Az ENISA mozaikszó az European Network and Information Security Agency nevű szervezetet jelöli, mely saját bevallása szerint megpróbál valamiféle összekötő kapocs lenni az informatikai biztonság területén az unió országai, vállalatai és polgárai között. Célja kialakítani és terjeszteni egy megfelelő kultúrát és hozzáállást a fenyegetettségek kivédéséhez. Nemrég megjelentettek egy rövid sajtóközleményt, melyben igyekeznek rámutatni arra, hogy miért is működnek olyan jól az online banki csalások manapság. Az írás válasz a McAfee és Guardian Analytics nemrég megjelent tanulmányára, amit korábban már itt a blogon is röviden említettünk.

Az ENISA a felelősséget nagyrészt a szolgáltatókra keni. Legfőbb üzenetük az, hogy a felhasználó PC-jét úgy kell kezelni, hogy az vírusos, ami elnézve például a 40% alatti Zeus felismerési arányokat (meg úgy általában a userek kompetenciáját a témában), meglehetősen indokolt. Az erős jelszó, a kétfaktoros authentikáció kevés, a műveleteket úgy kell végezni, hogy azok megerősítést nyerjenek a felhasználó PC-jétől független, biztonságosnak tekinthető csatornán is. Ezért kapsz például a bankodtól utalás előtt is egy sms-t, amiben leírják, hogy ők hogyan kapták meg a kérést (milyen számlaszám, milyen összeg). Ha ez hasonlít arra, amit te is szerettél volna, akkor mehet a tranzakció, ha nem, akkor valami belekotnyeleskedett a forgalomba: Ilyenkor ugyan te azt látod a képernyőn, amit beírtál, de a háttérben meg lettek változtatva a tranzakciós adatok, a bank a nagyi helyett az orosz maffia számlaszámát kapta meg és az összeg is eltérő. Ez tipikusan a bank oldalának forráskódjába szúrt javascripttel vagy rosszindulatú addon-nal tehető meg (vö. man-in-the-browser). Ez esetben tehát a telefonodat tekintik biztonságosnak, a külön "csatornán" történő ellenőrzés pedig rögtön kidobja, ha nincs egyezés az akarat és a valóság között. (Feltéve persze, ha a mobilt nem a támadó kontrollálja, lásd még a mobil banki alkalmazásokat...)

Végül az ENISA is felhívja a figyelmet arra, hogy a nemzetközi bűnszervezeteket csak nemzetközi összefogással lehet lekapcsolni: mind a védelem kialakítása, mind a rosszfiúk (és C&C szervereik) utáni szaladgálás közben meg kell olajozni az internacionális bürökrácia fogaskerekeit. 

A Formspring online űrlapkészítő szolgáltatás 420.000 jelszó hash kompromittálódásáról számolt be. Az információk egy nyilvános fórumon jelentek meg, a hash-ek nem voltak párba állítva felhasználónevekkel (bár lehetséges, hogy nem a teljes adatbázist hozták nyilvánosságra a támadók). A beszámoló szerint az egyik fejlesztői szerverre sikerült behatolniuk illetékteleneknek, innen pedig az egyik éles kiszolgálóra átjutva tehették rá a kezüket a felhasználói adatokhoz.

A szolgáltató minden felhasználó következő belépésekor jelszócserét kényszerít ki, adatbázisaikban az SHA-256 algoritmust a rossz hatékonysággal számítható bcryptre cserélték. A Facebook Connecttel bejelentkező felhasználókat az incidens nem érinti, feltéve hogy korábban nem hoztak létre natív Formspring felhasználót.

MS12-043: Javítás az egy hónapja tátongó, aktívan kihasznált XML Core Services hibához. A folt csak az MSXML 3-as, 4-es és 6-os verzióit javítja, mivel aktív támadásokat ezekkel szemben tapasztaltak. Az 5-ös verzióhoz - melyet az Office 2003 és 2007 programcsomagok használnak - elkerülő megoldások itt olvashatók.

MS12-044: Két távolról kihasználható use-after-free sérülékenység javítása az Internet Explorer 9-hez. A hiba hatását a modern Windows változatokban elérhető Védett Mód enyhíti, de azért frissítsetek mihamarabb!

MS12-045: Egy heap túlcsordulás az ActiveX Data Objects Windows komponensben böngészőn (Internet Exploreren) keresztüli távoli kódfuttatást tesz lehetővé a Windows összes támogatott verziójában (Server Core installációk kivételével természetesen). 

MS12-046: Március óta célzott támadásokban aktívan kihasználják a Visual Basic for Applications ebben a bulletinben javított hibáját. Egy egyszerű DLL hijacking problémáról van szó, így a támadók a kiválasztott célpontoknak tömörített archívumokat küldenek, melyben egy legitim Office (Word) dokumentum mellett egy kártékony DLL is üldögél, melyet a dokumentum megnyitásakor a VBA buta módon be is tölt.

MS12-047: Két privilégiumemelést lehetővé tevő probléma javítása a Windows összes változatához. Az egyik sérülékenység a kernel hookok, a másik (a CoreLabs figyelmeztetője itt) a már sokszor emlegetett billentyűzetkiosztáokat leíró fájljainak helytelen kezeléséből adódik.

MS12-048: Egy igazán nosztalgikus sérülékenység javítása: a Windows összes változatán kódfuttatás érhető el, ha a felhasználó megnyit egy speciálisan elnevezett fájlt (parancs injektálás). Hiába, az NTFS fájlrendszer rengeteg izgalmas lehetőséget tartogat, kíváncsi vagyok ebben az esetben hol csúszott hiba a gépezetbe!

MS12-049: Nagyon úgy tűnik, mintha ez a folt a BEAST támadás ellen védene (nyilvánosan tárgyalt TLS információszivárgás), de a CVE hibajegy nem stimmel, bár lehet, hogy a kliens oldali megoldásoknak új azonosítókat osztanak.

MS12-050: Öt darab XSS-re lehetőséget adó probléma javítása a SharePointban. A hibákat social engineering támadásokkal kombinálva egy hitelesített támadó privilégiumemelést érhet el.

MS12-051: Az Office for Mac 2011 könyvtárának jogosultságai rosszul kerültek beállításra, így a könyvtárat bárki tudja írni. A probléma social engineering támadásokhoz nyújthat segítséget.

