Od dwóch dni serwisy zajmujące się bezpieczeństwem komputerowym donoszą o pojawieniu się nowego robaka sieciowego nazwanego Morto. Atakuje on źle zabezpieczone systemy Microsoft Windows wykorzystując do tego celu protokół RDP (Remote Desktop Protocol) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje żadnej luki w oprogramowaniu, a atak polega na próbie odgadnięcia nazwy użytkownika i hasła. Po infekcji robak szuka w sieci kolejnych komputerów z uruchomioną usługą RDP i próbuje je zainfekować. Powoduje to znaczący wzrost ruchu sieciowego na typowym dla tej usługi porcie 3389/TCP. Masową propagację Morto od jej początku obserwujemy dzięki systemowi ARAKIS.

(more…)

Zabezpieczenia typu ASLR (ang. Address Space Layout Randomization) oraz DEP (ang. Data Execution Prevention) to techniki mające na celu zabezpieczenie systemu operacyjnego przed włamaniami przez wykorzystanie błędów w oprogramowaniu użytkowym. W systemie Windows funkcjonują one począwszy od wersji XP SP 2, jednak pod koniec roku 2010 w sieci pojawiły się exploity omijające oba te zabezpieczenia nawet w jego w najnowszych wersjach (np.: exploity w dokumentach PDF). W artykule “Nowe techniki przełamywania zabezpieczeń Windows 7 w malware” prezentujemy wyniki badań nad tymi exploitami. Szczegółowo omówiony został proces przejmowania kontroli nad wykonywanym w podatnych aplikacjach kodem oraz przedstawione zostały sposoby zabezpieczenia systemu przed atakami tego rodzaju. Zapraszamy do lektury!

W ostatnich tygodniach szeroko dyskutowana jest nowa luka w zabezpieczeniach systemu Windows. Podatność zwana “Windows Binary Planting” lub “DLL Preloading Bug” pozwala na przeprowadzenie ataku na podatne aplikacje i w konsekwencji wykonanie spreparowanego kodu.

Omawiana luka w rzeczywistości nie jest luką w kontekście exploitacji oprogramowania, a raczej błędem projektowym, który można w zasadzie uznać za część funkcjonalności systemów Windows. Jest ona konsekwencją podejścia do ładowania bibliotek dołączanych dynamicznie (DLL) i, jako taka, jest znana już od dość dawna. Metoda nazywana Windows Binary Planting to po prostu nowy, pomysłowy sposób jej wykorzystania. Jest to metoda o olbrzymim potencjale dla potencjalnych napastników, przede wszystkim ze względu na duży zbiór podatnych aplikacji, których wersja jest w zasadzie bez znaczenia. O Windows Binary Planting pisał już w lutym pracownik Uniwersytetu Kalifornijskiego, Taeho Kwon, natomiast o innych metodach korzystania z luk w systemie ładowania bibliotek DLL (DLL spoofing) – m.in. polski specjalista ds bezpieczeństwa informacji Gynvael Coldwind (http://vexillium.org/?sec-dllsp).

(more…)

Fiński zespół CERT-FI opublikował informacje na temat luk w implementacjach stosu TCP zgodnych z RFC793. O problemie informowaliśmy w czerwcu tego roku w artykule Podatność w implementacjach TCP – nowa technika ataków DoS.

Problem jest poważny, ponieważ dotyczy produktów wielu producentów – w praktyce może się okazać, że nawet wszystkich systemów i aplikacji, które korzystając z protokołu TCP! Mogą być to zarówno serwery, inne urządzenia sieciowe, jak i komputery desktopowe, czy nawet urządzenia mobilne. Właściwie podatności wynikają bardziej z winy projektantów protokołu, niż z winy producentów, którzy zastosowali się do specyfikacji. Po szczegóły odsyłamy do wyżej wymienionego artykułu.

Póki co efektem wykorzystania luk może być destabilizacja systemu (atak Denial-of-Service), choć to zależy od poszczególnych implementacji stosu (czasami proces ten może zająć minuty, innym razem nawet godziny). Jednakże badania cały czas trwają i niewykluczone jest inne użycie błędów.

Dzięki współpracy między kilkudziesięcioma producentami oraz zespołami Computer Emergency Response Team z Finlandii (CERT-FI) oraz Japonii (JPCERT/CC) możliwe było zdiagnozowanie problemu i opracowanie rozwiązań. W rezultacie wielu producentów wypuściło poprawki, m.in.:

(more…)

W dniu 7 września 2009, Laurent Gaffié opublikował szczegóły nowej podatności systemu operacyjnego Windows Vista. Wykorzystana jest w tym przypadku wadliwa obsługa protokołu SMB2.0, która może być wykorzystana nie tylko do ataku typu denial-of-service (jak początkowo zaklasyfikowano tę podatność), ale również do zdalnego wykonania kodu na maszynie ofiary.

Rubén Santamarta przeprowadził analizę podatności, obecną w module SRV2.SYS. Wartość pola Process ID High w nagłówku SMB jest tam wykorzystywana bez jakiejkolwiek kontroli jako indeks tablicy funkcji. Można w ten sposób łatwo wskazać obszar pamięci, znajdujący się poza tą tablicą i doprowadzić do zawieszenia systemu (w najprostszym przypadku) lub do wykonania niepożądanego kodu.

