Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

DNS bug - Frissítési szolgáltatások támadása

2008.07.29. 17:04 | buherator | 15 komment

Az Infobyte Security Research csapata közzé tett egy Evilgrade nevű eszköt, amely a legutóbbi DNS cache poisoning hiba kihasználásával, illetve egyéb man-in-the-middle módszerek segítségével lehetővé teszi, hogy elterjedt alkalmazások automatikus frissítési szolgáltatásán keresztül futtassunk saját kódokat a szolgáltatást igénybe vevő számítógépeken.

A program lényegében egy modulokkal bővíthető keretrendszer, melyhez eddig többek között a Java RE, OpenOffice.org, WinZip, WinAmp és iTunes  programok frissítési szolgáltatásait utánzó kiegészítéseket is kifejlesztettek.

A kódfuttatáshoz természetesen sikeres beékelődéses támadást kell végrehajtani, de sajnos nem bízhatunk abban, hogy az összes DNS szervert belátható időn belül javítani fogják (és akkor még nem is beszéltünk a DHCP szerverekről, vagy az ARP poisoningról), ezért csak az aláírt frissítésekkel működő szoftvereket tekinthetjük biztonságosnak.

Reméljük, hogy ez az eszköz a különböző botnetek zombiállományának növelése helyett, inkább a rendszergazdák és programozók észbekapását fogja eredményezni.

 

Címkék: dns man in the middle evilgrade

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nade 2008.07.30. 16:08:28

"Erről most az jutott eszembe, hogy már "helyben" elég sok probléma van. Pl. tök durva, hogy a hosts fájl simán hozzáférhető, és módosítható. Pl. ül a gyerek a gép előtt, haver küld MSN-n 1 prg-t. Az beleír a hosts-ba, és 1 IP címhez aliasként egy teljesen más címet ad meg, ahol esetleg a "haver" már előkészített vmit... Szal ilyen könnyen megvan a phishing."


A sracnak fogalma sincs rola mi az a phishing... De akkor mé kell okoskodni? Fejlövés!

EQ · http://rycon.hu 2008.07.30. 16:14:47

szerintem csak érdekesen fogalmaz, és neked kevés a képzelőerőd

buherator · http://buhera.blog.hu 2008.07.30. 16:33:06

Ha jól tévedek, a helyi DNS tábla buherálásval kivitelezett adathalászatot hívják úgy, hogy pharming...

"A Magyar Telekom a cég belső átszervezése miatt elég szűk határidőt szabott, így a megoldást a szokásos másfél év helyett három hónap alatt vezették be." - az ilyenek szoktak jól elsülni...

EQ · http://rycon.hu 2008.07.30. 23:11:09

@nade: legalább vki beismeri, ritka az ilyen, de amúgy ha nem létezne módszer rá, akkor is való fenyegetés lenne.

Btw nagyon sokan nem ismerik a winek határait, én sem, viszont olyan policykat be lehet állítani benne, hogy beszarsz, nem is hinnéd hogy létezik ilyen meg olyan. Szóval ez a winxp-n írjuk át a hosts file-t már régen rossz ha azthisszük h nem lehet korlátozni.

nade 2008.07.31. 11:45:54

@EQ milyen policyra gondolsz winnel ami olyan hudekulonleges? Ha azt mondod, hogy el lehet tuntetni a Lomtarat az asztalrol visitok... :-))

Szerintem egy sima ACL is boven eleg. Na meg persze nem adminkent kell bejelentkezni. De hat a phisherek pontosan az emberi butasagra apellalnak, szoval aki rakattint minden reklamlevelre az szerintem azt se tudja mi az a HOSTS file :-))

EQ · http://rycon.hu 2008.07.31. 14:00:40

@nade: mint mondtam ezen részen nem értek a winhez, szimplán azt tudom h sokkal több olyan dolgot lehet vele korlátozni, mint amennyit hisz az ember. Nem csak home userek vannak, cégeknél a rendszergazdák dolga lenne egy olyan korlátozott felületet konfigolni, amin a user épp csak megél, de joga nincs szinte semmihez.

DNS hibáról meg annyit, hogy bakizott a csóka, de ez is csak hype. Ha te teszteled a szolgáltatód dns-ét akkor bűntényt követsz el, ha nem teszteled akkor nem lehetsz biztos benne hogy jót használsz. De természetesen lehetett volna olyat használniuk ami jó. BTW miért tenné ki magáról h hülye volt ha nem a figyelmet akarná felhívni?

GhostBoy™ 2008.07.31. 18:26:28

Na ezen azért elmosolyodtam :) az exploit írója nem figyelt a szerverein futó biztonságra és a saját csapdájába esett bele..

buherator · http://buhera.blog.hu 2008.08.01. 12:49:47

Abba lehet fejezni, nem játszótér...

Egyébként: en.wikipedia.org/wiki/Pharming

nade 2008.08.01. 13:23:24

Na, ha EZERT nincs semmi a hohh-on majus ota. Bekaphatjatok...
Faszom fog titeket tanitani...

synapse · http://google.com 2008.08.04. 14:24:13

Nade:

Hallod te ki vagy ecsem hogy ekkora mellennyel osztod itt a vasfaszsagot?

1) Ha bele tudsz irni a hosts fileba, akkor az az azt jelenti, hogy rendszergazda privilegiumaid vannak, kovetkezeskepp mar a tied a gep (felteve, hogy nem fat-ot hasznalsz).

2) Majd ha nem csak az arcod lesz nagy, hanem tenyleg megtanulsz exploitot irni akkor lesz okod beszolni. Az arroganciat ki kell erdemelni, te nem tetted meg. Mellesleg pedig egy AT&T-s DNS servert nyomtak meg.

Szoval villants valamit vagy kussolj.

Cheers:
synapse
süti beállítások módosítása