+++ 

A Microsoft a fentieken kívül több, nem-biztonsági frissítésként elérhető, PKI-t érintő megerősítő megoldást is be kíván vezetni:

• Augusztustól lesz elérhető az a folt, ami minden, 1024 bitnél rövidebb RSA kulcsot megbízhatatlannak jelöl. Úgy tűnik ezt is megértük...
• A Microsoft visszavonta 28 tanúsítványát, melyek nem feleltek meg az újonnan támasztott biztonsági követelményeknek. A visszavont tanúsítványok listája mátol Windows Update-en keresztül letölthető és telepíthető. A cég hangsúlyozza, hogy ez egy elővigyázatossági lépés, az érintett tanúsítványok legjobb tudomásuk szerint nem kompromittálódtak.
• Múlt hónaptól elérhető egy új eszköz a visszavont tanúsítványok listájának automatikus frissítésére, ami gyorsabb reakciót ígér tanúsítványkompromittáció esetére. (Úgy tűnik, ez lesz a Microsoft házi OCSP-je)

Microsoft és Zeus

A Microsoft nyilvánosságra hozott két nevet: Yevhen Kulibaba és Yuriy Konovalenko állítólag a Zeus botnet üzemeltetői. A két úriember egyébként már amúgy is börtönben ül a Zeus miatt. Még márciusban a Microsoftnak hathatós külső segítséggel sikerült bevinnie  egy mélyütést a botnetnek, az ugyanekkor indított perben azonban az akkori kereset még csak művésznevükön szólította a gyanúsítottakat, akik összesen mintegy negyvenen vannak. A Zeus és variánsai becslések szerint 13 millió pc-t fertőztek meg és eddig mintegy 100 millió dollárt lopkodtak össze a segítségével, de a bevételeket a kártevő "programcsomagként" történő árusítása is növelte. A bűnözői  kör további tagjait nagy erőkkel, nemzetközi összefogással keresik. 

Bíróság előtt a TeaMp0isoN vezetője

A TeaMp0isoN nevű kiddicsapatról idén már hallottunk egyszer , akkor T-Mobile-os jelszavakat varázsoltak ki SQL injection-nel. Most a csapat állítólagos vezetője kénytelen szembesülni törögetés árnyoldalaival. Junaid Hussain, avagy TriCK (akkor még a 17 évesek lelkesedésével) a korábbi brit miniszterelnök, Tony Blair GMail accountjának tartalmát lovasította meg tavaly az elnök egyik tanácsadója hozzáférésének segítségével. Hussain azt is elismerte, hogy ők voltak azok, akik hívások százaival trollkodták meg brit nemzeti anti-terrorista forródrótot.

iOS trójai

A Kaspersky szakértői egy, az Apple App Store-ból elérhető rosszindulatú trójai alkalmazásról számoltak be. Az alkalmazás a felhasználók tudta és beleegyezése nélkül elküldi a futtató készülék címjegyzékét egy távoli szerverre, ami később az így begyűjtött adatok alapján az alkalmazás kéretlen propagálásába (értsd: spam) kezd. Hasonló programok jelenléte Andoridon (melyre a szóban forgó alkalmazás szintén elérhető) már teljesen megszokott, eddig azonban az Apple szigorú jóváhagyási folyamata illetve a kötelező kód aláírás nem nagyon engedett teret a rosszalkodásnak. Meg kell jegyezni ugyanakkor, hogy a trójai programok esetén hajszálvékony a határ a felhasználó által bután jóváhagyott illetve a ténylegesen ártó szándékkal készült funkcionalitás között. A gyártó egy programhibára hivatkozva próbálja hárítani a felelősséget, az alkalmazás idő közben lekerült az App Store illetve a Play kínálatából.

Gyanús Comodo 

Comodo ügyfélnek lenni izgalmas lehet. A legújabb hír az, hogy az ocsp.comodoca.com-ot a McAfee és maga a Comodo URL szűrő szolgáltatása is "gyanúsnak" minősítette. Bár incidens most éppen valószínűleg nem történt, a cég hivatalos oldalának HTTPS felülete is ezt az érintett URL-t adja meg a visszavonási információk lekérdezéséhez, ami PR szempontól finoman szólva szuboptimális.

A Cyberoam és a PKI

Érdekes megoldásra hívták fel a figyelmet a Tor Project szakértői a Cyberoam egyes DPI eszközeivel kapcsolatban, miután egy figyelmes Tor felhasználó gyanús hibaüzeneteket vett észre a projekt weboldalának böngészésekor. Mint kiderült, a gyártó minden eszközre azonos CA tanúsítványt, vagyis azonos privát kulcsot telepít, melyet az átmenő SSL/TLS forgalom analizálásához használ. Ebből az következik, hogy egy érintett Cyberoam eszközzel rendelkező támadó meg tud fejteni minden titkosított forgalmat, ami a termék felhasználói és a DPI eszközök között közlekedik. A gyártó azzal védekezik, hogy az eszközökből a titkos kulcs triviálisan nem nyerhető ki, a hardveres védelem pontos szintjét azonban nem tisztázzák, ezen kívül elképzelhető, hogy az érzékeny információk kiszivárgásához elég, ha egy lehallgatott adatfolyamot egy saját eszközön keresztül egyszerűen visszajátszunk. A magam részéről minden esetre többet várnék egy biztonsággal foglalkozó gyártótól.

Friss: A privát kulcsot nem volt nehéz kinyerni, a Cyberoam gyorsjavítást ad ki, ami egyedi kulcsot fog generálni minden eszközön.

A "Printer Bomb"-ként ismert Trojan.Milicenso nevű kártevő azért kapta ezt a megtisztelő nevet, mert nyomtatók számára generál sok-sok jobot, ami miatt szerencsétlen printerből elfogy a papír. Ami miatt viszont érdekes lehet, az a mód, ahogyan igyekeznek közkinccsé tenni.

Szorgalmi feladat: ez egy kicsit mélyebbre néz ugyanezen malware lelkivilágába. Ebből látszik, hogy azért nem csak nyomtatni tud.

Jó esélyekkel indulna a Cisco a "hogyan szúrjunk ki a saját vásárlóinkkal" bajnokság IT kategóriájában: A Linksys EA szériás otthoni routereire az anyacég nem rég letolt egy frissítést, melynek hatására az eszközök helyi adminisztrációs felülete szépen ki lett lőve a Cisco "felhőjébe" (Cisco Connect Cloud). A szoftvercsere akkor is lezajlott, ha a felhasználó előzőleg letiltotta az automatikus frissítéseket. 

A csudajó felhő technológia a következő újdonságokkal lepte meg a felhasználókat:

• Internetelérés nélkül a felhős menedzsment felület nem elérhető, az eszköz helyi szoftvere pedig csak korlátozott funkcionalitást biztosít
• A felhő szolgáltatás igénybevételéhez el kell fogadni egy nyilatkozatot, melynek értelmében a gyártó követheti a felhasználó netezési szokásait
• A felhasználási feltételek értelmében a gyártó egyszerűen lelőheti alólad a szolgáltatást, ha kiderül, hogy pornót nézel, szerzői jogokat sértesz, vagy netán trollkodni merészelsz a weben

A felhő szolgáltatások további remek tulajdonsága, hogy ha valaki talál egyetlen hibát az interneten elérhető menedzsment interfészen vagy a frissítési protokollban, az összes felhasználó hálózatát távolról magáévá teheti (vö. van egy csak belső interfészen hallgató menedzsment konzolom).

