Tag: Microsoft

Smoke Loader jako wtyczka Microsoft Office

Data publikacji: 27/08/2015, Łukasz Siewierski

loveletter1

Serwis Zaufana Trzecia Strona udostępnił informację na temat nowej kampanii, wykorzystującej logo produktu Microsoft Office w celu dystrybucji wtyczki do przeglądarki. W rzeczywistości, instalator wtyczki do przeglądarki zawiera również niechciane oprogramowanie o nazwie Smoke Loader. Pozwala ono np. przekierować rozwiązania adresów domenowych albo wykradać dane z komputera ofiary. Zawiera również komponent, który ukrywa te działania, zwany rootkit. O Smoke Loader już pisaliśmy na naszym blogu przy okazji kampanii wykorzystującej strony w domenie gov.pl. Teraz opisujemy dokładniej najnowsze wcielenie tego złośliwego oprogramowania.
Czytaj więcej

Kolejny dzień, kolejna 0-day podatność. Tym razem Internet Explorer

Data publikacji: 21/09/2012, rz

IE

Nie przebrzmiały jeszcze echa po wykryciu poważnego błędu w oprogramowaniu Oracle, a pojawiły się doniesienia o odkryciu luki w kolejnej popularnej aplikacji, mianowicie w przeglądarce Internet Explorer. Podatne są wersje 6,7,8 oraz 9, a zatem wszystkie obecnie używanych wersje. Lista podatnych systemów jest również długa i obejmuje wszystkie obecnie wspierane systemy z rodziny Windows. Zgodnie z informacją Microsoftu podatność nie dotyczy Internet Explorer 10 oraz Windows 8 i Windows 2012, jednak te produkty nie doczekały się jeszcze oficjalnego wydania. Luka jest groźna, gdyż dotyczy znaczącej liczby Internautów. Przykładowo w Polsce szacuje się, że z przeglądarek IE8 i IE9 korzysta około 20% użytkowników sieci – liczby te są jeszcze wyższe w Europie Zachodniej i USA. Wprawdzie Microsoft dotychczas nie opublikował oficjalnej poprawki, lecz jak można przeczytać w tym artykule, prace nad nią trwają i prawdopodobnie wkrótce doczekamy się wydania łaty.


19 września Microsoft opublikował rozwiązanie Fix it, które zapobiega wykorzystaniu luki.
21 września Microsoft opublikował poprawkę usuwającą lukę. Łata dostępna jest przez Windows Update lub można ją pobrać z tej witryny.

Czytaj więcej

Morto – nowy robak sieciowy

Data publikacji: 30/08/2011, TomaszG.

Od dwóch dni serwisy zajmujące się bezpieczeństwem komputerowym donoszą o pojawieniu się nowego robaka sieciowego nazwanego Morto. Atakuje on źle zabezpieczone systemy Microsoft Windows wykorzystując do tego celu protokół RDP (Remote Desktop Protocol) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje żadnej luki w oprogramowaniu, a atak polega na próbie odgadnięcia nazwy użytkownika i hasła. Po infekcji robak szuka w sieci kolejnych komputerów z uruchomioną usługą RDP i próbuje je zainfekować. Powoduje to znaczący wzrost ruchu sieciowego na typowym dla tej usługi porcie 3389/TCP. Masową propagację Morto od jej początku obserwujemy dzięki systemowi ARAKIS.

Czytaj więcej

Nowe techniki przełamywania zabezpieczeń Windows 7

Data publikacji: 27/12/2010, CERT Polska


Zabezpieczenia typu ASLR (ang. Address Space Layout Randomization) oraz DEP (ang. Data Execution Prevention) to techniki mające na celu zabezpieczenie systemu operacyjnego przed włamaniami przez wykorzystanie błędów w oprogramowaniu użytkowym. W systemie Windows funkcjonują one począwszy od wersji XP SP 2, jednak pod koniec roku 2010 w sieci pojawiły się exploity omijające oba te zabezpieczenia nawet w jego w najnowszych wersjach (np.: exploity w dokumentach PDF). W artykule „Nowe techniki przełamywania zabezpieczeń Windows 7 w malware” prezentujemy wyniki badań nad tymi exploitami. Szczegółowo omówiony został proces przejmowania kontroli nad wykonywanym w podatnych aplikacjach kodem oraz przedstawione zostały sposoby zabezpieczenia systemu przed atakami tego rodzaju. Zapraszamy do lektury!

Windows Binary Planting – podrzucanie modułów wykonywalnych w systemie Windows

Data publikacji: 26/08/2010, CERT Polska

bad dll

W ostatnich tygodniach szeroko dyskutowana jest nowa luka w zabezpieczeniach systemu Windows. Podatność zwana „Windows Binary Planting” lub „DLL Preloading Bug” pozwala na przeprowadzenie ataku na podatne aplikacje i w konsekwencji wykonanie spreparowanego kodu.

Omawiana luka w rzeczywistości nie jest luką w kontekście exploitacji oprogramowania, a raczej błędem projektowym, który można w zasadzie uznać za część funkcjonalności systemów Windows. Jest ona konsekwencją podejścia do ładowania bibliotek dołączanych dynamicznie (DLL) i, jako taka, jest znana już od dość dawna. Metoda nazywana Windows Binary Planting to po prostu nowy, pomysłowy sposób jej wykorzystania. Jest to metoda o olbrzymim potencjale dla potencjalnych napastników, przede wszystkim ze względu na duży zbiór podatnych aplikacji, których wersja jest w zasadzie bez znaczenia. O Windows Binary Planting pisał już w lutym pracownik Uniwersytetu Kalifornijskiego, Taeho Kwon, natomiast o innych metodach korzystania z luk w systemie ładowania bibliotek DLL (DLL spoofing) – m.in. polski specjalista ds bezpieczeństwa informacji Gynvael Coldwind (http://vexillium.org/?sec-dllsp).

Czytaj więcej