Az indiai hatóságok többegy hete tartják fogságban Hari Prasadot, aki az országban használt papírmentes elektronikus szavazógpek biztonsági hiányosságaira hívta fel a figyelmet. A rendőrség azért vette őrizetbe a férfit, mert meg akarják tudni, hogy kitől szerezte a kutatásaihoz használt szavazógépet. Prasad egy országos tévécsatornán demonstrálta, hogy hogyan lehet manipulálni a gépbe bevitt szavazatokat. A mostani rendőrségi akció után felmerül a kérdés, hogy vajon a szavazógépeket gyártó cégen kívül esetleg befolyásosabb köröknek is érdekük lehet a manipuláció lehetőségének elfedése.
A Hindustal Timesnak adott egyik rendőrségi közlemény szerint egyelőre annyit sikerült megtudnia a hatóságnak, hogy Prasad egy holland és egy amerikai társsal dolgozott együtt. Ez nem túl nagy eredmény, figyelembe véve, hogy az általuk kiadott publikációban az összes résztvevő kutató - köztük amerikai és holland munkatársak - neve is szerepel. Az ügyészség egyelőre augusztus 28-ig hosszabította meg Prasad előzetes letartóztatását.
Még a múlt héten kapott szárnyra a hír, hogy kritikus sebezhetőséget fedeztek fel az iTunes-ban, és bár részletek nem jelentek meg a sebezhetőséggel kapcsolatban, HD Moore úgy nyilatkozott, hogy a zenelejátszót érintő probléma még legalább 40 más alkalmazásban jelen van. Most kinyílt Pandora szelencéje, a Microsoft figyelmeztetőt jelentetett meg, majd megjelent egy sor alkalmazásspecifikus exploit is.
De miről is van szó? A Windows alapértelmezetten engedélyezi a távoli WebDAV megosztásokhoz történő hozzáférést akár böngészőn keresztül. Egy támadó így akár egy linken keresztül elcsalhatja az áldozatát egy olyan megosztásra, amely egy sebezhető alkalmazáshoz tartozó típusú fájlt tartalmaz. Ez a fájl nem tartalmaz semmilyen ártó kódot, viszont a megosztáson ott figyel még egy DLL, melynek a neve megegyezik egy, a sebezhető alkalmazás által használttal. Amennyiben a szoftver nem állítja be megfelelően a DLL keresési útját (innen ered a sebezhetőség), a támadó által összeállított, megosztáson szereplő DLL fog betöltődni az alkalmazás saját függvénykönyvtára helyett.
Peter van Eeckhoutte ezeken kívül még összegyűjtött párat. Látható tehát hogy a probléma a szoftverek széles skáláját érinti.
Az NSA állítólag már 12 éve felvetette ezt a lehetőséget, és *nix rendszereken is már jó ideje ismert, hogy az LD_PRELOAD, illetve LD_LIBRARY_PATH nem megfelelő beállítása hasonló problémákhoz vezet.
A sebezhető alkalmazások detektálására a metasploitos srácok kiadták a DllHijackAuditKitv2-t, a fejlesztőknek pedig a Microsoft összeállított egy biztonságos DLL használatra nevelő útmutatót. Üzemeltetőknek ajánlott (mint mindig) letiltani az összes Internet felé irányuló WebDAV és Windows Networking kérést, de ez még nem akadályozza meg a belső hálózatról érkező támadásokat! Jobb megoldás, ha letiltjuk a WebDAV kliens szolgáltatást, valamint a
registry kulcs beállításával globálisan letiltható, hogy alkalmazások az aktuális munkakönyvtárban keressék a DLL-jeiket. Ugyanez megtehető alkalmazásspecifikusan (pontosabban a futtatandó bináris neve szerint) a
Augusztus 22., vasárnap, 19:00 - HACK, VII. Akácfa utca 51., Fogasház, első emelet. A bejárat után jobbra van egy lépcső, amin van egy hegesztett kerítés egy ajtóval, ami vagy nyitva van, vagy nem, utóbbi esetben van egy kis fekete csengő felszerelve, azzal lehet jelezni a belépési szándékot. Mi már korábban ott leszünk, be fogunk engedni.
A program akkor kezdődik, amikor jónak látjuk, a következő előadások vannak lefixálva:
|Z| megmutatja hogyan vegyük át az irányítást egy Windows domain felett
Gróf arra mutat megoldást, hogy mi van akkor, ha "elfelejtettük" a domain admin jelszavunkat.