Az eset kapcsán a Cisco eleinte igyekezte súlykolni a felhő nyújtotta előnyöket, és elzárkózott a régi firmware-hez történő visszatéréstől, most már azonban sűrű bocsánatkérések mellet hivatalos downgrade információkat és az eredeti firmware képet is elérhetővé tették.

Megjelent a népszerű jelszótörő program, a John the Ripper legújabb, 1.7.9-es, valamint közösségileg kiegészített 1.7.9-jumb-6-os változata. A kiadás számos jelentős újdonságot tartalmaz, ezek közül talán a legfontosabb a GPU támogatás (CUDA, OpenCL), melynek segítségével a nagy számításigányű, rosszul párhuzamosítható hash lagoritmusok, mint pl. a bcrypt és az Ubuntu sha512crypt eljárása is jelentősen felgyorsítható (bár természetesen így sem érhető el egy jó MD5-től megszokott szint).

Jelentősen bűvült a támogatott algoritmusok köre is: a szoftver most már modern Office dokumentumok jelszavainak illetve Firefox, Thuderbird és SeaMonkey, valamint több jelszómenedzse mesterjelszavainak kipörgetésére is alkalmas. A kihívás protokollok közül kiemelndő, hogy támogatást kapott a WPA-PSK, és számos HMAC változat is. A hash algoritmusok közül újdonságot jelent a már említett sha512crypt mellett a DragonFlyBSD, a Drupal és a Django keretrendszer formátumainak támogatása. Facebook jelszavakat az eszköz egyelőre nem támogat ;)

A John the Ripper letölthető az Openwalltól, a teljes bejelentés itt olvasható.

Ez így kedd reggel kicsit sokkolólag hatott, és az első ami beugrott, az Einstein híres mondása, miszerint:

A világon két dolog végtelen: a világegyetem és az emberi hülyeség. Bár az elsőben nem vagyok biztos.

Azt hiszem, nem kell különösebben magyarázni hogy mi történik twitteren a NeedADebitCard-on. A mottó jelenleg: "Please quit posting pictures of your debit cards, people." ("Légyszi ne posztolj képeket a hitelkártyádról"), és ahogy elnézem, pár napja nem is nagyon volt retweet, de ami eddig összegyűlt, már az is elgondolkoztató. Az emberek a hitelkátyájuk fényképét posztolják, és bár vannak, akik nem teljesen idióták, és legalább részben kitakarják a számokat, de úgy tűnik hogy egyik-másik agytröszt nem igazán érti, hogy mi ezzel a probléma. Nem tudom hogy ez most poénnak indult és valami securitys arc funnol, de futótűzként terjed a hírportálokon. Szép projekt.

Ennek a twitter accnak a másik végén valszeg egy bot csücsül, és a twitter APIt használva retweeteli azokat postokat, amikben szerepel a credit/debit card kifejezés, és tartalmaz linket. Neat... ^__^

Átlag kártyának a hátoldalán szerepel a CVV/CVC, ezért ez nem látszik a fotókon, de CNP (Card Not Present) tranzakcióknál minden további nélkül felhasználható. A Card Verification Code/Value szükséges a legtöbb online vásárláshoz, mivel a Visa és a Mastercard megköveteli, de sajnos nem mindenhol, azt pedig a kártya csalásokkal foglalkozó bűnözők nagyon jól tudják, hogy miképpen lehet profittá konvertálni egy ilyen számsorozatot.

Ultraweb adathalászat

Az Ultraweb a következő üzenetet küldte ki felhasználóinak:

Az elmúlt napokban adathalász támadás érte az Ultraweb oldalait. Adatai biztonsága és weboldalának tartalma érdekében kérjük, hogy mihamarabb változtassa meg jelszavát az adminisztrációs felületen.

A szövegezés finoman szólva is visszás. Amennyiben valóban adathalász támadásról van szó, az nem kell hogy érintse az Ultraweb oldalait - bár mivel ingyenes tárhely szolgáltatásról van szó, elképzelhető hogy a megtévesztő oldalakat éppen a cég szerverei szolgálták ki. Másrészt egy adathalász támadás nem indokolná, hogy az összes felhasználótól jelszócserét kérjenek. Lehet hogy megint kedvenc anonjaink hozták rá a frászt valakire? Akinek több infója van az esetről, ne habozzon megosztani kommentben!

Lazán kapcsolódik Prashant Gupta eszmefuttatása az új, metrós IE10 felhasználói felületéről - a poszt ugyan kissé fel van fújva, de az adathalászat töretlen népszerűségét figyelembe véve kétségtelen, hogy a címsor eltűntetése nagyon rossz ötlet.

Pwnie Awards jelölések

Elindult az idei Pwnie Awards jelölési szakasza. Az év legfigyelemreméltóbb biztonsági hibáit, exploitjait és incidenseit itt lehet bedobni a kalapba. 

Apple újdonságok

Szerencsére az Apple-nél is belátták, hogy a nagyobb tortaszelet mellé nagyobb felelősség is tartozik. Az elmúlt héten a vállalat módosított a biztonsági kérdéseket érintő kommunikációján, lényegében elismerve, hogy ma már az OS X platform sem mentes kártevőktől, a tettek szintjén pedig ígéretet tettek a napi szintű ("linuxos") biztonsági frissítések bevezetésére a Mountain Lionban. A témában Rambo kollega összefoglalóját tudom ajánlani.

A lépéseknek aktualitást ad, hogy felfedezték a célzott támadásokhoz használt, Mac-ekre szakosodott Tibet kártevő egy újabb variánsát. 

 A Stuxnet halála

Múlt vasárnap volt az a bedrótozott dátum, amikor a Stuxnetnek deaktiválnia kellett magát. A Kaspersky kutatói érdekes konteóval kapcsolják össze a kártevőt a Jakartai incidenssel.

Google Chrome 20

Nagy csomag hibajavítással érkezett meg a Google Chrome 20, a böngészőben összesen 23 biztonsági problémát javtottak, melyek közül 14 kapott kritikus besorolást. A gyártó több mint 11.000 dollárt osztott szét a hibákat bejelentő kutatók között. Az új verzió Linuxon a Pepper API-t használja Flash lejátszáshoz, így már 64-biten is lehet cicás videókat nézni. 

TrendMicro?

Ebben a pillanatban röppent fel a pletyka, hogy betörtek a TrendMicrohoz, a jelek szerint ez azonban erős túlzás. Úgy tűnik, hogy a biztonsági céghez a Sykes által közvetített egyik kollegájának levelezését (~500MB) sikerült megszerezni, feltehetően az otthoni gépéről. 

