A JDK és JRE 5-ös szériájának unpack200 programjában található integer túlcsordulás probléma lehetőséget ad arra, hogy speciális JAR archívumok segítségével rosszindulatú kódot futtassunk az árintett verziókat futtató számítógépeken. A sebezhetőség elvileg akár távolról, egy speciális weboldal meglátogatásakor is előjöhez, ezért érdemes mihamarabb frissíteni.

Az iDefense ezen kívül jelentette, hogy a Java Web Start 5-ös és 6-os verzióit is érinti két (+ közben még két), szintén távolról kihasználható sebezhetőség:

• a JWS betöltődésekor megjelenő Java logo speciális GIF vagy PNG fájlra történő kicserélésével heap korrupció érhető el, ami rosszindualú kódok lefutásához vezethet.
• A fentihez hasonló GIF feldolgozási probléma érinti a 6-os JRE-t is.
• és egy integer túlcsordulás is van még a távoli betűkészletek betöltésénél.

Ezekre a Sun válasza és a patchek itt találhatók.

A megosztott elmeim között már összetalálkozhattatok ezzel a kis aranyossal. A távoli kódfuttatást lehetővé tevő bibi az XML feldolgozó modulban van, javítás a jövő hét elejére várható. Az Errata Security lefényképezte nektek, hogy hogyan is néz ki a rosszcsont a Microsoft újdonsült hibaanalizátorában.

A Cisco ma kiadott több frissítést az IOS operációs rendszerhez. A javított problémák közül szinte mindegyik DoS támadásra ad alkalmat külső felhasználük számára a CPU vagy a memória túlzott terhelésén, portok lezárásán vagy az eszközök újraindításán keresztül. Ezeken kívül egy, az alapértelmezett esetben nem futó SCP szerver szolgáltatásban lévő hiba privilégiumszint emelést tesz lehetővé a helyi felhasználók számára, írási és olvasási hozzáférést engedve a rendszer összes fájljához. A hibákról részletes leírást itt találtok.

Vírus Híradó (de már a HUP-on is erről megy a flame :):

"A DroneBL szolgáltatás egyike a neten található fertőzött és spam-küldő számítógépek címeinek gyűjtésére szakosodott számos feketelista rendszernek, amelyek gyakori célpontjai a magukat akadályoztatva érző kiberbűnözők hálózati megtorló támadásainak.

A DroneBL webhely üzemeltetői nemrég kiadott közleményükben azt állítják, hogy szervereiket mintegy két hete rendszeresen támadja egy botnet hálózat, amely nem a szokásos feltört munkaállomás számítógépekből, hanem fertőzött router eszközökből áll. A DroneBL adatai szerint a Psyb0t/ELF nevű hálózatban található zombik főleg az otthoni és kisirodai felhasználásra készült, Linux alapú routerek közül kerülnek ki."

Olvastam én már ezt a hírt régebben, csak elkeveredett a link (Google Reader...grrr) közben megtaláltam a linket, de a Slashdoton is utalnak rá: A botnet már inaktív, ráadásul a DroneBL olyan routerekre fészkelte csak be magát, melyeknél nyitva volt az Internet felé az adminisztrációs SSH/Telnet/FTP port (omg!), és default/egyszerű jelszó volt beállítva a belépéshez. Az figyelemre méltó, hogy még így is sikerült 80-100.000 áldozatot találnia, de a rendes(en konfigurált) routerek nincsenek veszélyben.

trey@HUP:

A FreeBSD projekt bejelentése szerint a FreeBSD 7.x szériájában bemutatkozó "per-process timers" implementációban olyan biztonsági sebezhetőség található, amelyet a rosszindulató helyi támadó privilégium szintjének emelésére használhat fel.

"Privilégium nélküli processz képes felülírni a kernel memória tetszőleges területét. Ez felhasználható a processz user ID-jának megváltoztatására ("root-tá válás" érdekében), jail-ből való kitörésre, vagy biztonsági mechanizmusok más módon történő megkerülésére."

A problémát posztoló mu-b ezzel együtt több súlyos, OS X-et érintő problémát is nyilvánosságra hozott, részletek és exploitok a digit-labs oldalán, illetve a jobb felül a megosztott elemek között, a milw0rm jóvoltából.

