Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

(more…)

Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej “infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:

CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP

Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.

O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.

Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.

Oracle ostrzega przed krytyczną luką w Javie (JRE / JDK), która umożliwia napastnikowi wywołanie nieskończonej pętli w aplikacji Javy. Hotfix jest już dostępny na stronach Oracle. Problem wykrył Konstantin Preißer, który zainspirowany problemami z parsowaniem liczby 2.2250738585072011e-308 w PHP odkrył ten sam problem w Javie.
(more…)

Zabezpieczenia typu ASLR (ang. Address Space Layout Randomization) oraz DEP (ang. Data Execution Prevention) to techniki mające na celu zabezpieczenie systemu operacyjnego przed włamaniami przez wykorzystanie błędów w oprogramowaniu użytkowym. W systemie Windows funkcjonują one począwszy od wersji XP SP 2, jednak pod koniec roku 2010 w sieci pojawiły się exploity omijające oba te zabezpieczenia nawet w jego w najnowszych wersjach (np.: exploity w dokumentach PDF). W artykule “Nowe techniki przełamywania zabezpieczeń Windows 7 w malware” prezentujemy wyniki badań nad tymi exploitami. Szczegółowo omówiony został proces przejmowania kontroli nad wykonywanym w podatnych aplikacjach kodem oraz przedstawione zostały sposoby zabezpieczenia systemu przed atakami tego rodzaju. Zapraszamy do lektury!

Niedawno (5 listopada) pisaliśmy o błędzie przepełnienia bufora w aplikacji ProFTPd. System ARAKIS zarejestrował próby włamania z wykorzystaniem exploitów na tę lukę. Jako źródło ataku określiliśmy sieć znajdującą się na terenie Stanów Zjednoczonych, a zastosowany do ataku exploit to prawdopodobnie skrypt Perl opublikowany na liście full-disclosure kilka dni po ujawnieniu luki. W najbliższym czasie należy się spodziewać zwiększonej częstotliwości skanowań usług FTP oraz ślepych prób ich wykorzystania.

W popularnym serwerze FTP znaleziono klasyczny błąd pozwalający nadpisać dane znajdujące się na stosie. Dokładny opis błędu można znaleźć na bugzilli proftpd :
http://bugs.proftpd.org/show_bug.cgi?id=3521. Błąd zgłoszony przez TippingPoint związany jest z czytaniem sekwencji znaków zaczynających się od TELNET_IAC (opis sekwencji w RFC854). Możliwe jest przeprowadzenie zdalnego ataku na serwer FTP. Podatne są wersje 1.3.2 oraz 1.3.3.

(more…)

(more…)