Ha az "RSA" és a "feltörés" kifejezések egy mondatban szerepelnek, az általában masszív hírfolyamot generál, nem történt ez másként a Project-Team Prosecco legújabb, hardver tokeneket és biztonsági kártyákat vizsgáló kutatásának esetében sem. Az persze általában kimarad az újságból, hogy nem csak az RSA Inc. termékei érintettek, valamint hogy az a "feltörés" mi a csodát is jelent pontosan - emiatt a vállalatnál véleményem szerint jogosan vannak kiakadva.

A szóban forgó hardver tokenek többek között arra jók, hogy kulcsokat tároljunk bennük, méghozzá úgy, hogy azokat csak a token birtokában lehessen használni (az egyéb funkciókat, mint például az egyszeri jelszavak generálását a támadás nem érinti). A kulcsok ezért nyilván nem nyerhetők ki az eszközből, még a token tulajdonosa által sem. Annak érdekében viszont, hogy a kulcsokról biztonsági mentéseket lehessen készíteni, a tokenek képesek tartalmukat titkosított formában - "csomagoltan" - exportálni. A csomaghoz tartozó mesterkulcsot csak az eszköz ismeri, a csomagot a legitim felhasználó sem bonthatja ki, csak importálhatja az eszközére. 

Felhasznált irodalom

Az eredeti publikáció

Matthew Green - A bad couple of years for the cryptographic token industry

Nate Lawson - Why RSA is misleading about SecurID vulnerability

Nate Lawson - RSA repeats earlier claims, but louder

Sam Curry - Don’t Believe Everything You Read…Your RSA SecurID Token is Not Cracked

Sam Curry- Still Not Cracked: a further dive into the PKCS #1 v1.5 vulnerability

A francia kutatóknak azonban sikerült találniuk egy módszert, amivel a csomagok tartalma a csillagok megfelelő együttállása esetén megfejthető, ezt a támadást pedig egy sor eszközön sikerrel demonstrálták. A csillagok megfelelő együttállása nagyjából azt jelenti, hogy a támadónak ismernie kell a felhasználó PIN kódját és hozzá kell férnie az eszköz PKCS#11 szerint megvalósított interfészéhez (ezt, hogy látni fogjuk, akár távolról is megteheti) néhány ezer kérés elküldésének erejéig, ami hardvertől függően perceket, esetleg néhány órát jelent. 

Ez a támadói modell első látásra erős, de ha feltételezzük, hogy az áldozat gépét gyökérig megtörték (magyarítás FTW!), máris optimális ökoszisztémát teremtettünk. Vegyük észre, hogy a tokenek egyik feladata éppen az, hogy ilyen esetekben is védjék a kulcsokat!

De hogyan is lehetséges mindez? A kutatók alapvetően most is Padding Oracle támadást hajtottak végre szokásos CBC módú blokktitkosítók, illetve az asszimmetrikus RSA algoritmussal szemben (ennek részleteiről egy külön posztot tervezek). Kis ismétlés: a Padding Oracle támadásnál a sérülékeny rendszer a normálistól eltérő (időtartamú) választ ad, ha elrontjuk a paddinget, így a támadó manipulált kriptoszövegeket küldhet a rendszernek, aki jó orákulumként apránként kiszivárogtatja a nyílt szöveget. Fontos megjegyezni, hogy a támadás a titkosítás kulcsát nem fedi fel (de ez nem is érdekel minket).

Valójában egy bizonyos Daniel Bleichenbachernek köszönhetően 1998 óta ismert, hogy a PKCS#1 szabvány 1.5-ös verziójának megvalósításai sérülékenyek ilyen támadásokkal szemben. Gondot jelent viszont, hogy ezek az apró tokenek elég lassúak, az orákulumtól pedig sokat kell kérdezni, így a teljes támadás lebonyolításához irreálisan sok időre lenne szükség. A kutatók legfőbb eredménye, hogy Bleichenbacher támadását sikerült optimalizálniuk olyan szintig, hogy a támadás a gyakorlatban is kivitelezhetővé vált. Ehhez egyrészt matematikai okosságra, másrészt egyszerre több, eltérő "erősségű" orákulumra, illetve a nyílt szöveg struktúrájának részleges ismeretére volt szükség. Ilyen módon a támadás időtartama a fenti táblázatban látható értékek szerint alakul a különböző eszközökön. Fontos kiemelni, hogy a támadást nem muszáj egy lélegzetvételből letudni, a 21 perc kijöhet például három 7 perces alkalomból is.

Ahogy a poszt elején is írtam, az RSA/EMC elég sokat kapott az eset kapcsán, és két blogposztban is igyekeztek helyretenni a tényeket, valamint védeni a termék becsületét. Ezekben a nyilvánvaló pontatlanságok, tárgyi tévedések jogos helyesbítésén túl azonban olyan gondolatok is szerepeltek, melyek mellett nem lehet szó nélkül elmenni:

• Egy munkaállomás teljes komprommitációja esetén a token kulcsainak komprommittálása nem jelent előnyt a támadónak - Akkor miért költünk rá pénzt? [trollface] :) Optimális esetben a támadó csak addig garázdálkodhatna, amíg a token csatlakoztatva van hozzá - a támadás kivitelezése után azonban ezt bármikor megteheti (amíg le nem cserélik a kulcsokat).
• A cég ügyfelei egyébként is rendkívül biztonságtudatos vásárlók, akik csak a szükséges időre hagyják a tokent a gépükben, és olyan kifinomult biztonsági kontrollokat is alkalmaznak, mint pl. antivírus - Ehhez nem fűznék kommentárt...

A cég emellett természetesen komolyan veszi és értékeli a kutatást, és egy olyan megoldáson dolgozik, melyben a jelenleg kompatibilitási okok miatt engedélyezett PKCS#1 v1.5-öt alapértelmezetten kikapcsolják.

Nem újdonság, hallottunk már ilyen gps spoofolós történeteket, de most megint előkerült a téma. Az első cikk ami szembejött velem egy global hawk drón képe mellett szép szófordulatokkal vezeti fel hogy egy texasi egyetemen Todd Humphrey professzor vezette projekt keretében sikeresen eltérítettek egy uav-t. Ez sem egyértelmű, de egy másik oldalon meg egyenesen azt írják hogy katonai drónt meszeltek le... Nna. Nem úgy van az. Nem egy katonai kütyüt szédítettek, hanem a sajátjukat. A DHS felfigyelt a projektre, és meghívták a teamet egy demóra, ahol bemutatták a technikát. A FOX is felkapta, és készített egy interjút a fent említett proffal. Egy kb tetszőleges polgári célú gpses eszközt minden további nélkül, de egy global hawkot nem lehet így meghülyíteni. Katonai gps, titkosított.

Ami inkább érdekes és elgondolkodtató, az a megközelítés: ezeket a polgári felhasználású drónokat eltérítve akár terrorcselekményekre is fel lehet használni 911 stílusában.

In five or ten years you have 30,000 drones in the airspace, Each one of these could be a potential missile used against us.

