Ostatnia aktualizacja: 18.12.2008 (przejdź bezpośrednio)

W sieci powszechnie dostępny jest exploit na odkrytą niedawno lukę w przeglądarce Internet Explorer 7. Wczorajsze aktualizacje Micosoft nie łatały wykorzystywanej podatności, co oznacza, że nawet całkowicie zaktualizowane komputery są podatne na potencjalny atak. Exploit wykorzystuje lukę w module obsługującym XML i przepełnia stertę (tzw. atak heap overflow). Wcześniej sprawdza typ i wersję używanej przeglądarki, a także rodzaj systemu operacyjnego.

Przepełnienie sterty wykonuje się tylko dla IE w wersji 7 działającej w systemie Windows XP lub 2003. Nie wiadomo jednak na razie, czy inne wersje przeglądarki bądź systemu Windows (np. Vista) są podatne na atak. Ciekawy jest także fakt użycia funkcji sleep, która powoduje zawieszenie wykonywania kodu javaScript na określony czas (w wersji exploita, którą zdobyliśmy, są to 3 sekundy, natomiast wiadomo, że ta wartość zmienia się). Najprawdopodobniej chciano w ten sposób niejako “ogłupić” automatyczne narzędzia wykorzystywane do zbierania i/lub analizy malware’u.

Szkodliwy kod JavaScript opublikowany został m.in. na wielu chińskich serwisach społecznościowych (głównie forach, także blogach) traktujących o (nie)bezpieczeństwie komputerowym. Potencjalnie można go wykorzystać do wykonania w atakowanym systemie dowolnego kodu (najprawdopodobniej będzie to instalacja trojana lub inne złośliwe oprogramowanie). Wprawdzie brak jest doniesień o masowym wykorzystaniu exploita, jednak może być to tylko kwestią czasu. Należy zwrócić uwagę, że w przypadku masowego ataku taki złośliwy JavaScript może być wstrzyknięty do kodu strony www, którą do tej pory uważaliśmy za bezpieczną. Na razie nie istnieją żadne łaty poprawiające błąd, ale warto pamiętać, że podatna na atak jest tylko przeglądarka Internet Explorer.

Ataki na aplikacje klienckie są coraz chętniej wykorzystywane przez cyberprzestępców, szczególnie te skierowane na przeglądarki internetowe i dodatki do nich. W celu walki z tego typu zagrożeniem powstał projekt HoneySpider Network. Związane z nim nasze klienckie honeypoty potwierdziły zagrożenie, jakie niesie ze sobą opisany wyżej exploit.

Więcej informacji:
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://isc.sans.org/diary.html?storyid=5458

Aktualizacja (czw, 11 gru 2008, 13:53):

Jeszcze wczoraj pojawiła się w sieci wersja exploita, która działa także pod całkowicie zaktualizowanym systemem Windows Vista (zarówno z jak i bez SP1). Obie wersje złośliwego kodu (zarówno ta przeznaczona na Windowsa XP/2003 jak i na Vistę) są modyfikowane (cyberprzestępcy dostosowują je do swoich potrzeb) i najczęściej już nie sprawdzają rodzaju/wersji przeglądarki czy systemu operacyjnego, tylko próbują się wykonać za każdym razem.

Exploity ponadto są już powszechnie wykorzystywane do zarażania komputerów internautów: pojawia się coraz więcej stron www, które zawierają wyżej opisany złośliwy JavaScript. Są to głównie strony chińskie (domena .cn), do których odnośniki (URL) są wstrzykiwane w zawartość innych “legalnych” stron. Jak udało się ustalić specjalistom zajmującym się tym problemem komputery infekowane są najczęściej złośliwym oprogramowaniem wykradającym hasła do gier online. Oczywiście cyberprzestępcy mogą równie dobrze wykorzystać malware, który np. wykrada hasła do banków, numery kart kredytowych, czy zmienia komputer ofiary w członka botnetu (tzw. komputer-zombie).