A Charlie Miller interjú másik fele Nilssel, aki az IE-t, a Firefoxot és a Safarit is ledöntötte a lábáról:

A kanadai CanSecWest konferencián a Microsoft bejelentette a !exploitable Crash Analyzer névre keresztelt nyílt forrású eszközt, melynek célja a biztonságot érintő programozói hibák korai felderítése. A szoftver a Windows Debugger pluginjeként működik, és a rendellenes programviselkedéseket, -összeomlásokat elemezve az azokat kiváltó eseményeket különböző veszélyességű osztályokba sorolja, ez alapján pedig a fejlesztők jó támpontot kapnak arról, hogy programjuk melyik részén lenne érdemes még csiszolgatni a biztonságos működés érdekében. A !exploitable és a konferencián tartott előadás anyaga letölthető innen.

Az Inverse Path kutatói egy lézersugarat egy laptop hátlapjára irányítva, annak rezgéseit elemezve képesek voltak lehallgatni a gépen végzett billentyűleütések közül néhányat. A kísérletben beszédfelismeréshez használt jelmodelleket, valamint szótár alapú heurisztikát használtak. Egy másik kísérletben PS/2-es billentyűzetek áramfelvételének távoli elemzésével sikerült hasonló eredményre jutni. És bár a bemutatott módszereknél léteznek hatékonyabb megoldások (pl. a már bemutatott rádióspektrumú támadás, vagy a TEMPEST), az mindenképpen figyelemreméltó, hogy a teljes felszerelést nagyjából 80$-ból rakták össze.

Joanna Rutkowska és Rafal Wojtczuk, az Invisible Things Lab kutatói az Intel Trusted Platform Module - Trusted Exectuion Technology platformjával szemben mutattak be gyakorlati támadást. A fenti technológiák lényege az, hogy hardver szinten teszik lehetővé a különböző szoftverek (tipikusan operációs rendszer kernelek, illetve virtuális hypervisorok) megbízhatóságának ellenőrzését, valamint az általuk generált és felhasznált adatok sérthetetlenségének biztosítását. Rutkowskáék a hardveres biztonság leggyengébb pontján, a szoftveren találtak fogást: a System Management Mode módosításával sikerült rávenniük célpontjukat egy módosított Xen hypervisor futtatására.

A teljes cikk mellett szeretném figyelmetekbe ajánlani Rutkowska válaszát arra a kérdésre, hogy "most akkor tényleg ránk szakad-e az égbolt":

Nem! Az égbolt valójában már sok éve ránk szakadt.. Alapértelmezett felhasználók admin jogosultsággal, monolítikus kernelek mindenütt, a legtöbb szoftver alíratlanul fut, és titkosítatlan HTTP csatornán töltödik le a számítógépekre - ezek miatt nem bízhatunk meg a mai rendszerekben. Vannak gyenge próbálkozások ezek megoldására, pl. az admin felhasználók korlátozása Vistán, de még mindig teljes rendszergazdai jogkör kell ahhoz, hogy bármilyen hülye szoftvert telepíteni tudjunk. Vagy ott van a biztonság illúziójának árúsítása, AV-k formájában, melyek még önmagukat sem tudják rendesen megvédeni...

Ryan Naraine, a ZDnet riportere interjút készített Charlie Millerrel, az idei Pwn2Own egyik nyertesével, akinek sikerült gyakorlatilag másodpercek alatt megtörnie egy minden frissítéssel felvértezett Macen futó Safarit. Lássuk!

Az idei CanSecWest konferencián megrendezett Pwn2Own verseny, melyen a résztvevő hackerek megtarthatják azt a számítógépet, melyen sikerül átvenniük az irányítást az előző évekhez hasonló eredmény született, csak talán valamivel gyorsabban: Charlie Miller, az előző év Mac bajnoka másodpercek alatt kivégezte a legújabb, teljesen patch-elt MacBookon futó Safarit, melyben csak egy linkre kellett rákattintani ahhoz, hogy a hacker teljes kontrollt gyakorolhasson a gép fölött.