Friss: A teljes tanulmány itt olvasható (via HackADay)

Egy két éven át tartó fedett FBI akció zárult letartóztatásokkal a napokban. Egészen pontosan így fest a statisztika:

KZ vette a fáradságot, és átnézte az (azóta elfogadott?) új Btk. tervezetét, és kiválogatott belőle néhány információbiztonsággal kapcsolatos részt. Mivel jogi témákhoz buta vagyok, ezért kommentár nélkül közlöm ezeket, aki ért hozzá, szóljon hozzá!

N A segítségével gatyába lett rázva a tördelés, remélem így jobban olvasható!

82. oldal, 225. §:

"Levéltitok megsértése

(1) Aki
a) másnak közlést tartalmazó zárt küldeményét megsemmisíti, a tartalmának megismerése végett felbontja, megszerzi, vagy ilyen célból illetéktelen személynek átadja, illetve
b) elektronikus hírközlő hálózat útján másnak továbbított közleményt kifürkész, ha súlyosabb bűncselekmény nem valósul meg, vétség miatt elzárással büntetendő.

(2) A büntetés egy évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekményt foglalkozás vagy közmegbízatás felhasználásával követik el.

(3) A büntetés
a) két évig terjed ő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekmény,
b) bűntett miatt három évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény

jelentős érdeksérelmet okoz."

142. oldal, 376. §:

"Információs rendszer felhasználásával elkövetett csalás

(1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(2) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha
a) az információs rendszer felhasználásával elkövetett csalás jelentős kárt okoz, vagy
b) a nagyobb kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el.

(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha
a) az információs rendszer felhasználásával elkövetett csalás különösen nagy kárt okoz, vagy
b) a jelentős kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el.

(4) A büntetés öt évtől tíz évig terjedő szabadságvesztés, ha
a) az információs rendszer felhasználásával elkövetett csalás különösen jelentős kárt okoz, vagy
b) a különösen nagy kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el.

(5) Az (1)–(4) bekezdés szerint büntetendő, aki hamis, hamisított vagy jogosulatlanul megszerzett elektronikus készpénz-helyettesítő fizetési eszköz felhasználásával vagy az ilyen eszközzel történő fizetés elfogadásával okoz kárt.

(6) Az (5) bekezdés alkalmazásában a külföldön kibocsátott elektronikus készpénz-helyettesítő fizetési eszköz a belföldön kibocsátott készpénz-helyettesítő fizetési eszközzel azonos védelemben részesül."

166. oldal, 424. §

"Információs rendszer vagy adat megsértése

(1) Aki

a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,
b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve
akadályozza, vagy
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,

vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)–c) pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint.

(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

(4) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja."

166. oldal, 425. §

"Információs rendszer védelmét biztosító technikai intézkedés kijátszása

(1) Aki a 376. vagy a 424. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő

a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,

vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha – mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna – tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.

(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító."

Volt tavaly egy kísérlet, amikor is két figura kipróbálta, mennyire hatékonyan lehet bizalmas adatokhoz hozzájutni, ha arra számítanak, hogy a userek elgépelik a domaineket levélküldéskor. Az eredményt úgy lehetne összefoglalni,  hogy eléggé. Ebből akkor ők összeraktak egy rövid tanulmányt mindenki okulására, ill. természetesen értesítették az érintett cégeket is.

Egy Arthur Kenzie nevű jóember úgy gondolta, megismétli ezt a kísérletet. Akkor került bajba, mikor kiderült, hogy ő  bizony elfelejtett tanulmányt írni belőle és nem is szólt senkinek. A bili a GiocondaLaw.com esetében borult ki, (GiocondoLaw.com volt az "elgépelt" változat), de aztán kiderült, hogy van itt McDonald's-os, MasterCard-os, NewsCorp-os, McAfee-s és LockheedMartin-es próbálkozás is. A Gioconda Law 1 millió dollárra perli Arthurt a védjegyének megsértése, valamint az e-mail forgalom szándékos lehallgatása miatt.

Az egész ügy legjobb része az, hogy Kenzie megtalálta a metasploitos/rapid7-es HD Moore-t is a digitaloffense.net egy változatán keresztül, és megpróbálta eladni neki a megszerzett hat darab levelet meg a fake domaint (nem sikerült). Az egész hír nem lenne túl érdekes, de ezen felröhögtem. Vajon tudta, hogy kit is próbál lehúzni? :)

Egy igen érdekes "lehetőség" látott napvilágot még a múlt héten, ami több platformon is jogosultságkiterjesztést tesz lehetővé a 64-bites Intel processzorok egy tulajdonságát kihasználva. A probléma érinti a Windows egyes változatait, a FreeBSD-t, a NetBSD-t, a Xen hypervisort, és a lista még bővülhet. A Linux kernelben 6 éve szépen csendben javították a problémát...

De miről is van szó? A Xen blogposztjában jó összefoglalót kapunk a sérülékenység részleteiről, ínyenceknek a HUP-os flame-et ajánlom :)

Mindenek előtt azzal kell tisztába kerülnünk, hogy az AMD mérnökei a laptábla szintek csökkentése érdekében nem használtk ki a teljes 64 biten megcímezhető memóriatartományt, hanem definiáltak egy 48-bites, ún. kanonikus címteret. A kanonikus címek 48-63. bitjeinek értéke meg kell hogy egyezzen a 47-el, így két érvényes  virtuális címtartományt kapunk a 0x0000000000000000-0x00007fffffffffff és 0xffff800000000000-0xffffffffffffffff  címek között.

A problémát az okozza, hogy a privilegizált rendszerhívásokból történő visszatérést megvalósító SYSRET utasítás AMD-étől eltérő implementációját nem vették figyelembe az érintett szoftverekben. Az utasítás hatására a processzor visszatölti a user-módból elmentett utasításszámláló (RIP) értékét, visszaállítja a felhasználó memória szegmensét, emellett az operációs rendszer kernele (illetve a hypervisor) visszaállítja a környezet maradékát, például a stack pointert is.

Gond akkor van, ha a visszaállítandó RIP nem-kanonikus címet tartalmaz (pl. mivel a rendszerhívás a kanonikus tartomány végén történt meg user-módban). Ekkor a CPU General Protection Fault-ot generál, méghozzá Intel CPU esetén még privilegizált módban. Mivel ekkorra már a kernel visszaállította a user-módból lementett stack pointert, a GPF kezelő a felhasználó által meghatározott címet fogja veremnek használni a továbbiakban. Ilyen módon, kihasználva, hogy a felhasználói mód regiszterei is a stackre kerülnek, gyakorlatilag tetszőleges privilegizált írás hajtható végre tetszőleges memóriaterületre, de más kihasználási lehetőségek is elképzelhetőek lehetnek.

Köszönet Hungernek a videóért, és poszt lektorálásáért!

