Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

(więcej…)

Na przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

Wraz ze wzrostem zainfekowanych stron internetowych pojawiają się również narzędzia służące do identyfikacji oraz analizy złośliwego kodu. Potrafią one wydobywać kod (głównie JavaScript, ale także VBScript) z dokumentów HTML i PDF oraz z animacji Flash. Następnie, w badanym kodzie, wyszukiwane są exploity. Mogą to być standardowe przepełnienia bufora jak i pływające ramki pobierające szkodliwy program, czy automatyczne przekierowania do złośliwych stron. Do takich narzędzi należą min. PhoneyC, jsunpack oraz wepawet.

(więcej…)

W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

1. Zrezygnować z używania przeglądarki Internet Explorer 6
2. W przypadku używania przeglądarki Internet Explorer - korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem “Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem “Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(więcej…)

W przeglądarce Internet Explorer została zidentyfikowana nowa luka typu 0day, która umożliwia atakującemu uruchomienie złośliwego kodu i w efekcie przejęcie kontroli nad maszyną użytkownika. Microsoft potwierdza w opublikowanym niedawno Security Advisory, że podatnością są objęte przeglądarki w wersjach 6 oraz 7. Wolny od zagrożenia pozostaje Internet Explorer w wersji 8 (wg. danych Microsoft). Użytkownicy starszych wersji przeglądarki powinni wyłączyć obsługę ActiveScripting w strefie Internet oraz Local Intranet do czasu pojawienia się stosownej łatki.

Pierwsze wzmianki o nowej luce pochodzą z listy BugTraq prowadzonej przez SecurityFocus. Analitycy z firm VUPEN Security oraz Symantec potwierdzają, że nowo-odkryta luka może być użyta do infekowania komputerów złośliwym kodem, jednakże jak dotąd nie zaobserwowano jej wykorzystania w Internecie.

(więcej…)

Od ostatniego dnia sierpnia dostępny jest w Internecie exploit wykorzystujący nieznaną wcześniej lukę w usłudze FTP popularnego oprogramowania serwerowego Microsoft Internet Information Services (IIS). Firma z Redmond do tej pory nie wydała łaty usuwającej niebezpieczeństwo, ale – jak zapewnia – cały czas nad tym pracuje.

Problem tkwi w parserze nazw katalogów – użycie komendy NLST (NAME LIST) ze specyficznym ciągiem znaków powoduje przepełnienie bufora stosu (stack-based buffer overflow). W wyniku tego możliwe jest wykonanie dowolnego kodu na atakowanym systemie, lub ewentualnie zawieszenie aplikacji (atak Denial-of-Service).

Aby tak się stało, atakujący musi mieć dostęp do konta użytkownika na serwerze FTP, który ma prawo do zapisu (by utworzyć katalog o ’specjalnej’ nazwie). Upubliczniony pierwotnie exploit (jak i te późniejsze) wykorzystują użytkownika anonymous. Oczywiście istnieje także możliwość włamania się na inne konto, np. łamiąc hasło.

Podatne na atak są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP) oraz IIS 6.0 (Windows Server 2003). IIS 7.0 (Windows Vista, Windows Server 2008) nie jest zagrożony. Tymczasowym rozwiązaniem (tzw. workaround), a właściwie oddaleniem problemu, jest odebranie praw zapisu dla konta typu anonymous i innych bezhasłowych. Ewentualnie wyłączenie w usłudze FTP tych kont. Należy jednak pamiętać, że to rozwiązanie nie gwarantuje bezpieczeństwa – działa tylko na upublicznione do tej pory exploity. Dalej istnieje możliwość ataku z poziomu innych użytkowników. Istnieje jeszcze rozwiązanie blokowania z poziomu systemu plików NTFS możliwości tworzenia katalogów przez użytkowników z grupy FTP, ale to dotknie wszystkie konta FTP oraz zabezpieczy przed wstrzyknięciem kodu, ale nie przed atakiem DoS. Kroki pokazujące jak wykonać te wszystkie operacje znajdują się w opisie luki na stronach Microsoft.

(więcej…)