Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hajnal Hadművelet - Hírek

2010.01.19. 13:51 | buherator | 12 komment

Van pár említésre méltó érdekesség az Operation Aurora-val kapcsolatban, amikről jobb ha innen értesültök, és nem mondjuk az indexről:

  • A 0-day IE exploitot Dino Dai Zovi (állítása szerint) megbízhatóan "portolta" IE7-re WinXP és Vista alá
  • A legjobb védekezési módszernek a Data Execution Prevention bekapcsolása tekinthető (közben ezt is megdöntötték, lásd a frissítést!). A következő konfigurációkon (megfelelő hardver és BIOS beállítások esetén) ez alapértelmezett:
    - Internet Explorer 8 + Windows XP Service Pack 3
    - Internet Explorer 8 + Windows Vista Service Pack 1 vagy későbbi
    - Internet Explorer 8 + Windows Server 2008
    - Internet Explorer 8 + Windows 7
  • Windows XP SP2 valamint Vista RTM felhasználók használhatják ezt a csomagot a DEP engedélyezésére. További infók a megelőzéssel kapcsolatban erre.
  • Az F-Secure arról számol be, hogy múlt héten(!) a hosszú ideig javítatlan Adobe Reader sebezhetőséget használták ki több, az amerikai hadsereggel együttműködő szervezettel szemben. A támadás célzottságát jól mutatja, hogy a kártékony kóddal megspékelt dokumentum egy valódi, Védelmi Minisztérium által szervezett konferenciára szóló meghívó volt. A sikeres kihasználást követően a trójai egy HTTP kapcsolaton keresztül egy taivani IP címhez kapcsolódott.

Frissítés:

Idő közben a VUPEN Security szakemberei állítólag létrehoztak egy olyan exploit-ot, ami a DEP-et is sikeresen megkerüli. A cég a JavaScript letiltását javasolja az érintett felhasználóknak. (thx Hunger). Emellett az az állítás is megdőlni látszik, hogy a sebezhetőséget kizárólag célzottan használják ki: a McAfee jelentése szerint hagyományos támadássorozat kezdődött az IE bug kihasználásával, bár ez egyelőre elsősorban Kínát érinti.

Címkék: adobe internet explorer 0day dep operation aurora

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2010.01.19. 14:10:32

"30 amerikai cég szervereire betörtek [1]."

Gratulalok index

synapse

buherator · http://buhera.blog.hu 2010.01.19. 14:14:51

@synapse: Az indexes tech cikkek loljairól külön blogot kéne nyitni. A cím egyébként szerintem sokkal súlyosabb szellemi retardációra utal.

synapse · http://www.synsecblog.com 2010.01.19. 17:31:42

Kell ugye a nezo mert reklambol elnek ezekis, erdemi szolgaltatas nemigen van. Az o objektiv hozzaallasukert tarkoloveseket lehetne osztani. A cikkek pontossagat mar nem is hozom fel.

synapse

Hunger 2010.01.19. 21:00:29

"A legjobb védekezési módszernek a Data Execution Prevention bekapcsolása tekinthető."

Nem úgy tűnik:

"We Released a DEP-Bypass Exploit for the Internet Explorer 0Day. So, enabling DEP will not protect you. Disabling JavaScript will."

twitter.com/VUPEN

synapse · http://www.synsecblog.com 2010.01.20. 09:42:01

Hmm. Errol van valami egyeb reszleted? Nincs normalis aslr winen?

synapse

buherator · http://buhera.blog.hu 2010.01.20. 10:43:27

@Hunger: thx!

@synapse: az eredeti sploit heap spray-el letudta a dolgot.

Ezt meg most találtam, elég jó prezi a témában: www.toorcon.org/tcx/2_Sotirov.pdf

synapse · http://www.synsecblog.com 2010.01.20. 10:52:10

"az eredeti sploit heap spray-el letudta a dolgot."

??? Es? Pont ez ellen van a DEP.

LOL @ www.toorcon.org/tcx/2_Sotirov.pdf:

"How to impress girls with browser memory protection bypasses"

Hat igen, van akinek ilyenre kell vetemednie :D

synapse

synapse · http://www.synsecblog.com 2010.01.20. 11:27:24

OMFG

FAIL: DEP mellett RWX -es paget allokal :D

Viszont ha a dep es az aslr is mukodik normalisan, akkor nem tudsz mit tenni, mert nem tudsz visszaterni sehova. Arrol nem szol ugye a fama, hogy a stacken allokalt helyi valtozok modositasaval hasznalhato-e vmire a bug, de variable reordering miatt erre keves esely van. BTW stack spraying kurvajo. A usercontrol meg egy vicc :D

synapse

Collingwood 2010.01.21. 16:21:16

Sziasztok!

Nagyon amator kerdest teszek fel, elore is elnezest erte: nem hasznalom az IE-t (helyette Firefoxot NoScript bovitmennyel), de telepitve van a gepemen (ha jol emlekszem IE8). Ebben az esetben is veszelyeztetve vagyok, vagy csak akkor, ha IE-vel bongeszek?

Koszonom,

Collingwood

buherator · http://buhera.blog.hu 2010.01.21. 17:27:05

@Collingwood: Az IE motort a windows használja még pár helyen (outlookban is asszem), tehát ezeken a pontokon elméletileg sebezhető lehetsz, de a támadások tipikusan webről érkeznek, így a FF+NoScript párossal gyakorlatilag védve vagy _ezektől_ a támadásoktól (aztán hogy mit engedélyezel a noscriptnek, meg milyen bugos a FF az egy másik kérdés).

Elvileg ma érkezik a hivatalos javítás (ebből az időeltolódás miatt nálunk sanszosan holnap hajnal lesz)

Collingwood 2010.01.21. 17:49:26

@buherator: kosz` a gyors valaszt.

Udv`

Collingwood