Aki ott volt a 2009-es Hacktivity-n biztosan emlékszik rá hogy volt egy kérdőív. Most találtam meg az eredményét Krasznay Csaba értekezésében. Nem mondom hogy meglepő eredmények, de akkor is érdekes.

Kémkedés AutoCAD fájlokkal 

Fertőzött AutoCAD fájlok lopkodnak épület tervrajzokat és más érzékeny adatokat egy újabb célzott támadásban tőlünk jó messze, Dél-Amerikában, legfőképp Peruban, adta hírül az ESET. A dolognak erősen ipari kémkedés felhangja van, mivel nem találtak C&C szervereket, csak sok-sok e-mailt, amiben a cuccot kiküldték. A szálak Kínába vezetnek, a kártevő a 163.com és a qq.com nevű kínai ISP-k tartományába tartozó címeket használja. Az ACAD/Medre.A nevű kártevőről az ESET már egy részletes elemzést is kiadott. Az eset jól mutatja, hogy akár az AutoCAD-hoz hasonló, kevésbé elterjedt célszoftverek is támadások táptalajául szolgálhatnak.

20 éves a Defcon

Bár a Defcon 20 kezdetéig még épp egy hónap van, a Wired a 20. évfordulóra összegyűjtött pár érdekességet és emlékezetes pillanatot a konferencia történetéből.

Fejvadászat

A PayPal, követve a biztonságtudatos webes vállalkozások példáját elindította saját hibavadász programját. Michael Barrett, a cég információbiztonsági vezetője bevallotta, hogy bár eleinte szkeptikus volt a hasonló programokkal kapcsolatban, a tények végül igazolták a koncepció létjogosultságát. A cég SQL injection, Cross-Site Scripting, Cross-Site Request Forgery illetve az autentikáció megkerülésére alkalmas hibákért fizet majd ki jutalmakat, természetesen PayPal-en keresztül.

A héten elindult a Zero Day Initiative-ből kivált, Aaron Portnoy nevével fémjelzett Exodus Intelligence Program is.  Az EIP a ZDI-hez hasonlóan fehérkalapos filozófiát követ, a sérülékenység információkat megosztja a gyártókkal. Az indulástól számított 48 órán belül 27 bejelentés érkezett a céghez, ami ígéretes kezdetnek tűnik.

Blue Hat Prize döntősök

A Microsoft bejelentette a Blue Hat Prize döntőseit:

• Jared DeMott plusz ellenőrzést vezetne be a ret utasítások elé, ami a visszatérés előtt ellenrizné, hogy a hívó memóriacím biztonságos tartományba esik-e.
• Ivan Fratric a ROP láncok által gyakran használt eljárásokat egészítené ki úgy, hogy azok ellenőrizzék, honnan kerültek meghívásra.
• Vasilis Pappas a hardver tulajdonságait kihasználva igyekezne detektálni a vezérlés furcsa ugrásait.

A győztest, valamint az érdekesebb pályamunkák részleteit július 26-án a Blach Hat konferencián fogják bejelenteni. A döntősökkel interjút készített a Computerworld, ezt itt olvashatjátok.

Cisco biztonsági frissítések

Kódfuttatásra alkalmas sérülékenységet is javítottak a Cisco AnyConnect VPN kliensben, az ASA illetve Catalyst vonalon pedig DoS-t eredményező problémák kerültek befoltozásra. 

Wireshark 1.8 és nmap 6.01

Megjelent a népszerű hálózati analizátor legújabb változata, amely már egyszerre több interfészen is képes hallgatózni. További újdonságok a bejelentésben.

Frissült mindanniunk kedvenc portszkennere is, az nmap 6.01-es változata letölthető innen.

Az első részben Pinkie Pie exploitjáról kaphattunk némi áttekintést, most pedig Sergey Glazunov 60.000 dolláros darabjának leírását posztolták a chromium blogján. Ha lehet, ez talán még agyafúrtabb, mint az előző, és aki első olvasásra nem veszti el a fonalat a felénél, az hazudik.

Az első fejvakarás akkor kezdődik, mikor az ember azt látja, hogy a preparált weboldal megtekintésétől a kódfuttatásig lezajló eseménysorozat lépésszámát nagyjából 14-ig számolták. A másik elképesztő tulajdonsága az exploitnak, hogy memória korrupció nem is történik benne, más jellegű (pl. rossz jogosultságkezelés) hibák apró kockáiból lett összerakva.

Az egész egy UXSS-sel (Universal XSS) kezdődik, vagyis a támadó szkriptjét egy weboldal borogatása helyett a böngésző manipulálására lehet felhasználni. Ha ez működik, akkor azt lehet kihasználni, hogy a Chrome egy érintett HTML oldalára nem alkalmazták a Content Security Policy-t (CSP). Arról van szó, hogy vannak speciális, a chrome:// forrásból (originből - lásd még SOP) származó oldalak (pl.: chrome://about), amik csak lokális gépen, közvetlenül nyithatók meg, külső HTML-ből (http[s]) vagy pl. IFRAME-ből nem, és nekik esetenként privilegizált API hívásokhoz is hozzáférésük van. Glazunov rájött, hogy ha egy érvénytelen chrome-extension:// erőforrást akar megnyitni IFRAME-ből, akkor a háttérben betöltődik egy UXSS-sel sebezhető hibaoldal a chrome://chromewebdata forrásból, amin nem kerül alkalmazásra a CSP (ez ugyanis megfogta volna az UXSS-t). Még néhány hibát kihasználva lehetett eljutni oda, hogy a chrome://chromewebdata nevében JavaScriptet lehessen futtatni.

De ez még kevés az örömhöz. A chrome://chromewebdata nem fér hozzá érzékeny API hívásokhoz, privilégiumokat pedig nem osztogatnak csak úgy, azt "örökölni" lehet egy közvetlenül megnyitott chrome:// forrású folyamattól. Az érzékeny chrome://* oldalakra pedig többnyire működik a CSP.

A továbblépéshez a chrome://chromewebdata nyitott egy új ablakot a chrome://net-internals originbe, ami egy IFRAME-et tartalmazott. Egy újabb bug lehetővé tette, hogy az új ablakra egy Visszát hívva a WebKit azt higyje, hogy közvetlen navigációval jutottunk az oldalra, így megadott neki néhány plusz WebUI privilégiumot. Ez után az új ablakba ágyazott IFRAME nyitott egy about:blank oldalt, és egy újabb hiba kihasználásával beadta a chrome://net-internals-nak, hogy az egy közvetlen gyermek - így az about:blank megkapta a korlátozott WebUI jogokat.

