Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Fekete Lyuk - Feketepiac

2013.01.10. 14:54 | buherator | 10 komment

Nem rég a BlackHole exploit kit fejlesztői új programot hírdettek, melynek keretében összesen 100.000 dollárt ajánlottak fel eddig ismeretlen böngésző vagy böngésző plug-in sérülékenységekért, exploitokért, vagy meglévő exploitok továbbfejlesztéséért (pl. új célplatformok). Ezzel a BlackHole gyakorlatilag új konkurenciája lett a (fél)legitim exploit kereskedőknek. 

Most úgy tűnik, a program eddig eredményes volt: Brian Krebs szerint a BlackHole most már tartalmaz egy eddig ismeretlen Java 0-day exploitot (még egyszer mondom: kapcsoljátók ki azt a rohadt bővítményt!). 

A BlackHole kitet évi 1.500 dollárért vesztegetik, de a készítők állítólag egy új csomaggal is készülnek, amiért havi 10.000 dodót (!) kérnének - az egyelőre nem tiszta, hogy az új 0-day (már ha valóban létezik) melyik csomagban szerepel. 

Friss: Élesítés után közvetlenül esett be a hír, hogy a 0-day létezését az AlienVault Labs is megerősítette, az exploit működik a legfrissebb Java 7-tel szemben.

Friss (január 10. 17:02): Innen letölthető a minta (Kösz Boldi!).

Friss (január 10. 17:24): A VirusTotal nullás felismerést dob a fent letölthető csomagra...

Friss (január 10. 18:40): Szóval a fenti ZIP jelszava 'infected', jelszó nélkül újracsomagolva 16/46-t ad a VT, a prominensebbek közül McAfee, Symantec, AVG, ClamAV nem jelzett. Eszerint az elemzés szerint az exploit a BlackHole mellett a Cool és a Nuclear kiteknek is része, még több minta itt, forrás itt.

Címkék: java pletyka 0day blackhole

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii10 2013.01.10. 18:26:39

Jelszóvédett .zip-ekre nem szoktak reagálni nagyon a vírusírtók, így nem váratlan a 0/46, az egyedi jar-okkal stb. jobb a helyzet, olyan 5/46 volt délután. (pl. Counsel.jar)

buherator · http://buhera.blog.hu 2013.01.10. 18:36:18

@boldii10: Ejj, hamar munka ritkán jó, javítom mindjárt

boldii10 2013.01.10. 19:08:13

Egyébként jogos kérdés, hogy mi a fenéért nem lehet a tipikus jelszóval feltöltött fájlokat a VT-nek korrektül megnézni. De hát nyilván nem a user experience a cél.

buherator · http://buhera.blog.hu 2013.01.10. 19:16:48

@boldii10: Gondolom ha kibontaná az archívumokat, az torzíthatná az eredményt. Mi van, ha éppen a jelszóvédett fájl kinyitása triggerel egy bugot bizonyos szoftverekben?

loolek · http://loolek.tumblr.com 2013.01.11. 22:42:10

Hmmm, ilyet se láttam még, hogy az amerikai kormány The U.S. government's Department of Homeland Security javaslatot adjon ki, hogy ->

"This and previous Java vulnerabilities have been widely targeted by attackers, and new Java vulnerabilities are likely to be discovered," the agency said. "To defend against this and future Java vulnerabilities, disable Java in Web browsers."

www.reuters.com/article/2013/01/11/us-java-security-idUSBRE90A0S320130111

Érdekes, hogy nálunk az MTI hírben (amit átvett HVG, Index, stb.) ez CERT -re változott :P

loolek · http://loolek.tumblr.com 2013.01.11. 23:15:25

Amerikai barátom szerint:

"Ha a Homeland Security ad ki ilyet, akkor

a.) a sebezhetőséggel nagyon komoly károkat lehet okozni
b.) már meg is tették"

axt · http://axtaxt.wordpress.com/ 2013.01.12. 02:37:15

Közben az immunity kiadott egy elemzést, arról, hogy hogyan működik az exploit, ha valakit érdekel (nem mintha túl bonyolult lenne):

partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf

loolek · http://loolek.tumblr.com 2013.01.12. 10:52:22

@buherator: a fájl kinyitása triggerel egy bugot bizonyos szoftverekben?

LOL a régi szép idők :D

www.zlib.net/advisory-2002-03-11.txt

www.kb.cert.org/vuls/id/680620

buherator · http://buhera.blog.hu 2013.01.12. 14:10:12

@axtaxt: Kösz, ennek a magyarítása/összefoglalója rajta van a listán

@loolek: tulajdonképpen minden kliens-odlai hiba (office, browser, libtiff, libxml, stb.) erről szól ;)

loolek · http://loolek.tumblr.com 2013.01.12. 23:22:16

Egyre szebb a történet ->

The critical Java vulnerability that is currently under attack was made possible by an incomplete patch Oracle developers issued last year to fix an earlier security bug, a researcher said.

According to Gowdiak, the latest vulnerability is a holdover from a bug (referred to here as Issue 32) that Security Explorations researchers reported to Oracle in late August. Oracle released a patch for the issue in October but it was incomplete.

arstechnica.com/security/2013/01/critical-java-vulnerability-made-possible-by-earlier-incomplete-patch/