Korzystając z serwisu Virustotal.com wysłaliśmy do przeskanowania przez silniki antywirusowe kilka wariantów exploita. Oto linki do wyników analiz:

• www.virustotal.com/analisis/cac8d964051da96907b2a509d99c5ddf (wykryło 6/37 antywirusów, 16,22%)
• www.virustotal.com/analisis/cbf99af64ed8c638acded59e959917fb (wykryło 15/38 antywirusów, 39,48%)
• www.virustotal.com/analisis/ee75aaa813e95b144f01ddd4e3bad2ed (wykryło 14/38 antywirusów, 36,85%)

Więcej informacji można znaleźć na stronach:
http://blogs.zdnet.com/security/?p=2296
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210

Aktualizacja (czw, 18 gru 2008, 10:30):

Microsoft wydał patch łatający opisaną wyżej lukę (biuletyn bezpieczeństwa oznaczony numerem MS08-078). Apelujemy zatem do wszystkich użytkowników systemów Windows o jak najszybsze zaktualizowanie swojej przeglądarki Internet Explorer nawet, jeżeli nie jest ona używana do surfowania po internecie (ponieważ wiele aplikacji – jak np. Gadu-Gadu – korzysta z niej i przez to pośrednio jest podatne na ataki). Można to zrobić poprzez:

• Aktualizacje automatyczne (dostępne w Panel sterowania),
• korzystając z witryny Microsoft Update
• ściągając odpowiednią do posiadanego systemu i wersji przeglądarki poprawkę bezpośrednio ze strony Centrum Pobierania Microsoft i instalując ją ręcznie.

W aplikacji Adobe Flash Player odkryto groźne luki. Podatne są wersje oprogramowania 9.0.115.0 i wcześniejsze, oraz 8.0.39.0 i wcześniejsze.

Aplikacja ta jest najczęściej stosowaną do odtwarzania animacji flash, przez co potencjalnymi ofiarami może być większość użytkowników Internetu. Dodatkowo podatności te występują w wersjach oprogramowania na wszystkie przeglądarki i platformy systemowe, choć oczywiście sposób wykorzystania tych luk musiałby być w większości przypadków inny w różnych systemach operacyjnych.

Dwie luki dotyczą błędu przetwarzania danych wchodzących, przez co możliwe jest przepełnienie bufora (atak buffer overflow) i w konsekwencji zawieszenie procesu lub wykonanie w systemie ofiary dowolnego kodu.

Kolejne podatności mogą pozwolić na przeprowadzenie ataku typu DNS rebinding, który – w skrócie – umożliwia przekierowanie przeglądarki ofiary do innej strony WWW.

Następna dziura dotyczy serwera, na którym umiejscowiona jest animacja flash. Znajduje się w mechanizmie interpretera plików cross-domain policy (zawierających reguły określające możliwości ładowania danych z innych źródeł) i pozwala na eskalację uprawnień systemowych.

Inny błąd może być wykorzystany przy wysyłaniu nagłówków HTTP do pominięcia reguł zawartych w plikach cross-domain policy.

Ostatni zestaw luk pozwala na ataki XSS (Cross-Site Scripting), w tym, oprócz wykonania złośliwego skryptu JavaScript, także kradzież z plików cookie informacji uwierzytelniających.

Aby wykorzystać podatności przeciwko zwykłemu użytkownikowi domowemu, atakujący musi namówić go do uruchomienia w podatnej aplikacji specjalnie spreparowanej animacji flash (plik o rozszerzeniu swf), co może być dosyć proste – wystarczy taką animację umieścić na stronie WWW. Jej adres może być następnie dystrybuowany poprzez różne kanały, np. wiadomości e-mail, komunikatory internetowe, fora dyskusyjne, serwisy społecznościowe i WEB 2.0, a także poprzez wyszukiwarki internetowe (dzięki wysokiemu wypozycjonowaniu lub usługom typu „linki sponsorowane”).

Dostępna już jest nowsza wersja Adobe Flash Playera, w której poprawiono powyższe błędy. Można ją ściągnąć bezpośrednio ze strony producenta. Adobe udostępnił także instrukcje pokazujące krok po kroku proces instalacji dla różnych systemów operacyjnych i przeglądarek: link

Źródła:
www.adobe.com,
secunia.com

W zeszły piątek 18-go stycznia nasz system wczesnego ostrzegania ARAKIS zanotował próbę wykorzystania luki w aplikacjiMyBB 1.2.10 (jest to darmowe forum dyskusyjne). Zaledwie dwa dni wcześniej upubliczniono informację o luce w tym oprogramowaniu, którą zaobserwowany atak wykorzystywał.

Upublicznione na liście dyskusyjnej BugTraq informacje o podatnościach dotyczą kilku skryptów PHP (m.in. forumdisplay.php, search.php i moderation.php), jednak polegają na tym samym: atakujący jest w stanie wykonać dowolny kod na serwerze poprzez specjalnie spreparowane zapytanie HTTP odwołujące się do skryptu. Dzieje się tak, ponieważ dane przekazywane są bez wcześniejszej walidacji. Skrypty podatne są też na ataki SQL Injection i Cross-Site Scripting (XSS). Ponadto 21-go i 23-go upubliczniono informacje o podobnych lukach w innych skryptach (private.php i pm.php) i to w poprawionej wersji 1.2.11.