Kicsit ugyan tovább tartott, de egy magát csak Nils-nek nevező versenyző nem sokkal később térdre kényszerítette a legújabb Firefox-ot és IE8-at is, az ő nyereménye a pénzjutalom mellett egy Sony Vaio notebook lett.

A versenyen bemutatott exploitokra a Tipping Point tart fennt kizárólagos jogot, így az ezek elleni védelem először az ő termékeikbe fog bekerülni. A sebezhetőségek részleteit akkor hozzák nyilvánosságra, mikor az érintett gyártók kiadták javításaikat. Ezek után egy valamiben lehetünk biztosak: egy böngészőben sem bízhatunk meg teljes mértékben.

Helyesbítés: A Google Chrome-ot nem sikerült megtörni.

A legfrisseb stabil változat javítása után az Adobe kiadta a foltot 7-es és 8-as Acrobat és Reader szériák javítására is. A JBIG2 sebezhetőségként aposztrofált probléma hetekig foltozatlanul állt a rosszindulatú támadók rendelkezésére, de most végre az összes támogatott verzió mentesült a kéretlen kódfuttatás kockázata alól.

Hogy ne mindig csak a Microsoft dolgairól beszéljünk: Az iDefense ma publikált jelentésében egy távolról kihasználható puffer túlcsordulásos sebezhetőségről számol be az Autonomy KeyView SDK-val kapcsolatban. A sebezhető függvénykönyvtárat használja többek között az IBM Lotus Notes és a Symantec Mail Security programcsomagja is. Előbbi terméknél a felhasználónak meg kell nyitnia egy speciálisan összeállított WordPerfect fájlt a kártékony kód lefutásához, míg utóbbinál elég, ha a biztonsági programcsomag megpróbál megvizsgálni egy érkező csatolmányt.  Mindkét gyártó közzétett frissítéseket a probléma megoldására, de a függvénykönyvtárat használó más szoftverek is érintettek lehetnek.

Bojan Zdrnja, a SANS Internet Storm Center szakértője az elmúlt időszak eseményeit elemezve arra jutott, hogy több száz aktív támadás esetében került aktív felhasználásra egy, már majd' egy éve foltozatlan Windows sebezhetőség. A "tokenrablásként" (token kidnapping) elhíresült, helyi jogosultságkiterjesztést lehetővé tevő problémáról a Microsoft tavaly Áprilisban adott ki közleményt, majd októberben egy exploit is megjelent Windows 2003 rendszerekhez, azóta azonban viszonylagos csend honolt.

A most megjelent támadások első lépésként rosszul megírt webalkalmazásokon keresztül töltenek fel .NET (ASPX) alkalmazásokat sebezhető szerverekre, majd az októberi PoC módosított változatával SYSTEM jogosultságokra tesznek szert és egy távolról elérhető shellt hoznak létre a megtámadott gépeken. Az új tokenrabló kód érdkessége, hogy Windows Server 2008 rendszereken is működik, valamint az - és ez az AV gyártókra nézve is igen kellemetlen -, hogy a vírusírtók nem ismerik fel a benne használt mintát.

A jövő hónap keddje még messze van, és bár az eddigi támadásokhoz egy-egy rosszul megírt webalkalmazás is szükségeltetett, a sebezhetőség egyéb, kreatív felhasználásimódjaira is minden bizonnyal hamarosan fény derül, ezért ajánlatod a hivatalos elkerülő megoldásokat alkalmazni az érintett rendszereken.

Az SVRD blogon megjelent egy kis összefoglaló az MS09-08, WINS, DNS, WPAD és ISATAP szolgáltatásokat javító csomagról. Csak néhány gondolat ezzel kapcsolatban:

A CVE-2009-0233 és CVE-2009-0234 kódokkal fémjelzett sebezhetőségekről az okozza a problémát, hogy

"a szerver nem gyorsítótáraz bizonyos DNS válaszokat, lehetővé téve egy támadó számára, hogy folyamatosan lekérdezzen bizonyos Resource Recordokat a szervertől. Ez megkönnyíti a támadó számára, hogy eltalálja a megfelelő tranzakciós azonosító és forrásport kombinációt, így pedig választ hamisítson".

