hacking.pl

Codzienna dawka nowych wiadomości ze świata bezpieczeństwa. Tutoriale, narzędzia, linux oraz testy penetracyjne.

Windows 0-day exploit

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability. Tak opisany, wykryty dwa dni temu błąd formatu plików WMF w silniku renderingu grafiki Microsoft Windows sklasyfikowany został jako bardzo poważny. Podatność na specjalnie sformatowane pliki WMF przy atakach lokalnych i zdalnych (parsowanie pliku), daje atakującemu pełne prawa dostępu oraz możliwość dalszej penetracji systemu.

Każde uruchomienie instrukcji kodu wykonane jest z prawami użytkownika oglądającego spreparowany obraz. Atakujący uzyska prawa SYSTEM, w przypadku kiedy obraz otworzony zostanie przez użytkownika posiadającego prawa Administratora.

Przykładowy schemat ataku.

Kod strony HTML uruchamia WMF (Windows Meta File), który instaluje bazową wersję trojana. Nie pomoże nawet w pełni zaktualizowany Windows posiadający wszelkie Service Packs. Następnie ściągnięty zostaje Winhound, sfałszowany anty-spamowy/wirusowy program, który pyta się użytkownika o autoryzację i rejestrację oprogramowania, celem pozornego usunięcia znalezionych infekcji.

Internet Explorer automatycznie uruchomi program „Windows Picture and Fax Viewer”. W przeglądarce FireFox pojawi się okno z zapytaniem, czy użytkownik chce uruchomić program „Windows Picture and Fax Viewer”. W przypadku potwierdzenia – uruchomi się exploit. Z tego wniosek, iż używający IE w przeciwieństwie do FF nie mają praktycznie wpływu na obronę przez atakiem. Wystaczy otworzyć stronę internetową, na której znajduje się spreparowany WMF przeglądarką Internet Explorer lub przeglądnąć folder zawierający obrazki, używając Windows Explorer.

W niektórych przypadkach możliwa jest interwencja DEP (Data Execution Prevention). Niestety nie są jeszcze znane szczegóły dotyczące środowiska i schematu działania, w jakim DEP zareaguje. Z analiz przeprowadzonych przez F-Secure wynika, iż w ciągu ostatnich 24 godzin trzy różne rodzaje plików WMF zostały wykryte, celem wykorzystania błędu i próby dalszego rozprzestrzenienia się.

Błąd ten i kod exploita dostępny w sieci sklasyfikowany jest jako zero-day (0-day). Wiele firm oraz różnego rodzaju Instytucji zaniepokojonych jest sytuacją, w której publikacja exploita ma miejsce o wiele wcześniej niż wydanie przez vendors aktualizacji oraz łat. Szczególnie uważne powinny być osoby korzystające z Google Desktop, gdyż gigant indeksuje każde ściągnięte z sieci zdjęcie i automatycznie uruchomi exploit przy jego przeglądaniu.

Serwisy, które nie korzystają z parserów RSS – umieszczające newsy żywcem przepisane z Hacking.pl z innym źródłem informacji proszone są o podanie bazowego adresu jako jej źródła; a nie pośredniego, który i tak wskazuje na Hacking.pl.

Wyrok w sprawie ataku typu DDoS na eBay

Autor ataku typu DDoS na aukcję internetową eBay został skazany przed sądem w USA. Atak spowodował niezbyt duże szkody, wstępny szacunek to ok. 5,000 USD.

Anthony Scott Clark, lat 21, przyznał się do tego, iż współpracował z kilkoma ludźmi a zwieńczeniem tej współpracy było stworzenie sieci zombie liczącej ok. 20,000 komputerów.

Według Departamentu Sprawiedliwości, Scott przejął kontrolę nad tymi komputerami poprzez lukę, którą sam w 2003 roku odkrył w systemie Windows.

Po zainfekowaniu maszyny, komputer automatycznie łączył się z określonym serwerem IRC (chronionym hasłem) a następnie czekał na polecenia od swojego twórcy, Scotta. Jednym z poleceń było wykonać atak typu DDoS na aukcję internetową eBay.

Jeżeli sąd wymierzy najwyższą możliwą karę w takiej sytuacji, to Scott trafi do więzienia na okres 10 lat oraz będzie musiał zapłacić grzywnę w wysokości 250,000 USD !!
Źródło: The Register, Observer
Atak DDoS Japan.gov
Sieci botnet kradną poufne informacje
Zapadł wyrok za włamanie do telefonu Paris Hilton

Podsumowanie roku 2005

Czas na podsumowanie, poprzez pryzmat bezpieczeństwa teleinformatycznego, kończącego się roku 2005. Przez ostatnie 12 miesięcy internetową domeną były coraz to wymyślniejsze wirusy oraz coraz to bardziej zaawansowane i zorganizowane grupy cyber-przestępców.
Wojna wirusów

Największą bolączką 2005 roku były wirusy oraz trojany ukierunkowane już na konkretne komercyjne cele (można dostrzec, iż „imprezy masowe” odchodzą na dalszy plan).

