku tego możliwe jest wykonanie dowolnego kodu na atakowanym systemie, lub ewentualnie zawieszenie aplikacji (atak Denial-of-Service).

Aby tak się stało, atakujący musi mieć dostęp do konta użytkownika na serwerze FTP, który ma prawo do zapisu (by utworzyć katalog o ’specjalnej’ nazwie). Upubliczniony pierwotnie exploit (jak i te późniejsze) wykorzystują użytkownika anonymous. Oczywiście istnieje także możliwość włamania się na inne konto, np. łamiąc hasło.

Podatne na atak są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP) oraz IIS 6.0 (Windows Server 2003). IIS 7.0 (Windows Vista, Windows Server 2008) nie jest zagrożony. Tymczasowym rozwiązaniem (tzw. workaround), a właściwie oddaleniem problemu, jest odebranie praw zapisu dla konta typu anonymous i innych bezhasłowych. Ewentualnie wyłączenie w usłudze FTP tych kont. Należy jednak pamiętać, że to rozwiązanie nie gwarantuje bezpieczeństwa – działa tylko na upublicznione do tej pory exploity. Dalej istnieje możliwość ataku z poziomu innych użytkowników. Istnieje jeszcze rozwiązanie blokowania z poziomu systemu plików NTFS możliwości tworzenia katalogów przez użytkowników z grupy FTP, ale to dotknie wszystkie konta FTP oraz zabezpieczy przed wstrzyknięciem kodu, ale nie przed atakiem DoS. Kroki pokazujące jak wykonać te wszystkie operacje znajdują się w opisie luki na stronach Microsoft.

(więcej…)

Ostatnia aktualizacja: 18.12.2008 (przejdź bezpośrednio)

W sieci powszechnie dostępny jest exploit na odkrytą niedawno lukę w przeglądarce Internet Explorer 7. Wczorajsze aktualizacje Micosoft nie łatały wykorzystywanej podatności, co oznacza, że nawet całkowicie zaktualizowane komputery są podatne na potencjalny atak. Exploit wykorzystuje lukę w module obsługującym XML i przepełnia stertę (tzw. atak heap overflow). Wcześniej sprawdza typ i wersję używanej przeglądarki, a także rodzaj systemu operacyjnego.

Przepełnienie sterty wykonuje się tylko dla IE w wersji 7 działającej w systemie Windows XP lub 2003. Nie wiadomo jednak na razie, czy inne wersje przeglądarki bądź systemu Windows (np. Vista) są podatne na atak. Ciekawy jest także fakt użycia funkcji sleep, która powoduje zawieszenie wykonywania kodu javaScript na określony czas (w wersji exploita, którą zdobyliśmy, są to 3 sekundy, natomiast wiadomo, że ta wartość zmienia się). Najprawdopodobniej chciano w ten sposób niejako “ogłupić” automatyczne narzędzia wykorzystywane do zbierania i/lub analizy malware’u.

Szkodliwy kod JavaScript opublikowany został m.in. na wielu chińskich serwisach społecznościowych (głównie forach, także blogach) traktujących o (nie)bezpieczeństwie komputerowym. Potencjalnie można go wykorzystać do wykonania w atakowanym systemie dowolnego kodu (najprawdopodobniej będzie to instalacja trojana lub inne złośliwe oprogramowanie). Wprawdzie brak jest doniesień o masowym wykorzystaniu exploita, jednak może być to tylko kwestią czasu. Należy zwrócić uwagę, że w przypadku masowego ataku taki złośliwy JavaScript może być wstrzyknięty do kodu strony www, którą do tej pory uważaliśmy za bezpieczną. Na razie nie istnieją żadne łaty poprawiające błąd, ale warto pamiętać, że podatna na atak jest tylko przeglądarka Internet Explorer.

Ataki na aplikacje klienckie są coraz chętniej wykorzystywane przez cyberprzestępców, szczególnie te skierowane na przeglądarki internetowe i dodatki do nich. W celu walki z tego typu zagrożeniem powstał projekt HoneySpider Network. Związane z nim nasze klienckie honeypoty potwierdziły zagrożenie, jakie niesie ze sobą opisany wyżej exploit.

Więcej informacji:
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://isc.sans.org/diary.html?storyid=5458

Aktualizacja (czw, 11 gru 2008, 13:53):

Jeszcze wczoraj pojawiła się w sieci wersja exploita, która działa także pod całkowicie zaktualizowanym systemem Windows Vista (zarówno z jak i bez SP1). Obie wersje złośliwego kodu (zarówno ta przeznaczona na Windowsa XP/2003 jak i na Vistę) są modyfikowane (cyberprzestępcy dostosowują je do swoich potrzeb) i najczęściej już nie sprawdzają rodzaju/wersji przeglądarki czy systemu operacyjnego, tylko próbują się wykonać za każdym razem.