Csak megjegyezném: valahogy nekem ez a DJBDNS probléma ugrott be.

A másik két sebezhetőség esetében arról van szó, hogy a tartományba léptetett felhasználók tetszőleges domain nevet regisztrálhatnak magukat a tartomány DNS szerverén, ha azonban valaki a WINS, WPAD vagy ISATAP neveket regisztrálja, a tartomány többi felhasználója automatikusan feltételezi, hogy az adott gép egy adott szolgáltatáshoz tartozó, megbízható szerver. Érdemes belegondolni egy pillanatra az emögött álló naivitásba!

A javítással a DNS szerveren az érzékeny nevek egy feketelista segítségével szűrésre kerülnek, de a visszafele kompatibilitás érdekében a már bejegyzett nevek megmaradnak.

Az érintett rendszergizdáknak ajánlom a teljess poszt áttanulmányozását!

Bezlapat küldte az alábbi két perzisztens okosságot:

http://indafoto.hu/akatona2/image/3111425-cb8d435f

http://forum.index.hu/User/UserDescription?cmd=User_UserDescription&u=995624

Security Ninja rájött, hogy a Facebookon különösebb nehézség nélkül lehet böngészni a  felhasználók privát képeit. A képeket megjelenítő szkript

http://www.facebook.com/album.php

három paramétert vár:

• Az id a felhasználó azonosítója, ami könnyű szerrel megszerezhető egy egyszerű keresés után
• Az aid az album azonosítója. Minden felhasználó rendelkezik egy -3-as id-jű alapértelmezett albummal
• Végül az l paraméter egy véletlen token, ami okoz egy kis fejtörést, de mivel hossza csak 5 karakter, és csak hexadecimális értékeket tartalmazhat, ezért kellő türelemmel és egy jó szkripttel viszonylag hamar rá lehet bukkanni a nyerő kombinációra, és feltehetőleg a Facebook is bírni fogja a strapát (vagy bannolja az IP-nket :).

Az album azonosító is hasonló módon kipörgethető sőt, egy Gary nevű hozzászóló szerint gyakorlatilag az összes Facebook alkalmazás hatékonyan támadható ezzel a nyers erőn alapuló módszerrel, így állítása szerint megmondhatjuk, hogy pl. egy felhasználónak milyen  a hangulata.

Nem egy világrengető felfedezés, de a péntek lajhártempójú perceinek átvészeléséhez pont jól jön ;)

A 28 éves David Anthony McIntosh-t (hmm, szép név!) azzal vádolja az észak-ausztráliai ügyészség, hogy egy lopott jelszó segítségével több mint 10.000 rekordot törölt ki a parlament, egy kórház és egy börtön, valamint a bíróság rendszereiből. Mindezekért az ügyész börtönbüntetés kiszabását javasolta, ám McIntosh ügyvédje enyhébb büntetést javasolt, érvelése szerint ugyanis ügyfele be volt nyesve szomorúságában mikor az akciót elkövette, és már megbánta amit tett. 

Az Apple mai frissítésével két hibát javít az iTunes médialejátszóban: az egyik sebezhetőség egy végtelen ciklus miatt előálló DoS, a másik pedig egy tervezési hiba, amely speciális podcastok számára lehetővé teszi egy hitelesítő ablak feldobását, melyből aztán a podcast szerver kinyerheti a megadott iTunes felhasználónevet és jelszót. Az utóbbi problémát azzal orvosolták, hogy egyértelművé tették a felhaszáló számára, hogy valójában honnan érkezik a hitelesítési kérés. Persze azt is láthatjuk, hogy a támadási felület igen korlátozott - fel kell iratkozni egy rosszindulatú podcastra, majd önként és dalolva megadni a jelszavunkat -, de kérdés, hogy ez a javítás a figyelmeztetésekre egyébként is rendkívül fogékony átlagfelhasználót mennyire fogja visszatartani érzékeny adatainak szétkürölésétől?

 Deface-elték szagényt - pontosabban az e-iskola.hu-t. Pozitívum, hogy az elhelyezett üzenet szerint nem töröltek adatot.

Az infóért köszönet kz1971-nek!