Mieliśmy także okazję obserwować istną plejadę wirusów. Najpierw zbierający swe żniwa Sober a następnie Zotob, który skutecznie uprzykrzał życie mediom.

W roku 2005 doszło także do wielu aresztowań, m. in. aresztowania w Turcji i Maroku (Zotob) oraz aresztowanie Svena Jaschan (twórca takich wirusów jak NetSky czy Sasser).

Oprogramowanie typu spyware, którego zadaniem jest śledzenie Naszych poczynań oraz odkrywanie Naszych „sieciowych zachowań”, osiągnęlo w tym roku rekordowe rozmiary (pomijając zyski ich twórców..)
Cyber-przestępczość

Rok 2005 zostanie także zapamiętany jako rok szybkiego rozwoju cyber-terroryzmu oraz grup, które zawodowo zajmują się przestępstwami komputerowymi na szeroką skalę.

W tym roku miał miejsce istnty zalew nowych „cyber-gangów” oraz „karteli”, których głównym źródłem dochodów była cyber-przestępczość.

Przypuszczalnie, w bierzącym roku światowe dochody z tytułu przestępstw komputerowych były wyższe niż dochody uzyskane ze światowej dystrybucji i sprzedaży narkotyków.

Dlatego też, najlepiej zorganizowane cyber-gangi zaczęto nazywać „kartelami”, które posiadają zaawansowaną miedzynarodową strukturę oraz wewnętrzną hierarchię, przy czym bardzo często są silnie powiązane ze „zwykłym” światem przestępczym.

Głośnym echem odbiła się także nieudana próba kradzieży 423mln USD z Japońskiego banku Sumitomo Mitsui (filia w Londynie).
Phishing

Jeżeli chodzi o phishing, stał się on o wiele bardziej skomplikowany, nie polega już tylko na tworzeniu stron złudnie przypominających strony prawdziwych banków czy też nie polega już na zwykłym preparowaniu podsyłanych linków. Phisherzy upatrzyli swoje nowe możliwości m. in. w serwerach DNS.

Najwięcej udanych ataków typu phishing odnotowano w Wielkiej Brytanii, Niemczech oraz Finlandii.
Wirusy mobilne

Rok 2005 przyniósł także niejako nowe zagrożenia: wirusy rozprzestrzeniające się za pomocą telefonów komórkowych. Mowa tu m.in o trojanie Skulls czy też wirusie CommWarrior.
Tak więc rok 2006 zapowaiada się naprawdę ciekawie i imponująco..
Źródło: The Register, Observer

Zarejestruj się do 27 grudnia i wygraj palmtopa

Możliwość wygrania palmtopa została przedłużona do 27 grudnia 2005 roku! Dotychczas zgłosiło się 70 uczestników. Liczymy na wszystkich zainteresowanych tematyką bezpieczeństwa. Zarejestruj się już dzisiaj na konferencję CONFidence 2006.

Do zaszczytnego grona prelegentów dołączyła Joanna Rutkowska – występująca między innymi podczas Black Hat 2006! Czekamy na kolejne zgłoszenia.

Źródło informacji: Fundacja Wspierania Edukacji Informatycznej PROIDEA
CONFidence 2006

Życzenia Świąteczne

Jak co roku, redakcja Hacking.pl życzy radosnych Świąt Bożego Narodzenia, odpoczynku w rodzinnym gronie, spokoju i uśmiechu oraz pasma sukcesów i spełnienia wszelkich planów w nadchodzącym Nowym Roku.

Czarne dni dla kryptografii?

Symantec odmawia dalszej sprzedaży LC5 (windowsowe narzędzie do łamania/nadzoru haseł, pierwotnie produkt należał do @state) dla kogokolwiek spoza USA lub Kanady.

Nowe restrykcje Symanteca źle rzutują na światowy przemysł kryptograficzny. Może się okazać, iż znów tak jak kiedyś, wszystkie silne algorytmy kryptograficzne bądź narzędzia z nich korzystające wynalezione w USA nie będą mogły opuszczać granic swojego kraju.

Dzięki łagodnej polityce Billa Clintona restrykcje te zostały zlikwidowane, aczkolwiek widać, iż Symantec dąży do ich ponownego wdrożenia.

Symantec twierdzi, iż LC5 jest własnością rządu USA, więc nie powinien opuszczać granic ojczystego kraju.
Unfortunately, due to strict US Government export regulations Symantec is only able to fulfill new LC5 orders or offer technical support directly with end-users located in the United States and commercial entities in Canada, provided all screening is successful.