Exploity ponadto są już powszechnie wykorzystywane do zarażania komputerów internautów: pojawia się coraz więcej stron www, które zawierają wyżej opisany złośliwy JavaScript. Są to głównie strony chińskie (domena .cn), do których odnośniki (URL) są wstrzykiwane w zawartość innych “legalnych” stron. Jak udało się ustalić specjalistom zajmującym się tym problemem komputery infekowane są najczęściej złośliwym oprogramowaniem wykradającym hasła do gier online. Oczywiście cyberprzestępcy mogą równie dobrze wykorzystać malware, który np. wykrada hasła do banków, numery kart kredytowych, czy zmienia komputer ofiary w członka botnetu (tzw. komputer-zombie).

Korzystając z serwisu Virustotal.com wysłaliśmy do przeskanowania przez silniki antywirusowe kilka wariantów exploita. Oto linki do wyników analiz:

• www.virustotal.com/analisis/cac8d964051da96907b2a509d99c5ddf (wykryło 6/37 antywirusów, 16,22%)
• www.virustotal.com/analisis/cbf99af64ed8c638acded59e959917fb (wykryło 15/38 antywirusów, 39,48%)
• www.virustotal.com/analisis/ee75aaa813e95b144f01ddd4e3bad2ed (wykryło 14/38 antywirusów, 36,85%)

Więcej informacji można znaleźć na stronach:
http://blogs.zdnet.com/security/?p=2296
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210

Aktualizacja (czw, 18 gru 2008, 10:30):

Microsoft wydał patch łatający opisaną wyżej lukę (biuletyn bezpieczeństwa oznaczony numerem MS08-078). Apelujemy zatem do wszystkich użytkowników systemów Windows o jak najszybsze zaktualizowanie swojej przeglądarki Internet Explorer nawet, jeżeli nie jest ona używana do surfowania po internecie (ponieważ wiele aplikacji – jak np. Gadu-Gadu – korzysta z niej i przez to pośrednio jest podatne na ataki). Można to zrobić poprzez:

• Aktualizacje automatyczne (dostępne w Panel sterowania),
• korzystając z witryny Microsoft Update
• ściągając odpowiednią do posiadanego systemu i wersji przeglądarki poprawkę bezpośrednio ze strony Centrum Pobierania Microsoft i instalując ją ręcznie.

W urządzeniu Livebox TP odkryto lukę polegającą na przepełnieniu bufora, dzięki której atakujący może spowodować zawieszenie lub niestabilność jego pracy (atak typu DoS). Istnieje także groźba wykorzystania tej podatności do wykonania dowolnego kodu w sposób zdalny.
Livebox TP jest opcjonalnym urządzeniem dostępowym do Internetu dla użytkowników Neostrady TP. Odkryta luka znajduje się w jednej z aplikacji znajdującej się w tym modemie. Jest nią Galaxy FTP Server v1.0, a błąd znajduje się w funkcji przetwarzającej dane wprowadzane przez użytkownika. Wykorzystanie tej luki powoduje przepełnienie bufora i w konsekwencji zawieszenie procesu podatnej aplikacji. Ze względu na rodzaj błędu istnieje także pewne prawdopodobieństwo użycia podatności do wykonania zdalnego kodu. Jednakże przeprowadzenie ataku przy domyślnej konfiguracji urządzenia nie jest możliwe spoza lokalnej sieci.

Na chwilę obecną nie ma dostępnej żadnej aktualizacji. Jako rozwiązanie tymczasowe proponujemy zatem upewnić się, że:

• konfiguracja urządzenia nie pozwala na zarządzanie nim spoza sieci LAN
• sieć bezprzewodowa wykorzystuje bezpieczniejszy standard WPA

Źródła:

secunia.com

www.securityfocus.com

W Internecie krążą złośliwe pliki PDF wykorzystujące lukę w aplikacjach Adobe Reader i Acrobat w wersjach 8.1.1 i wcześniejszych. Dzieje się tak pomimo załatania przez producenta podatności i wypuszczenia nowych wersji swoich programów (8.1.2).
Luka znajduje się we fragmencie odpowiedzialnym za obsługę kodu JavaScript. Pozwala ona na przepełnienie bufora, co może doprowadzić do wykonania dowolnego kodu w systemie.