+ (legalább) egy meglepetés :)
Evés és ivás:Alapvetően mindenki hozott anyagból oldja meg ezeket a dolgokat, segítségképpen kb. 5 perc járásra van egy éjjel-nappali + a földszinten működő krimó is szívesen szolgál italokkal.
Bréking: A Biztributor ismét megszponzorálja a rendezvényt megfelelő mennyiségű söritallal, szóval biztosan nem maradunk szomjasak :) Köszönjük az újabb nagylelkű felajánlást!
Infrastruktúra: WiFi, projektor, hűtő, pingpong, csocsó, D flip-flopok
A Kerberos protokoll mindig is a kedvenceim közé tartozott, így külön örömömre szolgál, hogy a velencei Ca'Foscari Egyetem kutatói hibát találtak a windowsos megvalósítás helyi bejelentkeztetést végző változatában, így bemutathatom magát a protokollt, valamint a vele kapcsolatos támadásokat.
Itt meg http://harashow.hu/***/mycon.inc a root jelszó a $pass. :)
Tehát nagy valószínűséggel az összes júzernek ugyanaz a mysql jelszava, ami a rootjelszó is egyben. Gratulálunk, Ön arany hangszórót nyert az "üzemeltessünk biztonságtudatosan linux szervert" versenyben.
0-day sebezhetőséglátott napvilágot a Windows XP SP3 és újabb változataihoz (ideértve a Server 2008-t is). A win32k.sys CreateDIBPalette() metódusa helytelenül végzi a hosszellenőrzéseket, ezért a BITMAPINFOHADER adatsruktúrák biClrUsed adattagjának értékét 256-nél nagyobbra állítva heap tulcsordulást lehet előidézni a GetClipboardData() API híváson keresztül. A megjelent exploit kékhalált okoz az érintett rendszereken, de elméletilg kiegészthető jogosultságkiterjesztést eredményező kóddá is. A Microsoft egyelőre vizsgálódik az esettel kapcsolatban.
Charlie Miller a BlackHat-en prezentált, a fuzzing módszerekkel gyűjtött adatok szűréséről szóló előadásában (elég érdekes btw) egy eddig ismeretlen Adobe Reader sebezhetőséget mutatott be: A PDF olvasó 9-es főverziójának CoolType.dll fájljában definiált egyik metódusban integer túlcsordulás történik, ha a TrueType betűkészletek Maximum Profile táblájában található maxCompositePoints mező értékét túlzottan magasra állítják.
Bár támadásokról egyelőre nincs hír, az Adobe rendkívüli frissítést tervez kiadni a szoftver windowsos, maces és UNIX-os vátozataihoz, mivel félő, hogy a fenti információk alapján rosszindulatú felek is reprodukálhatják a problémát (jóhogy...), melyet aztán különböző malware-eken keresztül használhatnak ki.
"Békével jöttünk", mondták az Új Világ meghódítói.
"Békével jöttünk", mondják a kormányok, amikor kolonizálják, szabályozzák és militarizálják az új digitális világot.
"Békével jöttünk", mondják az országméretű vállalatok, akik pénzt akarnak csinálni a Hálózatból, és hozzáláncolják felhasználóikat az általuk készített csilivili eszközökhöz.
"Békével jöttünk", mondjuk mi hackerek és kockák, mikor nekivágunk a való világnak, hogy megváltoztassuk azt, mert már beférkőzött természetes közegünkbe, a kibertérbe is. Ismerjük meg egymás tisztán békés szándékait az idei Chaos Communication Congressen, melyet december 27-30. között, hétfőtől csütörtökig tartunk Berlinben.
A tavalyi élményeken felbuzdulva ismét elzarándoklunk a Föld talán legnagyobb múltra visszatekintő hackerkonferenciájára. Ha csatlakoznál hozzánk, jelentkezz a jobb oldali kontakt linkeken keresztül, vagy a HACK bármelyik kommunikációs csatornáján!
A kemény mag számára érdekes lehet a most kiírt CFP is, jó lenne, ha idén magyarokat is látnánk az előadók között!
