Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Wiszlát XP!

2014.04.08. 22:47 | buherator | 6 komment

Nem lepődnék meg ha a mai nap az IT-biztonság fekete keddjeként vonulna be a történelembe: az egyelőre felmérhetetlen súlyú Heartbleed sérülékenység mellett ma lejár a Windows XP (és az Office 2003) biztonsági támogatása, pedig még jócskán vannak élő rendszerek, méghozzá olyan helyeken, amiket egyáltalán nem lenne jó 0wnolva látni. 

A tisztán látás kedvéért, illetve mivel több vonatkozó kérdést kaptam az utóbbi időben, leírom mi jön most:

  • Mindenki szépen feltelepíti a mai MS frissítéseket. (az MS14-019-et elmagyarázhatná valaki kommentben btw.)
  • Várunk maximum egy hónapot, amíg kijönnek a következő MS javítások
  • A hackerek (kalapszíntől függetlenül) elkezdik visszafejteni a patch-eket
  • A patchek alapján exploitok születnek, amik így-vagy úgy eljutnak rossz kezekbe is, beszéljünk akár az aktuális nagy Ellenségről vagy egyszerű Zeus banditákról
  • Az exploitok szépen lassan be fognak szivárogni a még mindig XP-t használó hálózatokba, és GAME OVER.

Ezek mellett fontos hangsúlyozni, hogy:

  • A vírusírtó nem fog megvédeni (sőt0, sőt1)
  • A rövidesen felbukkanó "XP-őr" sneakoil termékek főleg nem
  • Imádkozni ér, nyafogni nem, volt idő az átállásra

Most pedig:

Címkék: windows patch windows xp

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

dnet 2014.04.09. 09:03:37

MS14-019 valóban viccesen van megfogalmazva, én Techneten találtam róla jobb leírást, ami alapján DLL hijacking jellegű gondnak tűnik, és a támadónak az aktuális munkakönyvtárat (CWD) kell kontrollálnia, miközben az áldozat megbízható helyről futtat bat/cmd fájlokat.

[1] blogs.technet.com/b/srd/archive/2014/04/08/ms14-019-fixing-a-binary-hijacking-via-cmd-or-bat-file.aspx

buherator · http://buhera.blog.hu 2014.04.09. 10:09:33

@dnet: Köszi, mostanában késve érnek be az SRD posztok a feed olvasómba :(

Szóval ahogy nézem itt előfeltétel, hogy legyen egy alkalmazás, ami .bat vagy .cmd fájlokat CreateProcess()-el akárhonnan. Ha a támadó tudja írni a CWD-t, akkor lerakhat egy cmd.exe-t, a CreateProcess() pedig ezt fogja elindítani a rendszer eredeti cmd.exe-je helyett. Nyakatekert.

Alter Egon 2014.04.11. 19:48:15

Kormányzati szférában akár nyafogni is "ér": sajna 5-6 éve beszerzési stop van, a gépek átlagéletkora 10 év feletti, Win7 (licensz) még lenne, de vas az nem van...:(
A magam részéről kevésbé vagyok pesszimista: ha meghozzák a szükséges biztonsági intézkedéseket (nyilván nem elég csak egy up-to-date víruskergető), akár még viszonylag problémamentesen kibekkelhetnek egy pár hónapos időszakot (mikorra legalább részlegesen megoldódhat a vasak problémája).

buherator · http://buhera.blog.hu 2014.04.12. 18:02:43

@Alter Egon: Ez a megjegyzés nyilván nem a rendelkezésre álló erőforrással sakkozó üzemeltetőkre vontakozik, hanem azokra, akik nem allokálnak/harcolják ki a szükséges pénzeket az informatika életben tartására. Abban igazad van, hogy van most egy viszonylag békésnek látszó átmeneti időszak, de ez nem fog sokáig így maradni, megfelelő alapok (korszerű OS) nélkül pedig elég reménytelen hatékony kockázatcsökkentő intézkedéseket hozni.

balcsida 2014.04.17. 19:50:47

Nem vagyok egy biztonsági mágus, de nem lennék meglepve, hogyha a különféle kormányzatok által bevásárolt plusz egy év támogatás alatt kiszivárognának a hozzájuk eljuttatott update fájlok.

buherator · http://buhera.blog.hu 2014.04.25. 15:39:29

@balcsida: Ez azért nem olyan egyszerű, különböző nyelvekre pl. különböző patchek kellhetnek + egy kalóz patch-hez senki nem ad támogatást ha valami eltörik.