Po otwarciu spreparowanego pliku PDF ściągany jest malware będący koniem trojańskim zwanym Zonebac. Trojan ten wyłącza programy anty wirusowe, a także modyfikuje wyniki wyszukiwań stron internetowych oraz wyświetla w przeglądarkach internetowych paski reklamowe. Zainfekowane PDF’y są umieszczane na stronach WWW lub wysyłane jako załącznik listu email. Użytkownik infekuje się w chwili otwarcia pliku w podatnym oprogramowaniu (także, gdy otwarcie następowało przy pomocy wtyczki w przeglądarce internetowej).

Jak donoszą zaangażowani w sprawę specjaliści z iDefense Labs luka ta był odkryta przez nich i zgłoszona firmie Adobe już w październiku zeszłego roku. Ponadto w chwili obecnej programy antywirusowe nie wykrywają złośliwych PDF’ów.

Pomimo wydania przez producenta poprawionej wersji aplikacji liczba infekcji ciągle rośnie. Dlatego zalecamy jak najszybciej dokonać aktualizacji (pliki dostępne na stronie firmy Adobe), lub wyłączyć możliwości przetwarzania skryptów JS (w Adobe Reader: Edit -> Preferences -> JavaScript: odhaczyć checkbox “Enable Acrobat JavaScript”).

Źródło:
labs.idefense.com
isc.sans.org

Second Life – bezpieczny wirtualny świat i rzeczywiste pieniądze – ale czy na pewno? W wirtualnej rzeczywistości gry Second Life równie łatwo można zarobić pieniądze jak i je stracić. I to pieniądze jak najbardziej realne.

Każdy użytkownik, przystępując do gry Second Life, może stworzyć i wprowadzić do gry własnego mieszkańca, tzw. awatara. Inwestując pieniądze może także kupować wirtualne obiekty: nabywać ziemię, kupować wyspy, domy, samochody, itp. Wirtualna waluta Linden Dollars ma przelicznik na rzeczywiste dolary amerykańskie: 250LD = 1USD. Gracz może także rozpocząć inwestycje, np. otworzyć nowy sklep, klub lub założyć własną firmę reklamową. Dzięki zyskom z inwestycji, w tym wirtualnym świecie gracze dorabiają się rzeczywistych majątków. Ale chociaż w takim świecie, przestępstwa finansowe wydają się być równie wirtualne, nic bardziej mylnego.

Pieniądze graczy w Second Life nie są bezpieczne. Zagrożeniem dla Second Life 1.18.4(3) okazała się luka (www.securityfocus.com) w popularnej usłudze QuickTime, w jego wersji 7.3. Możliwość wykorzystania tej podatności odkryli Charlie Miller i Dino Dai Zovi. Jest ona związana z obsługą plików wideo, które użytkownicy mogą umieszczać w różnych obiektach Second Life. Problem pojawia się w momencie, gdy obiekt ofiary pojawi się w przestrzeni będącej w posiadaniu atakującego, w której znajduje się plik QuickTime. Wówczas atakujący może przejąć pełną kontrolę nad awatarem i komputerem gracza. Zaprezentowany na stronie youtube.com
efekt symulacji exploita, unieruchamia awatara ofiary i okrada go na 12 lindenów.

Błąd w QuickTime powstaje podczas przetwarzania odpowiedzi RTSP (Real Time Streaming Protocol) przez użycie długiego nagłówka „Content-Type”. Wynikiem tego następuje przepełnienie bufora stosu, co pozwala atakującemu na uruchomienie dowolnego kodu.

Zabezpieczeniem przed tym atakiem jest wyłączenie obsługi plików wideo w opcjach gry lub aktualizacja do najnowszej wersji aplikacji QuickTime (na chwilę obecną jest to 7.4, do pobrania ze strony producenta).

Źródła:

securityevaluators.com, inf. własna

Microsoft oficjalnie ogłosił istnienie luki w sterowniku Macrovision (SECDRV.SYS), który jest standardowo dodawany do systemu Windows XP oraz Windows 2003.
Luka o symbolu CVE-2007-5587 poprzez przepełnienie bufora i nadpisanie fragmentów pamięci pozwala na zwiększenie lokalnych uprawnień systemowych. To może być wykorzystane do instalacji malware’u lub omijania zabezpieczeń systemu. W Internecie od kilku tygodni jest obecny złośliwy kod, który wykorzystuje tą podatność. Jest to o tyle groźne, że dziurawy sterownik dostarczany jest do narażonych systemów domyślnie podczas ich instalacji.

Jak donosi Microsoft, Windows Vista nie jest narażony na niebezpieczeństwo, ponieważ korzysta z innej implementacji tego sterownika.

Firma Macrovision już przygotowała poprawkę, którą można pobrać ze strony producenta.

Źródło: Microsoft Security Advisory (944653)