Mikor már azt hittem, hogy végleg dugába dőlt a villámelőadásokkal egybekötött Buhera Sörözés ötlete, a kemény mag megmentette a helyzetet! Hosszas egyeztetés után legalkalmasabbnak augusztus 22-e, vasárnap* tűnik, ezt nyugodtan írja be mindenki a naptárba! A helyszín valószínűleg a H.A.C.K. lesz, bár ez még egyeztetés alatt van. Az időpont közeledtével egy másik posztban közlöm majd a pontos részleteket.
Természetesen ha valaki időközben kedvet kap egy kisebb közönség előtti dumáláshoz, az jelentkezzen bátran, találunk neki helyet :)
* igen, tudom, másnap munka, de ennél jobb lehetőség nem adódott
Legjobb kliens-oldali hiba: Java megbízható metódus láncolás - amely csak utólag került be a jelöltek közé, de a Java biztonsági modelljének feje tetejére állítása tényleg megér egy pónit!
Legjobb jogosultságkiterjesztés:Windows #GP trap handler - Itt azt hiszem, nem szükséges magyarázat.
Legbénább gyártói válasz:LANrev távoli kódfuttatás - Nyissuk meg a gyerekeink webkameráit a pedofilok előtt, aztán bagatelizáljuk el a problémát, brávó!
Legeposzibb bukás : (bocs1: hülye fordítás; bocs2: ez kimaradt az előző posztból) XSS az IE8 XSS szűrőjének segítségével - A kimenet kódolása ebben az esetben nem úgy sült el ahogy szerették volna, biztonsági szoftverek biztonsági rései kihazsnálni pedig mindig szívmelengető élmény.
Elkezdődött az idei Black Hat, juhé! Az alső napon Barnaby Jack, az IOActive szakértője olyan módszereket mutatott be, melyekkel teljesen átvehető az írányítás bizonyos ATM-ek fölött. A dolog iróniája, hogy míg ezt és a hasonló - eddig kivétel nélkül lefújt - előadásokat hatalmas sajtóérdeklődés kísért bemutatásuk előtt, most, hogy az előadás lezajlott, valószínűleg elcsendesednek a dolgok: részleteket a támadásokkal kapcsolatban ugyanis nem tudhattak meg a konferencia résztvevői sem.
Annyi biztos, hogy a pénzkiadó automaták is ugyanúgy támadhatók, mint bármilyen másik számítógép. Jack egy helyi és egy távoli támadást mutatott be Windows CE-t futtató ATM-ekkel szemben. Az első esetben egy interneten megvásárolható kulccsal fért hozzá a gép operációs rendszeréhez, a második esetben a firmware frissítések hitelesítésének egy hibájával sikerült átvennie az irányítást az automaták felett. Egy rootkitet telepítve ezután lehetővé vált az adminisztrátori jelszavak, és a gépbe táplált PIN kódok kinyerése, valamint távolról pénzkiadásra is lehetett utasítani a gépeket - ami ugyan látványos lehetett, de a fentieket figyelembe véve nem egy meglepő fordulat.
A szakértő szerint - ugyan a konferencián bemutatott két modell szoftverét azóta befoltozták - bármilyen internetre vagy telefonhálózatra kötött ATM hasonlóan támadható, mivel a gyártók nem követnek semmilyen biztonságos szoftver létrejöttét elősegítő fejlesztési módszertant. Az ATM-ek távolról wardialinggal vagy speciális IP szkenneléssel találhatók meg.
Hiába, a pénzkiadó automaták is csak egyszerű számítógépek.
Az alábbiakban olvashatjátok az idei Pwnie Awards jelöltjeinek listáját. A linkek a blogon megjelent korábbi bejegyzésekre mutatnak, ahol lehet. Részletesebb információkért érdemes átnézni az eredeti oldalt is. Továbbá külön szeretném felhívni a figyelmet a "Leginnovatívabb kutatás" címre jelölt anyagokra, amiket biztosan érdemes elolvasgatni!
A Hacktivity szervezői maximum 4 fős, céges csapatok jelentkezését várják a konferencia ideje alatt rendezendő Capture the Flag játékra. A feladatra jelentkező csapatoknak tíz órájuk lesz - a hagyományos wargame-től szeparált hálózatban - távolról megszerezni az irányítást néhány számítógép fölött, melyek a gyakorlatban is előforduló, sebezhető konfigurációkkal lesznek ellátva.
A jelentkezéseket az info kukac hacktivityhu-ra küldjétek augusztus 8-ig!