A Dev Team "végzetes hibát" talált az iPod Touch 2G bootromjában, melynek segítségével firmware frissítésektől függetlenül jailbreakelhetők a kütyük. A foltot még nem integrálták a PwnageToolba vagy a QuickPwn-ba, de a vállalkozó kedvűek már megpróbálkozhatnak a cucc telepítésével. A kockáknak pedig készült egy kis összefoglaló a hibával kapcsolatban, valamint magáról az exploitkészítésről is várható egy leírás, ezekről ha minden jól megy idővel itt is olvashattok.

Végre valahára kiadta a javítást Adobe a Reader és Acrobat alkalmazásait érintő JBIG2 sebezhetőségre. Ezt a problémát már több mint két hete kihasználják a rosszindulatú támadók, és eddig csak így-úgy összetákolt, nem hivatalos megoldásokban bízhattunk. A dolog szépséghibája, hogy csak a kiadott folt csak a 9-es szoftververzókat javítja.

Frissült a Foxit Reader is - igaz egy picit régebben. Ebben szintén kódfuttatásra alkalmas sebezhetőséget javítottak, de ez nem a JBIG2 tömörítéssel, hanem az extrém hosszú fájlnevek kezelésével volt kapcsolatos. A JBIG2 tömörítési táblák helytelen kezelése ebben az alkalmazásban "csupán" illetéktelen memóriaolvasásra illetve korlátozott parancsfuttatásra volt alkalmas. Egy harmadik hiba helyi fájlok engedély nélküli futtatását és távoli URL-ek megnyitását tette lehetővé.

Fájdalmas sebek:

MS09-06: Távoli kódfuttatásra lehetőséget adó hiba a Windows XP, Vista, 2000, 2003, 2008 rendszereken (utóbbit x86 és x64 architektúrákon alapértelmezett beállítások mellett nem érinti olyan súlyosan a probléma). A probléma speciálisan összeállított, pl. weboldalon elhelyezett EMF illetve WMF fájlokon keresztül használható ki.

MS09-07: TLS kliens autentikációnál a Windows szerver Secure Channel komponense összekeveri a felhasználó publikus és privát kulcsát, így nem Active Directory-t használó környezetben lehetővé válik az autentikáció a felhasználó publikus kulcsának segítségével. Az SVRD blog próbálja szépíteni a helyzetet ("a publikus kulcsot úgysem lehet megszerezni"), de ez azért egy picit súlyos :)

MS09-08: A Microsoft DNS és WINS szerverében talált két sebezhetőség lehetővé teszi, hogy bizonyos interneten található céloknak szánt forgalmat eltérítsünk... csúnya dolog az ilyen.

A frissítést hanyagolókank nem jósolok szép jövőt.

Úgy tűnik megtörték az iTunes ajándékutalványok azonosítására szolgáló algoritmust, és a messzi Kínában most 3$-ért osztogatják a 200$-os kuponokat. Részletek nincsenek, de az AppleInsider cikkét elolvashatjátok itt.

Ráadásul rögtön kettő! Mikor a SendKeys-es trükközésről írtam elkerülte a figyelmemet, hogy a probléma felfedezője egy másik érdekes lehetőségre is felhívta olvasói figyelmét:

A Windows 7 (pontosabban annak beta buildjei - ezt kéretik így érteni a teljes posztra vonatkozóan) fehérlistán kezel egy halom, alapvetően megbízhatónak tekintett folyamatot. Ezeknek a fehérlistás folyamatoknak a rendszer automatikusan engedélyezi az emelt jogosultsági szintű kódfuttatást - az UAC megerősítő ablakának feldobása nélkül. A probléma az, hogy ezek közé a folyamatok közé pl. a RunDLL32.exe is beletartozik, amelyet a szabályos Windows API-t használva megkérhetünk arra, hogy futtassa le a mi kis kódunkat - emelt jogosultsági szinten, UAC ablak nélkül!

A Microsoft ígéretet tett ennek a problémának a javítására, az még azonban nem világos, hogy ez hogyan fog megvalósulni.

