Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

Fekete Lyuk - Feketepiac

2013.01.10. 14:54 | buherator | 10 komment

Nem rég a BlackHole exploit kit fejlesztői új programot hírdettek, melynek keretében összesen 100.000 dollárt ajánlottak fel eddig ismeretlen böngésző vagy böngésző plug-in sérülékenységekért, exploitokért, vagy meglévő exploitok továbbfejlesztéséért (pl. új célplatformok). Ezzel a BlackHole gyakorlatilag új konkurenciája lett a (fél)legitim exploit kereskedőknek. 

Most úgy tűnik, a program eddig eredményes volt: Brian Krebs szerint a BlackHole most már tartalmaz egy eddig ismeretlen Java 0-day exploitot (még egyszer mondom: kapcsoljátók ki azt a rohadt bővítményt!). 

A BlackHole kitet évi 1.500 dollárért vesztegetik, de a készítők állítólag egy új csomaggal is készülnek, amiért havi 10.000 dodót (!) kérnének - az egyelőre nem tiszta, hogy az új 0-day (már ha valóban létezik) melyik csomagban szerepel. 

Friss: Élesítés után közvetlenül esett be a hír, hogy a 0-day létezését az AlienVault Labs is megerősítette, az exploit működik a legfrissebb Java 7-tel szemben.

Friss (január 10. 17:02): Innen letölthető a minta (Kösz Boldi!).

Friss (január 10. 17:24): A VirusTotal nullás felismerést dob a fent letölthető csomagra...

Friss (január 10. 18:40): Szóval a fenti ZIP jelszava 'infected', jelszó nélkül újracsomagolva 16/46-t ad a VT, a prominensebbek közül McAfee, Symantec, AVG, ClamAV nem jelzett. Eszerint az elemzés szerint az exploit a BlackHole mellett a Cool és a Nuclear kiteknek is része, még több minta itt, forrás itt.

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: java pletyka 0day blackhole

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii10 2013.01.10. 18:26:39

Jelszóvédett .zip-ekre nem szoktak reagálni nagyon a vírusírtók, így nem váratlan a 0/46, az egyedi jar-okkal stb. jobb a helyzet, olyan 5/46 volt délután. (pl. Counsel.jar)
Válasz erre 

buherator · http://buhera.blog.hu 2013.01.10. 18:36:18

@boldii10: Ejj, hamar munka ritkán jó, javítom mindjárt
Válasz erre 

boldii10 2013.01.10. 19:08:13

Egyébként jogos kérdés, hogy mi a fenéért nem lehet a tipikus jelszóval feltöltött fájlokat a VT-nek korrektül megnézni. De hát nyilván nem a user experience a cél.
Válasz erre 

buherator · http://buhera.blog.hu 2013.01.10. 19:16:48

@boldii10: Gondolom ha kibontaná az archívumokat, az torzíthatná az eredményt. Mi van, ha éppen a jelszóvédett fájl kinyitása triggerel egy bugot bizonyos szoftverekben?
Válasz erre 

loolek · http://loolek.tumblr.com 2013.01.11. 22:42:10

Hmmm, ilyet se láttam még, hogy az amerikai kormány The U.S. government's Department of Homeland Security javaslatot adjon ki, hogy ->

"This and previous Java vulnerabilities have been widely targeted by attackers, and new Java vulnerabilities are likely to be discovered," the agency said. "To defend against this and future Java vulnerabilities, disable Java in Web browsers."

www.reuters.com/article/2013/01/11/us-java-security-idUSBRE90A0S320130111

Érdekes, hogy nálunk az MTI hírben (amit átvett HVG, Index, stb.) ez CERT -re változott :P
Válasz erre 

loolek · http://loolek.tumblr.com 2013.01.11. 23:15:25

Amerikai barátom szerint:

"Ha a Homeland Security ad ki ilyet, akkor

a.) a sebezhetőséggel nagyon komoly károkat lehet okozni
b.) már meg is tették"
Válasz erre 

axt · http://axtaxt.wordpress.com/ 2013.01.12. 02:37:15

Közben az immunity kiadott egy elemzést, arról, hogy hogyan működik az exploit, ha valakit érdekel (nem mintha túl bonyolult lenne):

partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf
Válasz erre 

loolek · http://loolek.tumblr.com 2013.01.12. 10:52:22

@buherator: a fájl kinyitása triggerel egy bugot bizonyos szoftverekben?

LOL a régi szép idők :D

www.zlib.net/advisory-2002-03-11.txt

www.kb.cert.org/vuls/id/680620
Válasz erre 

buherator · http://buhera.blog.hu 2013.01.12. 14:10:12

@axtaxt: Kösz, ennek a magyarítása/összefoglalója rajta van a listán

@loolek: tulajdonképpen minden kliens-odlai hiba (office, browser, libtiff, libxml, stb.) erről szól ;)
Válasz erre 

loolek · http://loolek.tumblr.com 2013.01.12. 23:22:16

Egyre szebb a történet ->

The critical Java vulnerability that is currently under attack was made possible by an incomplete patch Oracle developers issued last year to fix an earlier security bug, a researcher said.

According to Gowdiak, the latest vulnerability is a holdover from a bug (referred to here as Issue 32) that Security Explorations researchers reported to Oracle in late August. Oracle released a patch for the issue in October but it was incomplete.

arstechnica.com/security/2013/01/critical-java-vulnerability-made-possible-by-earlier-incomplete-patch/
Válasz erre 
süti beállítások módosítása