Commodities, technology or software is subject to U.S. Dept. of Commerce, Bureau of Industry and Security control if exported or electronically transferred outside of the USA. Commodities, technology or software are controlled under ECCN 5A002.c.1, cryptanalytic.
Źródło: The Register, SlashDot
Zdalny heap overflow w Symantec Antyvirus Library
Kryptografia zagrożona

Wyniki Świątecznego Konkursu

W związku z organizowanym Konkursem Świątecznym, w którym nagrodą był flagowy produkt firmy Webroot – Spy Sweeper. Z wszystkich osób, które nadesłały poprawne odpowiedzi wylosowaliśmy piętnastu szczęśliwców.
Tomasz Rydzewski, Szczecin

Wojciech Krasowski, Olsztyn

Michał Oleszkiewicz, Łódź

Mirosław Berdzik, Wrocław

Paweł Popowicz, Warszawa

Daniel Lewandowski, Raciążek

Jacek Kowalski, Wadowice

Małgorzata Dudek, Warszawa

Tomasz Moździerzewski, Dobrzelin

Anna Drab, Piława Górna

Anna Koszała, Warszawa

Artur Posłuszny, Warszawa

Małgorzata Brych, Kielce

Katarzyna Żydziak, Katowice

Karolina Pichnej, Warszawa
Gratulujemy i dziękujemy wszystkim, którzy wzięli udział w konkursie. Podziękowania należą się również firmie Quantus Technology, która ufundowała nagrody.

Biblioteka skanuje żyły

Miejska Biblioteka Publiczna w japońskim mieście Naka w dystrykcie Ibaraki została wyposażona w system skanowania naczyń krwionośnych dłoni, wdrożony przez firmę Fujitsu. To pierwsza na świecie wypożyczalnia książek, która identyfikuje swoich użytkowników w oparciu o tą metodę biometryczną.

Wprowadzenie nowoczesnej metody autentykacji czytelników oznacza, że tradycyjne karty biblioteczne są już niepotrzebne. Aby wypożyczyć książkę wystarczy bowiem położyć dłoń na czytniku i pozwolić się zidentyfikować. Podobnie jak w przypadku układu linii papilarnych na palcu, także układ naczyń krwionośnych w dłoni jest unikalny dla każdego człowieka. Co więcej, wzór żył jest indywidualny dla lewej i prawej dłoni tego samego człowieka.

Aby móc korzystać z wypożyczalni książek, należy wpierw poddać się rejestracji w systemie identyfikującym, w trakcie której skanowany jest wzór naczyń krwionośnych osoby, przechowywany następnie w komputerze. W celu skorzystania ze zbiorów biblioteki wystarczy przyłożyć dłoń do skanera, a system przeanalizuje i porówna aktualny obraz z uprzednio zgromadzoną bazą danych zarejestrowanych użytkowników i na tej podstawie dokona autentykacji czytelnika.

Źródło: Akihabara

Wirus Sober stróżem prawa?

Jak podaje agencja Reuters, w Niemczech internetowy wirus Sober przyczynił się kilka dni temu do ujęcia 20-letniego pedofila, który zgłosił się na policję, po tym jak otrzymał rzekome wezwanie na komisariat.

Mężczyzna wyjaśnił, że otrzymał e-mail, który przypominał oficjalny komunikat wysyłany przez niemiecką policję. Adresat wiadomości uznał, że jego aresztowanie jest już tylko kwestią czasu, wobec czego postanowił sam poddać się stróżom prawa.

Mocno zdziwieni policjanci przeszukali mieszkanie zatrzymanego, w którym znaleziono komputer wypełniony materiałami pornograficznymi oraz rzekomy e-mail, który okazał się być … wirusem Sober.

„Wbrew powszechnej opinii, wirusy komputerowe nie zawsze szkodzą” – żartował rzecznik policji w mieście Paderborn, w której ujęto pedofila.

Źródło: Yahoo

Zalecana aktualizacja Apache2 – 2.0.55

W związku z wykryciem w Apache2 (z wersją 2.0.54 włącznie) błędu dotyczącego MPM, pozwalającego na wykonanie zdalnego ataku Denial of Service (w rezultacie wyczerpanie pamięci) informujemy, iż pojawiły się nowe aktualizacje pakietów Apache2.

Wyciek pamięci możliwy jest przez anulowanie komend przy pewnych założeniach, które zapobiegają wymianie transmisji pamięci w puli, uniemożliwiając tym samym jej ponownego użycia dla kolejnych połączeń. Aktualizacje dotyczą również innych znalezionych błędów, m.in. błędu naruszenia ochrony pamięci przy wykorzystaniu mod_ldap.
SecurityFocus