Nasz system zaobserwował próbę wykorzystania luki tylko w jednym skrypcie: forumdisplay.php. Atakujący – był to automat, najprawdopodobniej robak PHP – próbował wykorzystać podatność w tym skrypcie by wykonać polecenie systemowe pobrania (poprzez narzędzie wget) pliku binarnego cback i uruchomić go z odpowiednimi parametrami (przekazywany był adres IP i numer portu).

Po przeanalizowaniu pliku cback na stronie VirusTotal okazało się, że jest to linuksowy trojan/backodr umożliwiający przejęcie kontroli nad serwerem.

Program próbował się łączyć z tym samym adresem IP, z którego został pobrany, ale nie z którego nastąpił atak. Sam atak przeprowadzony był „na ślepo” – nie było sprawdzane, czy na serwerze znajduje się MyBB, tylko od razu następowała próba wykorzystania dziury. Atakowane komputery były wybierane po kolei (zwiększały się o jeden kolejne adresy IP).

Dzisiaj ARAKIS zaobserwował bardzo podobne ataki, jednakże wykorzystujące podatność w skrypcie saveserver.php (a dokładnie w przetwarzaniu parametru thisdir), co by wskazywało na próbę wykorzystania luki w aplikacji Confixx Pro (występuje ona nadal, nawet w najnowszej wersji 3.3.1). Dodatkowo (w odróżnieniu od piątkowego ataku) robak próbuje nadać plikowi cback przed uruchomieniem odpowiednie prawa (chmod 755).

Tym, którzy korzystają z aplikacji MyBB i Confixx, zalecamy ich uaktualnienie. W przypadku MyBB będzie to zainstalowanie najnowszej wersji (1.2.12) ściągniętej ze strony producenta, natomiast użytkownicy Confixx powinni zainstalować nakładkę (patch) na podatną wersję: swsoft.com

Źródło:
inf. własna (www.arakis.pl),
www.securityfocus.com (BugTraq),
www.securityfocus.com

Cyberprzestępcy wykorzystali luki pozwalające na atak XSS (Cross-Site Scripting) w serwisie WWW włoskiego banku, by wyłudzić dane jego klientów.

W specjalnie spreparowanym odnośniku do rzeczywistej strony banku możliwe było zawarcie poleceń, dzięki którym w oryginalną stronę logowania “wstrzykiwany” był znacznik HTML IFRAME. W nim znajdowało się odniesienie do fałszywej strony logowania umieszczonej na serwerze na Tajwanie. Przez nią przestępcy wykradali dane wpisywane przez klientów banku, którzy dostali sfałszowany URL w wiadomości e-mail udającej komunikat wysłany przez bank do klientów. Ofiary łatwo dawały się oszukać, ponieważ oprócz fałszywej strony łudząco podobnej do oryginalnej, dodatkowo w pasku adresu przeglądarki internetowej widniał prawdziwy adres strony banku, całe połączenie odbywało się poprzez SSL, a widoczny certyfikat był prawdziwym certyfikatem banku.

Sfałszowany odnośnik nie wyglądał na podejrzany, ponieważ odwoływał się, by przekazać spreparowane dane składające się głównie z cyfr i przecinków, bezpośrednio do skryptu JS znajdującego się na serwerze banku.

Źródło: netcraft.com

US-CERT poinformował o pojawieniu się w sieci kodu wykorzystującego nowe, niezałatane jeszcze luki w przeglądarce Internet Explorer.
Jedna z luk pozwala na zdalne wykonanie dowolnego kodu z przywilejami użytkownika korzystającego z przeglądarki. Aby ją wykorzystać, użytkownik musi zostać nakłoniony do otwarcia odnośnika do pliku udostępnionego poprzez WebDAV lub SMB. Należy więc unikać klikania w odnośniki pochodzące z niepewnych źródeł.

Druga luka pozwala na przeprowadzenie ataku cross-site scripring umożliwiając skryptom z jednej domeny odczytanie danych z innej. Luka ta została szerzej opisana w US-CERT Vulnerability Note VU#883108. Do czasu opublikowania poprawki zaleca się wyłączenie skryptów ActiveX w konfiguracji przeglądarki.

US-CERT: Public Exploit Code for Unpatched Vulnerabilities in Microsoft Internet Explorer –