Az első posztomban, melyben az új Windows 0-day fenyegetettségről írtam, említés szintjén szerepelt, hogy a sebezhetőséget kihasználó Stuxnet kártevő a fertőzött gépekről SCADA - legtöbbször ipari berendezések megfigyelésére és irányítására használt - rendszerekhez is megpróbál hozzáférni.
Stef hívta fel a figyelmemet a Wired cikkére, mely szerint a rosszindulatú kód egy rég óta nyilvános, a Siemens WinCC rendszerébe drótozott jelszóval (2WSXcder) próbál hozzáférni a környékén lévő SQL szerverekhez. Több fórumbejegyzés szerint, ha megpróbálják megváltoztatni ezt a jelszót, a rendszer működésképtelenné válik, így ezeknek az általában kritikus feladatot ellátó rendszereknek a védelmét gyakorlatilag egyedül a hálózat egyéb részeitől történő leválasztás szolgálhatja. Naivitás azonban azt gondolni, hogy ezt a fajta szeparációt minden esetben sikerült megfelelően megvalósítani - már ha egyáltalán törekednek erre az üzemeltetők.
A Wired megszólaltatta Joe Weiss-t is, aki az ipari vezérlőrendszerek védelmének szakértője: állítása szerint nem csak a Siemens esetében beszélhetünk ilyen potenciálisan veszélyes gyakorlatról, a hasonló megoldások szállítóinak több mint fele szintén alkamaz szofverbe kódolt jelszavakat.
Nem túl szívderítő ilyeneket olvasni olyan rendszerekkel kapcsolatban, melyeken keresztül néhány gomb megnyomásával akár közvetlen életveszély is okozható.
A Microsoft kiadott egy gyorsjavítást az elsősorban hordozható adathordozókon keresztül terjedő kártevők számára hasznos Windows Shell problémára. A javítás az eredeti tanácslatban is javasolt elkerülő megoldás automatizált megvalósítássa, amely a registry módosításával egyszerűen kikapcsolja az parancsikonok képeinek megjelenítését, ezzel valószínűleg instant pánikrohamot okozva a legtöbb egységjúzer számára. Soron kívüli frissítésről egyelőre nincs szó, a rendes javításra valószínűleg a következő frissítőkeddig várnunk kell. Az Internet Storm Center eközben visszaállította a riadószintet sárgáról zöld fokozatra, mivel eddig nem tapasztaltak a sebezhetőségre támaszkodó komolyabb kártevőinváziót.
Az Adobe Reader következő "nagyobb" kiadásában be fogják vezetni a védett módot, amely lényegében egy sandbox megvalósítás lesz a meglévő kódbázis körül. A megvalósítás során az Adobe szakemberei együtt dolgoztak a Microsoft Office újabb változatainak Protected Viewing Mode-ján dolgozó csapattal és a Google Chrome fejlesztőivel is.
A sandbox a Windows már régebb óta létező beépített hardening mechanizmusait fogja kihasználni, az ASSET hivatalos blogposztja szerint elsősorban David LeBlanc Practical Windows Sandboxing című útmutatójára támaszkodva. Ez az eljárás elsősorban restricted tokenekkel megvalósított privilégium-eldobást és objektumszintű hozzáférésvédelmet ír elő. Az első implementáció le fog tiltani minden a Readerből érkező írás műveletet, így a PDF-olvasón keresztül terjedő kártevők elméletileg nem fognak tudni fájlokat manipulálni, vagy registry kulcsokat szerkeszteni. Az olvasások korlátozását - melyen keresztül hozzáférhetővé válhat például a vágólap tartalma - később tervezik megvalósítani.
Úgy tűnik, hogy az Adobe-nél belátták, hogy a Reader kódjának minősége olyan rossz, hogy a foltozgatás nem fog tudni lépést tartani a támadókkal. A sandboxing eddig jól bevált a Chrome esetében, és az új Office-ok védelmét is kemény diónak tartják a szakemberek: bár mindkét szoftver esetében merültek fel kritikus sebezhetőségek, a felfedezett hibák döntő többsége nem alkalmas operációsrendszer-szintű műveletek végrehajtására. Meglátjuk, hogy jövőre sikerül-e kiesnie a Readernek a legsebezhetőbb szoftverek toplistájából.