Ez után az üres oldalt a chrome://downloads-ra irányítva újabb jogokat lehetett nyerni, mivel a WebKit úgy látta, egy már részben privilegizált oldal kíván a letöltésekkel ügyködni. Ezután Glazunov fogta, és letöltött egy távoli DLL-t, majd a helyi fájlrendszerről a wordpad.exe-t. Mivel a wordpad.exe a helyi hosztról származott, elindítása nem eredményezett figyelmeztetést a felhasználó számára. A szövegszerkesztő azonban buta módon automatikusan betöltötte a mellé lerakott támadó DLL-t - egyszerűen brilliáns!

Az exploit tehát nagyjából ezen az úton haladt:

• találni olyan hibákat, amivel a támadó chrome://<valami> origin-t tud uralni (ez esetben chromewebdata és net-internals)
• ezt felruházni megfelelő jogosultságokkal
• letölteni a támadó által megadott dll-t és egy megbízható programba berántva kódot futtatni rajta keresztül

Nagyjából ennyi a Chromium blog postja, de a végén figyelmeztetnek, hogy ez korántsem a teljes kép. Például csak az UXSS-t háromszor kellett használni. Az egész eléggé magáért beszél: azokban a termékekben, amelyek fejlesztésekor komolyan veszik a biztonságot, elmúlt a könnyű exploitok kora. 

Antivírusokat kerülgetni alapvetően jó móka, fejleszti a kreativitást, és az azonnali visszajelzés gyors sikerélményt ígér. Sajnos azonban a hivatásos játékosokat itt is nehéz lenyomni: Brandon Dixon egy, a gépét éppen teleszemetelő vadon termő kártevőben figyelt fel egy érdekes módszerre a PDF exploitok álcázására.

A módszer kulcsa az XDP formátum, ami egy XML csomagoló kifejezetten PDF fájlok számára. Mint azt tudjuk XML-be nem lehet csak úgy minden féle bináris borzalmat belehányni, PDF-be inkább, ezért a PDF objektumok base64 kódolva kerülhetnek az XDP-kbe (házi feladat: olvassátok fel ezt a mondatot nem-infós ismerőseiteknek!).

Brandonnak sikerült egy különösebb obfuszkációt nem alkalmazó - shellkódot viszont nem tartalmazó -, 2009-es PDF exploitot XDP-be csomagolva 0/42-re verni a VirusTotal versenyzőit. Hasonló tesztek futtathatók az eredeti posztban található szkript, illetve Metasploit segítségével is. 

Reggel DrMcKay updatelt hogy megjött a wifite r85. Szeretjük mert wifi mass pwnage-re pentesztelésre olyan mint a nagy piros "hack everything" gomb, csak ez működik. Bekerült a reaver-wps, két új WEP támadás (cafe-latte, hirte), plusz egy zsák bugfix. Azt mondja az ember hogy powa lett a cucc, ezek után már nagyon várom hogy checkoutoljam, főleg hogy a múlt héten érkezett meg a SignalKing SK-999WN -em. Azt is neki kösz. ^__^ (hát wow. Azt nem bánnám, ha valaki elmagyarázná nekem hogy a 48dbi hogy a viharba jön ki, de hasít. Sült galambok potyognak az égből. És igen, küldenek mellé egy BackTrack cd-t is.)

Breach merge

A héten leültünk dumálni _2501-el és Detritussal, a Breach Blog szerzőivel, és arra jutottunk, hogy teszünk egy próbát erőink egyesítésére: a két bitbetyár mostantól itt osztja az észt. Reményeink szerint az újítás gyorsabb reakcíióidőt, nagyobb lefedettséget és bővülő szakmai tartalmat fog hozni a blogra, de hosszú távon akár komolyabb bővülést is elképzelhetőnek tartunk. 

A Google-Microsoft-XML Bermuda-háromszög

Múlt héten én is írtam a még foltozatlan Microsoft XML Core Services sérülékenységről, melyet a gyártó közlése szerint célzott támadásokhoz használtak a közelmúltban. Nem sokkal később jelent meg a hír, hogy a Google külön értesítéseket fog küldeni azoknak a felhasználóinak, akiket láthatóan államilag szponzorált akciók keretében támadnak. A két információmorzsa között nem nehéz felfedezni az összefüggést, főleg úgy, hogy a MS riasztásában a Google biztonsági csapatának is megköszönte a sérülékenység bejelentését - az összefüggést a ZDNetnek állítólag egy anonim forrás is megerősítette. 

A Microsoft közben kijött egy FixIttel, ami betöltéskor módosítja a sérülékenységet tartalmazó modult, hogy az inicializálja a sérülékenység kihasználásakor felhasznált, egyébként inicializálatlan változót. Fontos megemlíteni, hogy a workaround csak az Internet Explorert gyógyítja, az Office termékeket (a leírás szerint legalábbis) nem.

Friss: A poszt publikálása után fél órával commitolták a sérülékenységet kihasználó modult a Metasploit keretrendszerbe.

Nehézségek a Firefox 13 Flash-ével

Nem megy zökkenőmentesen a sandboxolt Flash lejátszóra történő átállás a Mozillánál. Jelentős számú felhasználónál okoztak ugyanis sorozatos összeomlásokat azok a kiegészítők, melyek valamilyen módon kapcsolatba próbáltak lépni a Flash Playerrel, például megpróbálták rögzíteni a betöltött videókat. A Mozilla a legtöbb problémát okozó kiegészítőt először letiltotta, illetve a Védett Mód kikapcsolását javasolta a felhasználóknak. Hasonlóan, az Adobe a lejátszó downgrade-jét javasolta. Mostanra viszont kijött a Firefox 13.01, ami egyéb hibajavítások mellett a gyártó reményei szerint erre a problémára is megoldást ad.

Fegyverkezési verseny

A feltehetően elsősorban belpolitikai célokat szolgáló amerikai szellőztetés után német tisztviselők is úgy nyilatkoztak, hogy "offenszív" kiberalakulatot tartanak fenn. A nyilvánosságra került dokumentumok alapján a hadsereg részeként működő csoport legalább 2006 óta létezik. 

Bár a hasonló egységek bevethetősége jogilag általában nem teljesen tisztázott, az irántuk mutatkozó igény egyre inkább szemmel láthatóvá válik. Mikko Hypponen minifelmérése során legalábbis több száz támadó jellegű feladatokra kihegyezett ajánlatot talált az USA védelmi feladataiban résztv vevő cégek álláskínálatában, akik a felsőoktatásban is igyekeznek ösztönözni a kibervédelem felé történő nyitást.

F5 SSH

Számos F5 terméket érint egy borzalmasan ügyefogyott konfigurációs hiba, ami bőven megér egy tactical facepalm-t. A rendkívül tehetséges fejlesztők ugyanis minden érintett eszközön engedélyezték a távoli root belépést SSH-n, a belépéshez szükséges (mindenhol azonos) privát kulcsot pedig le is szállították minden kedves megrendelőnek.

