Microsoft wydał nadzwyczajny krytyczny patch na wszystkie wspierane wersje systemu Windows. Poprawka łata podatność znajdującą się w mechanizmie obsługi zdalnych wywołań procedur MRPC (ang. Microsoft Remote Procedure Call). Dzięki niej atakujący jest w stanie przejąć całkowitą kontrolę nad podatnym systemem (wykonać dowolny kod). Ponadto luka może być wykorzystana w sposób całkowicie zdalny, co oznacza wysoką szansę na użycie jej przez robaki internetowe. To oznacza, że użytkownicy systemów Windows oraz administratorzy serwerów stojących na tym systemie, jeżeli jeszcze tego nie zrobili, powinni jak najszybciej je uaktualnić.

Luka opisana jest przez biuletyn bezpieczeństwa oznaczony numerem MS08-067. Można ją wykorzystać przesyłając specjalnie spreparowane polecenie RPC. Na systemach MS Windows 2000, Windows XP i Windows Server 2003 wykonanie dowolnego kodu nie wymaga żadnego uwierzytelnienia. W systemach Vista i Windows Server 2008 wykorzystanie luki wymaga odpowiednich uprawnień, dlatego patch skierowany dla tych systemów ma status “ważny” (important).

Specjaliści z Microsoft Malware Protection Center donoszą, że jeszcze przed wypuszczeniem poprawek obserwowali niewielkie (na razie) ataki wykorzystujące już tę podatność. Exploit został nazwany Exploit:Win32/MS08067.gen!A i jest używany do ściągnięcia trojana oznaczonego jako TrojanSpy:Win32/Gimmiv.A.dll. Ponadto w Internecie można już znaleźć kod programu, który zdalnie wykorzystuje lukę do celów demonstracyjnych (tzw. PoC, z ang. Proof of Concept). Użyliśmy go do przetestowania systemu Windows XP niezaktualizowanego oraz zaktualizowanego, a zrzuty ekranu umieściliśmy poniżej:

• zdalny atak na niezabezpieczony komputer:
  
• błąd widziany na zaatakowanym komputerze:
  

  

• zdalny atak na zabezpieczony komputer:
  

Podatność ta jest niewątpliwie bardzo groźna. Jednakże występuje ona w mechanizmie, którego luki był już wielokrotnie wykorzystywany w historii przez różnego rodzaju robaki. To oznacza, że jeżeli dotychczas używane były odpowiednie zabezpieczenia w lokalnej sieci, to powinny one chronić również przed tą najnowszą podatnością. Chodzi tu np. o filtrowanie przez firewalla odpowiednich portów, takich jak 445, 139, 135, itp., które uniemożliwia propagowanie się takich robaków. Niestety, z naszych obserwacji (m.in. ruch obserwowany przez system ARAKIS) wynika, że “stare” robaki , jak Sasser czy Blaster, ciągle żyją i mają się bardzo dobrze. Czym to jest spowodowane? Bezpośrednio tym, że użytkownicy domowi oraz administratorzy nie aktualizują swoich systemów, nie używają antywirusów ani nie wykorzystują do tego firewalli. Czemu tak się dzieje, możemy tylko przypuszczać (zgadywać?). Powyższy przykład nie napawa nadzieją, że najnowsze zagrożenie – pomimo dostępnych kompletnych środków zabezpieczających – nie podzieli podobnego losu i nie będzie masowo wykorzystywane przez cyberprzestępców. Dlatego jeszcze raz apelujemy o aktualizowanie swojego systemu, wszelkich aplikacji, sygnatur antywirusowych, używanie zabezpieczeń (antywirus, firewall) i o zdrowy rozsądek oraz ograniczone zaufanie podczas używania Internetu.

Przydatne linki:
- biuletyn bezpieczeństwa MS08-067
- więcej szczegółów o podatności
- Microsoft Malware Protection Center

Jeszcze do niedawna odwiedzający stronę Serious Magic (seriousmagic.com) należącą do firmy Adobe Systems mogli zostać zainfekowani złośliwym oprogramowaniem. Wszystkiemu winni byli “właściciele” botnetu o nazwie Asprox, któremu metodą SQL injection udało się wstrzyknąć w kod strony odnośniki do złośliwych skryptów JavaScript. Specjaliści z firmy antywirusowej Sophos poinformowali o tym fakcie Adobe w zeszły piątek, 10 października. Sophos oficjalną informację opublikował dopiero dzisiaj (dzień wcześniej incydent został opisany na oficjalnym blogu).