Daryl Simonst még 2006-ban kapták el, mikor társával hamisított hitelkártyákkal próbáltak különböző elektronikai cikkeket vásárolni. Később kiderült, hogy a férfi fedezetlen csekkel vásárolt meg egy majd' 30.000$-os sportkocsit, találtak nála egy lopott Mercedes-Benz-t, és több hitelkártya csalással kapcsolatban is gyanúsították. A férfi beismerő vallomást tett, azonban ez után megszökött, és bűvészként kezdett dolgozni, két éve siekerült elfogni újra.
A tárgyaláson Simons "fotosoppolt" képekkel próbálta bizonyítani, hogy a bűntettek elkövetésének időpontjában éppen kórházakban és iskolákban végzett jótékonysági munkát. Pechére azonban nem futotta elég meggyőző trükkökre, két képen például ugyanazt a saját magáról készült fotót használta fel, tükrözve. A képek mellé leveleket is hamisított, többek között az ügyészség nevében, amit a bíró nem nézett túl jó szemmel: a szokásos maximumnál 50 hónappal hosszabb, összesen majdnem 24 évnyi börtönbüntetést szabott ki rá.
A Microsoft hivatalos tanácslatban figyelmeztet a nem rég felfedezett, parancsikonok kezelését érintő problémára. A közlemény szerint a hiba a Windows Shell komponenst érinti az operációs rendszer gyakorlatilag összes támogatott változatában. Elkerülő megoldásként az ikonok megjelenítésének kikapcsolása képzelhető el. Ez a
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
alatt található (Default) érték kitörlésével valósítható meg (előtte célszerű mentést készíteni a kulcsról).
Ezen kívül megjelent egy, a problémát kihasználó PoC exploit is, ezt elérhetitek itt.
Teljesen patchelt Windows 7-eket is sikeresen megfertőz az az új USB pendriveokon terjedő trójai program, amelyet nem rég fedeztek fel a VirusBlokAda szakértői. A kártevő speciális parancsikon fájlokon (.LNK) keresztül terjed, de az egyelőre nem világos, hogy pontosan milyen sebezhetőséget használ ki. A fájlba épített kártékony kód automatikusan lefut, mikor a Windows Explorer megjeleníti a fájlt, de mivel a kártevő rögzíti hogy milyen azonosítójú eszközt fertőzött meg, majd később csak ezen a meghjtón hajlandó elindulni - ha nem rendszabályozzák meg előtte debuggerben - a Microsoftnak egyelőre problémákat okoz a hiba reprodukálása.
További érdekesség, hogy egy szakértő a Siemens WinCC SCADA rendszere felé irányuló kéréseket is rögzített a karanténban megfigyelt gépek egyikéről, így feltételezhető, hogy iparikémkedésre, vagy nemzetközi hírszerzésre próbálják felhasználni a fertőzött számítógépeket.
MS10-042: A Tavis Ormandy-féle Windows Help and Support Center probléma javítása. A felfedező sikertelenül próbált kicsikarni egy két hónapos javítási határidőre vonatkozó ígéretet a cégtől, de lám, a nyilvánosságrahozatal után 33 nappal máris kész a folt!
MS10-043: A Windows újabb változatainak Canonical Display Driver komponensét érintő probléma. A sebezhetőség csak a 64-bites Windows 7 és 2008 Server rendszereket érinti (utóbbi esetben az alap telepítések nem sebezhetők). Az ASLR-t kijátszani képes támadó távoli kódfuttatást érhet el.
MS10-044: Az Accesshez tartozó ActiveX vezérlőkön keresztül távoli kódfuttatás érhető el, ha az áldozat egy speciális weboldalra téved (IE-el), vagy megnyit egy rosszindulatúan összeállított dokumentumot. (OFF: mi visz rá valakit hogy Access-t használjon eleve?)
MS10-045: Az Outlook 2002-es, 2003-as és 2007-es változatát érintő sebezhetőség javítása, amely kódfuttatást tesz lehetővé, ha a felhasználó megnyit egy csatolmányt (mint a régi szép időkben, a mindenféle figyelmeztető ablakok előtt)
Végül egy perces néma csenddel emlékezzünk meg a Windows XP SP2-ről, aminek a héten járt le a támogatási ciklusa, így nem érkezik hozzá több biztonsági frissítés! Pezsgőbontás, harsonaszó, de a feketekalaposoknak sem kell aggódni: úgyis lesznek elegen, akik ennek ellenére sem frissítenek...