Frissítések

• VMware
• Apple iTunes
• PHP
• Ruby on Rails

MS12-036: Kapásból a hírhedt MS12-020 tesójával indul a hónap, az RDP hibája távoli kódfuttatást tesz lehetővé autentikáció nélkül. A gyártó most is 1-es kihasználhatósági indexet adott a hibának, azaz véleményük szerint 30 napon belül várható működő exploit megjelenése. Az MS12-020 esetében is ez volt a helyzet, de nyilvános exploitot azóta sem láttunk (bár jó eséllyel mind a feketepiacon, mind a hibát bejelentő ZDI-nél megvan a kód). Vajon lesz-e most is akkora felhajtás, mint márciusban volt? 

MS12-037: Összesen 13 hibajavítás az Internet Explorer különböző verzióihoz. Befoltozásra került a Vupen által a legutóbbi Pwn2Own-on kihasznált (egyik) sérülékenység is. A ZDI jelentése szerint egy heap-overflow hibáról van szó, ami akkor keletkezik, mikor egy "table-layout:fixed" stílusú táblázat colspan attributumát létrehozás után megnöveljük.

MS12-038: Az ehavi .NET javítás egyetlen helytelen memóriakezelésből adódó sérülékenységet javít. A hiba szokás szerint veszélyt jelenthet egyszerű webböngésző felhasználók, illetve .NET alkalmazásokat hosztoló szolgáltatók rendszereire nézve is.

MS12-039: Két TrueType feldolgozásból adódó, egy XSS és egy DLL hijacking probléma javítása a Microsoft Lync-ben (úgy tűnik ez a MS új kommunikációs platformja). Az egyik TTF problémával kapcsolatban a közlemény homályosan utal arra, hogy a kezelt problémát az MS11-087-ben - célzott támadásokra reagálva - már (részben?) javították. Nem világos, hogy vajon az eredeti javítás nem volt megfelelő, vagy csak a mélyreható védelem érdekében végeztek megerősítéseket a fejlesztők?

MS12-040: Cross-Site Scripting sérülékenység javítása a Dynamics AX Enterprise Portalban. A sérülékenység jogosultságkiterjesztésre adhat lehetőséget.

MS12-041: Öt hibajavítás a Windows kernel módú komponenseihez. A problémák helyi jogosultságkiterjesztésre adnak lehetőséget a Windows összes támogatott változatában.

MS12-042: Még két, az előzőkhöz hasoinló paraméterekkel rendelkező hiba javítása. Ezek közül az egyiket eredetileg a Xen hypervisorral kapcsolatban jelentették be, de úgy tűnik, a Microsoft végül saját háza táján is belefutott problémákba a rendszer BIOS-ának hozzáférhetőségével kapcsolatban.

+++

Kellemetlen kiegészítés továbbá, hogy a Microsoft ma egy eddig nem javított sérülékenységről is beszámolt. Az XML Core Services hibája kódfuttatást tesz lehetővé Internet Exploreren illetve az Office 2007 SP3 vagy öregebb változatainak esetén. A problémát jelenleg aktívan kihasználják.

Így a poszt végén pedig megragadnám az alkalmat, hogy még egyszer felhívjam a figyelmet Alex Sotirov prezentációjára, ami részletesen bemutatja a Flamer által alkalmazott, Windows Update-ek meghamisításához szükséges támadást. Kiemelném, hogy a bemutató tanúsága szerint a Windows XP frissítéseit bárki kicserélheti a sajátjaira, ha rendelkezik érvényes, Microsoft által hitelesített Terminal Server tanúsítvánnyal. Ehhez nem kell kriptográfiai kutatásokat végezni, vagy elkölteni 200.000$-t valamelyik felhőben, mivel az XP Crypto API-ja nem támogatja a TS tanúsítványok célhoz kötését megvalósító Microsoft Hydra X.509 kiterjesztést, ezért a tanúsítvány kód szignálásra is használható.

Sergei Golubchik egy igen tanulságos MariaDB/MySQL hibáról számolt be nem rég az oss-security listán. A probléma lényegében jelszó nélküli hozzáférést enged a sebezhető adatbázisszerver installációkhoz. A hiba gyökere az, hogy a fejlesztők nem számoltak azzal, hogy a memcmp() függvény néha a [-128,127] intervallumon kívüli értéket is visszaadhat. Ez az érték az autentikációhoz használt kihívás-válasz hash-ek összevetésére szolgáló check_scramble() függvény visszatérési értékeként my_bool-ra, azaz char-ra kasztolódik, így akkor is felveheti a 0 értéket, ha a memcmp() sikertelen volt, vagyis a hash-ek nem egyeztek meg. Skatulya-elv alapján 300 próbálkozásból egyszer jó eséllyel előjön az anomália, ennyi próbálkozás pedig pillanatok alatt lejátszható:

for i in `seq 1 1000`; do mysql -u root --password=tokmindegy -h 127.0.0.1 2>/dev/null; done

Öröm az ürömben, hogy a probléma nem érint minden csomagot illetve platformot. Az Ubuntu, az OpenSUSE és a Fedora 64-bites változatai biztosan érintettek. HD Moore számításai szerint tízezrével lehetnek sebezhető MySQL kiszolgálók a netre lógatva.

A MySQL az 5.1.63-as illetve 5.5.24-es verziókban, a MariaDB a 3144-es revízióban javított.

A Kaspersky kutatói kapcsolatot találtak a Stuxnet és a Flamer között. A most közzétett blogposzt szerint a Flamer kódjának ismert mintákkal történő automatikus összevetésekor a rendszer hasonlóságot talált egy Tocy.A-ként regisztrált mintával. Mint kiderült, a Tocy.A-t még 2010-ben fogták, és bár akkor az automatikus osztályozó rendszer a kódot Stuxnet variánsnak minősítette, a kézi ellenőrzés ezt a döntést tévedésnek minősítette, a kártevőt pedig átnevezték. 

Most kiiderült, hogy az automatika a Tocy esetében nagyfokú hasonlóságot látott az utoljára a Stuxnet 2009-es változatában látott "207-es erőforrással", ami a Stuxnet pendrive-os terjedést (autorun.inf) és a helyi jogosultságkiterjesztést (MS10-073) részben megvalósító egyik modulja. A modul funkcionalitása, az általa használt fájlok és mutexek elnevezései, a belső obfuszkációs, kódoló és dekódoló algoritmusok lényegében megegyeznek. 

Mivel a Resource 207 a Stuxnet 2009 utáni változataiban nem fordul elő, a Kaspersky szakértői azt gyanítják, hogy a Stuxnet alapvetően a Flamer kódjára épült. Később az új terjedési lehetőségeknek köszönhetően (MS10-046), valamint az autorun.inf tiltás terjedésének köszönhetően a modult lecserélték a Stuxnet újabb változataiban, a két eszköz fejlesztése pedig ezután eltérő pályán haladt tovább.  

A teljes sztoriért kattintsatok a Securelist-re!