Według strony diagnostycznej Google SafeBrowsing dla “seriousmagic.com/help/tuts” zagrożenie już zostało zażegnane. Wcześniej witryna ta miała rozpowszechniać 146 złośliwych skryptów, 17 exploitów i 3 trojany.

Asprox znany jest właśnie z masowych ataków SQL injection na wiele stron internetowych. Udało mu się zainfekować m.in. strony Redmond Magazine czy Sony PlayStation.

Przed złośliwymi skryptami JavaScript internautów chroni m.in. dodatek NoScript dedykowany przeglądarce Firefox.

Specjaliści z SANS Internet Storm Center opisali niedawno bardzo interesujący proceder wykorzystywany przez internetowych przestępców. Dzięki niemu internauci odwiedzający skompromitowane strony www i spełniający określone kryteria mogą być przekierowani na dowolną stronę (zazwyczaj infekującą złośliwym oprogramowaniem).

Pomysłowi cyberprzestępcy wykorzystują mechanizm zwany RewriteEngine dostępny w serwerach www Apache. W wielkim skrócie mechanizm ten polega na automatycznym podmienianiu adresu URL na inny. W zamyśle twórców miał pomóc w podmienianiu długich i nieprzyjaznych człowiekowi URLi na krótsze i łatwiejsze do zapamiętania.

Pomysł polega na tym, że reguły mechanizmu RewriteEngine sprawdzają warunki, czy nagłówek HTTP “Referer” nie zawiera jakiś konkretnych adresów (w tym wypadku są to adresy najpopularniejszych wyszukiwarek internetowych). Jeżeli jakakolwiek reguła jest spełniona, to takowy użytkownik przekierowywany jest pod konkretny adres – z dużym prawdopodobieństwem będzie to złośliwa strona infekująca komputer internauty jakimś niebezpiecznym oprogramowaniem (tzw. malware).

Mechanizm RewriteEngine jest konfigurowany przez wpisy w pliku .htaccess. Przykładowa konfiguracja może wyglądać mniej więcej tak:

Taki plik jest umiejscawiany/podmieniany na zaatakowanym serwerze. Dostęp do serwerów atakujący uzyskują m.in. wykorzystując luki, lub poprzez skradzione hasła do konta FTP, albo w inny podobny sposób. Od tej chwili internauci odwiedzający zaatakowaną stronę wchodząc ze strony którejś z wyszukiwarek (kwestia ustawionego przez przeglądarkę internetową ofiary nagłówka „referer”), są przekierowywani na złośliwy URL.

Gdy internauta (albo automat szukający zainfekowanych stron) wejdzie bezpośrednio na zaatakowaną w ten sposób stronę, nie zostanie nigdzie przekierowany – strona będzie wyglądała na „zdrową”. Natomiast, gdy na stronę wejdzie klikając w wynik zapytania w wyszukiwarce internetowej (albo w mechanizm typu Google AdWords lub AdSense)… Voila! Zostaje skierowany do strony, która albo wykorzystując łatwowierność (względnie brak doświadczenia) użytkownika, albo luki w jego przeglądarce internetowej, instaluje w jego systemie złośliwe oprogramowanie. Wszystkie narzędzia poszukujące “skompromitowanych” stron, jeżeli nie ustawią odpowiednio nagłówka “referer”, nie wykryją niebezpieczeństwa.

Cały ten proceder został opisany przez SANS ISC w kontekście dystrybucji bardzo “popularnego” ostatnimi czasy fałszywego oprogramowania antywirusowego (które, co warto wspomnieć, działa wprost przeciwnie: zamiast chronić, infekuje).

Źródło:
http://isc.sans.org

lista domen docelowych, które serwują fałszywego antywirusa:
http://ddanchev.blogspot.com