W chwili pisania tego artykułu, poprawka likwidująca to zagrożenie nie była jeszcze dostępna. Opublikowane zostało natomiast Microsoft Security Advisory opisujące kroki, które należy podjąć w celu zminimalizowania ryzyka związanego z tą luką. Warto nadmienić, że system Windows 7 jest podatny na tego typu atak jedynie w wersji Release Candidate. Użytkownicy finalnej wersji tego systemu nie są dotknięci tym zagrożeniem. Aby zabezpieczyć się przed atakami w przypadku systemu Windows Vista, wystarczy aby profil sieci ustawiony był jako ‘Publiczny’ – spowoduje to blokowanie połączeń TCP przychodzących na port 445, który jest wykorzystywany do tego ataku.
(more…)

Od ostatniego dnia sierpnia dostępny jest w Internecie exploit wykorzystujący nieznaną wcześniej lukę w usłudze FTP popularnego oprogramowania serwerowego Microsoft Internet Information Services (IIS). Firma z Redmond do tej pory nie wydała łaty usuwającej niebezpieczeństwo, ale – jak zapewnia – cały czas nad tym pracuje.

Problem tkwi w parserze nazw katalogów – użycie komendy NLST (NAME LIST) ze specyficznym ciągiem znaków powoduje przepełnienie bufora stosu (stack-based buffer overflow). W wyniku tego możliwe jest wykonanie dowolnego kodu na atakowanym systemie, lub ewentualnie zawieszenie aplikacji (atak Denial-of-Service).

Aby tak się stało, atakujący musi mieć dostęp do konta użytkownika na serwerze FTP, który ma prawo do zapisu (by utworzyć katalog o ’specjalnej’ nazwie). Upubliczniony pierwotnie exploit (jak i te późniejsze) wykorzystują użytkownika anonymous. Oczywiście istnieje także możliwość włamania się na inne konto, np. łamiąc hasło.

Podatne na atak są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP) oraz IIS 6.0 (Windows Server 2003). IIS 7.0 (Windows Vista, Windows Server 2008) nie jest zagrożony. Tymczasowym rozwiązaniem (tzw. workaround), a właściwie oddaleniem problemu, jest odebranie praw zapisu dla konta typu anonymous i innych bezhasłowych. Ewentualnie wyłączenie w usłudze FTP tych kont. Należy jednak pamiętać, że to rozwiązanie nie gwarantuje bezpieczeństwa – działa tylko na upublicznione do tej pory exploity. Dalej istnieje możliwość ataku z poziomu innych użytkowników. Istnieje jeszcze rozwiązanie blokowania z poziomu systemu plików NTFS możliwości tworzenia katalogów przez użytkowników z grupy FTP, ale to dotknie wszystkie konta FTP oraz zabezpieczy przed wstrzyknięciem kodu, ale nie przed atakiem DoS. Kroki pokazujące jak wykonać te wszystkie operacje znajdują się w opisie luki na stronach Microsoft.

(more…)

Conficker (znany także jako Downadup lub Kido), to najgłośniejszy medialnie i zarazem jeden z najgroźniejszych w ostatnim czasie robaków. Dla specjalistów zajmujących się bezpieczeństwem komputerowym jest ponadto bardzo interesujący ze względu na zastosowane przez jego twórców nieznane wcześniej rozwiązania. Na początku kwietnia informowaliśmy (zob. wiadomość Conficker – raport z pola walki), że monitorujemy ruch HTTP do pewnej liczby tzw. “polskich domen confickerowych”, z którymi miały się łączyć zarażone tym robakiem komputery. Nasze obserwacje kontynuowaliśmy przez miesiąc w ramach projektu nazwanego Confiture (skrót od Conficker capture). Realizowała go grupa specjalistów zwana NASK Conficker Working Group (w jej skład weszli specjaliści z trzech działów NASK: CERT Polska, Działu Domen, oraz Zespołu Integracji i Bezpieczeństwa). Wyniki obserwacji oraz płynące z nich wnioski umieściliśmy w raporcie, który można ściągnąć z naszej strony (plik PDF: Projekt Confiture). Poniżej przedstawiamy najistotniejsze fragmenty raportu.

Wstęp

Celem projektu Confiture była obserwacja ruchu HTTP do pewnej ilości domen pochodzących z tzw. kwietniowej puli confickerowych polskich nazw domenowych wygenerowanych przez zaimplementowany w robaku Conficker tzw. Algorytm Generujący Nazwy Domenowe (z ang. Domain Name Generation Algorithm). Domeny te miały być używane do ściągania przez zarażone komputery uaktualnień robaka (był to jeden ze sposobów, innym była dystrybucja poprzez wbudowany protokół P2P). Ponieważ robak komunikował się codziennie z innym zestawem domen, monitorowanych przez nas było co najmniej kilka domen “.pl” z każdej dziennej puli od pierwszego do trzydziestego kwietnia. Serwer DNS NASK w odpowiedzi na zapytania o te domeny zwracał adresy IP kierujące do naszego honeypota (a właściwie konfitury, czyli komputera-pułapki), który rejestrował wszystkie połączenia. Jednocześnie monitorowane były zapytania do wybranych serwerów secondary DNS dla domeny “.pl” o wszystkie confickerowe domeny “.pl” z puli kwietniowej. Ponadto nasze wyniki skorelowaliśmy z danymi pochodzącymi z dwóch źródeł zewnętrznych: systemu ARAKIS, oraz obserwacji prowadzonych przez specjalistów z Conficker Working Group.

(more…)