De a problémák sora itt még nem ér véget: Ez az igen kimerítő iromány azt taglalja, hogy nem elég a fenti fehérlistán szereplő folyamatokkal foglalkozni. Léteznek ugyanis olyan folyamatok, amelyek ugyan nem kapnak automatikusan megemelt jogkört, de létre tudnak hozni bizonyos típusú emelt jogosultsági szintű COM objektumokat, melyeket aztán meg lehet kérni bizonyos feladatok végrehajtására. Az ilyen folyamatokat szintén szabványos API hívásokon keresztül, speciális jogosultásg nélkül meg lehet kérni arra, hogy a saját kódunkat futtassák és voila, kész az exploit. Természetesen az UAC most sem problémázik.

És bár béta állapotú szoftverről van szó, végtére is egy majdnem kész termékkel állunk szemben. Ennél fogva az ehhez hasonló, alapvető működést érintő problémák javítása minden bizonnyal igen-igen keserves lesz.

A fenti két problémára ugyan készültek PoC kódok, de egy valódi, kártékony célra szánt szoftver elkészítése még valószínűleg felvetne néhány problémát. Az alapvető baj azonban az, hogy a fent leírtak elméleti síkon kérdőjelezik meg a Windows 7 felhasználói hozzáférésszabályozásának létjogosultságát: Amelyik folyamat szeretne, az szerezhet magának jogosulságot bármire, a felhasználó beleegyezése nélkül. Elkerülő megoldásként felmerülhet az UAC szintjének megemelése - ezzel visszatérünk a sokak által átkozott Vistás működéshez - vagy a nem-admin módban történő használat - az XP minden kényelmetlenségével együtt.

De akkor mire is tartjuk mi az UAC-t? A Microsoft szerint ez még csak nem is egy biztonsági fícsör. De akkor minek erőlködnek egyáltalán?

Azt írja a zindex*:

A Firefox a legkevésbé biztonságos böngésző

Tavaly több biztonsági rést találtak benne, mint az Explorerben, a Safariban és az Operában összesen.

...mindez a Secunia statisztikáira hivatkozva.

Nos, minden tiszteletem a Secuniás srácoké, de teljesen nyilvánvaló, hogy a fent említett dokumentum nem más, mint a cég marketingjének része - csak ugye az IT biztonsági iparban kevésbé éri meg TV reklámokat finanszírozni, inkább kell készíteni néhány semmitmondó grafikont, meg mellétenni, hogy mekkora király a cég, aztán a sok hozzánemértő újságíró ingyen szétkürtöli a hülyeségeket.

Ugye komolyabb helyeken senki nem úgy méri egy szoftver biztonságát, hogy megszámolja, hány hibát találtak benne az elmúlt egy évben. Mert ugye nem mindegy, hogy csak a könyvjelzőimet lehet olvasgatni, vagy távirányítós autóvá változtatja az adott sebezhetőség a böngészőn keresztül a gépemet - ilyen statisztikát a doksi nem tartalmaz.

Amit viszont igen - bár ezekre az adatokra senki nem tér ki -, hogy pl. a 0day sebezhetőségek terén a Microsoft viszi a prímet. Ezek ugyebár azok a hibák, amiket ugyan aktívan kihasználnak a rosszfiúk, javítást viszont ha akarnánk sem tudnánk telepíteni. Az ezzel kapcsolatos számok pedig jól összehangban vannak a különböző beépülő komponenseket érintő problémákkal: ActiveX vezérlőt érintő sebezhetőségből több mint háromszor annyit találtak tavaly, mint az összes többi mért típusból (Firefox kiterjesztés, Opera Widget, Java, Flash, QuickTime) összesen.

De nem akarok én is elmenni bulvárba. Utoljára alsó tagozatban volt divat azzal kérkedni, hogy el tudok számolni 300-ig, másrészt én azt tanultam, hogy a statisztika rosszabb, mint a hazugság. Hogy lássuk, mennyire igaz ez, érdemes elolvasni a Secunia jelentését ahelyett, hogy csak a képeket nézegetnénk...

* Persze ez is az ITCafe-Index együttműködés eredménye, előbbi szájton pedig ismét ifj. Zettner Tamás remekelt, igaz most nem sikerült akkora orbitális hülyeségeket írnia, mint pl. az SSLStrippel kapcsolatban, de azért érdemes követni a srác munkásságát!