Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Internet Explorer 0-day szabadon

2012.09.17. 22:07 | buherator | 8 komment

A vasárnapi összefoglalóban már említettem, hogy a legutóbbi Java 0-dayt terítő banda egyik szerverét figyelve Eric Romang egy új exploitra bukkant. Mivel a fő HTML oldal egy SWF fájlt is behúzott, a szakértő eleinte egy Flash sérülékenységre gyanakodott, mostanra azonban a Metasploit szakértői több független kutatóval együttműködve bebizonyították, hogy valójában egy Internet Explorer 7-8-9-et érintő 0-day use-after-free sérülékenység kihasználásáról van szó (a Flash-t ha jól nézem csak heap sprayingre használták).

A támadók Poison Ivy trójait terítenek a sérülékenység segítségével, a hiba kijavításáig érdemes alternatív böngészőre vagy IE10-re váltani.

Az exploit bekerült a Metasploit keretrendszerbe is, a modul a már említett IE verziókkal XP-n, Vistán és 7-en is működik.

Friss: A Microsoft vizsgálja a problémát, egyelőre nem eldöntött, hogy soron kívli patch-el oldják-e meg a problémát, vagy várni kell az októberi frissítőkeddig.

Friss2: A Microsoft nem sokára kiad egy FixIt-et a problémára, a mélyre ható védelem érdekében érdemes EMET-et használni:

 

A videón látszik, hogy bár az EMET érzékelhetően megfogja a teljesítményt, a böngésző a pluginekkel együtt használható marad, az exploit-on pedig elég sokat kéne reszelni, hogy lefusson (ha meg lehetne oldani egyáltalán)

Címkék: internet explorer 0day

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

zyrobs 2012.09.18. 01:37:43

Jő ez a "érdemes IE10-re váltani" szöveg, kár hogy arra csak ugy lehet per pillanat hogy cseréljük az egész oprendszert win8-ra.

Kár érte, mert jó böngésző.

Park Ádám 2012.09.18. 08:26:10

Off.

Vajon a no-sql cuccoknak, mongodb, couchdb, illetve az egyre populárisabb node.js 0day biztonsági problémáinak lehet-e már hírértéke az ehhez hasonló blogokon?

Szerintem a fentiek használata egyre elterjedtebb. Ha megnézzük a github-ot, a legpopulárisabb projektek között ott vannak a node.js frameworkök és akad 0day is rendesen. Nehéz reprezentatív statisztikát találni, de érzésre már jelentős szelete lehet, ahhoz, hogy figyelembe vegyük. Hogy látja a blogíró?

buherator · http://buhera.blog.hu 2012.09.18. 09:11:09

@Park Ádám: NoSQL-nél alapértelmezetten általában nincs megvalósítva security (Oracle-nél pl. nincs auth lehetőség egyáltalán!), ahogy láttam a legtöbben hálózati szeparációval működnek. Ezzel együtt természetesen minden komoly hiba érdekel.

Node.js-el nem foglalkoztam, de ezzel kapcsolatban is igaz az, hogy a konkrét projektek kevésbé érdekesek (hacsak nincs mögöttük jelentős felhasználói bázis), a platform hibái annál inkább.

Park Ádám 2012.09.18. 12:09:01

@buherator: Igen, jellemzően Nginx-el van a node.js proxyzva port 80-ra.

Node.js-ben pedig van egy minimális webszerver implementáció, amin keresztül a kommunikáció történik, mind a www proxy, mind a mongodb felé. mongoban éppen van auth, de kevésbé használják, ha csak nincs valami publikus felület (olyan, mint a phpmyadmin). És mindig van valami közbeékelt OM tool, mint a github.com/LearnBoost/mongoose (a validációs hibák egyik forrása.)

Azért emelem ki ezeket, mert általában így, együtt alkalmazzák. Szerintem már van jelentősége, főleg felhőben számolt webalkalmazásoknál, illetve mobilappok kiszolgálásánál. Érdemes megnézni mekkora community van mögötte, és a buzz egyre csak nő. Ugyanazt a tendenciát látom popularitásban, mint amikor annó a Drupal fellendült.

buherator · http://buhera.blog.hu 2012.09.18. 18:17:04

@Park Ádám: Na, az ilyen gyakran használt keretrendszerek, modulok simán érdekesek lehetnek. A többit viszont beszéljük át privátban, ne spameljük a posztot!

buherator · http://buhera.blog.hu 2012.09.18. 18:54:42

@Meister: Ezt én is olvastam, de MS-os referenciát nem láttam... A szoftver használatát ezzel együtt én is csak ajánlani tudom.

Ha ma sem tudok elaludni, csinálok valami anyagot a konfigurációs tudnivalókról :)

Meister · https://www.facebook.com/Meister1977 2012.09.18. 19:16:24

@buherator: Megvan, itt ajánlja:
technet.microsoft.com/en-us/security/advisory/2757760
Suggested Actions --> Workarounds --> Deploy the Enhanced Mitigation Experience Toolkit