Archiwum dla kategorii Exploit

Wprawdzie moja absencja online nie była spowodowana żadnym atakiem wirusa (no, chyba że grypy na pracowników tpsy), ale właśnie temu tematowi pragnę poświęcić kilka następnych zdań.

Ilość komputerów zarażonych koniem trojańskim Storm powiększa się w każdej chwili w zastraszającym tempie. Nazwanie tego epidemią nie oddaje faktycznej stali problemu. Mamy do czynienia z Pierwszą Pandemią Internetową.

Szacunkowe dane ustalają liczbę zainfekowanych komputerów na kilkanaście milionów, a pesymistyczne dane nawet o 50 milionach. Teoretyczna szczepionka już istnieje - jest nią aktualizacją dla przeglądarek IE i FF, bowiem jest to podstawowa droga rozpowszechniania się tego zagrożenia. Niestety jak wykazują badanie nie ograniczyła ona stopnia rozwoju pandemii a obecna moc botnetu powstałego z połączenia wszystkich zarażonych komputerów w klaster obliczeniowy prawdopodobnie przewyższa (i to znacznie) dowolną inną instalację tego typu (legną lub nie) i pozwala między innymi na skuteczne deszyfrowanie danych (haseł, transmisji, itp.; nawet tych bardzo zaawansowanych).

Sam trojan jest bardzo ciekawy. Jego głównym zadaniem jest przejęcie kontroli nad komputerem i połączenia do jako węzła globalnego botnetu. Następnie umożliwia on przeprowadzenie złożonych rozproszonych obliczeń lub ataków typu DDoS. Infekcja przebiega najczęściej poprzez stronę internetową ze spreparowanych odpowiednio kodem JavaScript, który doprowadza do przepełniania bufora przeglądarki i w efekcie ściągnięcia i wykonania pliku wykonywalnego. Ze względu na polimorficzny charakter wirus jest ciężko wykrywalny przez oprogramowanie antywirusowa, co więcej, w pierwszej kolejności instaluje rootkita, który skutecznie dezaktywuje programowanie ochronne (a dokładniej je sandboxuje, co powoduje, iż nie potrafi on wykryć żadnego zagrożenia w systemie, pomimo iż działa normalnie). Storm posiada także wielopoziomowy system wykrywania próby usunięcia trojana. Jeżeli użytkownikowi (lub programowi) powiedzie się usunięcie jednego z zabezpieczeń natychmiast wykrywa to wyższa warstwa i ponawia infekcje. W efekcie usunięcie zagrożenia jest niezwykle kłopotliwe.

Sam miałem raz “przyjemność” walczyć ze Stormem u znajomego i z przykrością muszę stwierdzić, iż po kilku godzinach się poddałem, co ostatecznie skończyło się koniecznością reinstalowania Windowsa.

Artykuł na PC World Komputer:
http://www.pcworld.pl/news/128739.html

Ciekawa prezentacja autorstwa F-Secure:

 

 

Niedawno głośno było o błędzie w przeglądarce Firefox polegającym na braku filtrowania danych pochodzących z wywołania przy pomocy firefoxurl:// (http://secunia.com/advisories/25984/). W rzeczywistości problem ten w równym stopniu obciążał zarówno Firefoxa jak i autorów przeglądarki IE, dzięki której atak był możliwy. Mozilla Foundation poprawiła błąd wraz z wersją 2.0.0.5, problem po stronie IE został po raz kolejny zignorowany (wprawdzie w tym przypadku jest to częściowo zrozumiałe, gdyż przecież istnieje możliwość, że inne programy nie akceptują przefiltrowanych danych a także powstaje pytanie o stopień filtracji; ale jednocześnie działanie Microsoftu można porównać to producenta samochodów, który nie montuje pasów bezpieczeństwa, gdyż nie każdy je zakłady, zmniejszają komfort jazdy i - co najważniejsze - o bezpieczeństwo jazdy powinni troszczyć się inni, w szczególności kierowca).

Atak przy pomocy IE polegał na utworzeniu odpowiednio spreparowanego odnośnika, którego naciśnięcie powodowało uruchomienie Firefoxa wraz dodatkowymi atrybutami (wstrzyknięcie kodu).

Niedługo po pojawieniu się “załatanego” Firefoxa analogiczny problem jak w IE został wykryty w samym FF! Błąd polega na niewłaściwym filtrowania znaku cudzysłów w adresach url zewnętrznych protokołów. Więcej informacji można znaleźć na stronie http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

Problem jest o tyle poważny, iż pozwala na zdalne uruchomienie dowolnego programu zainstalowanego na systemie użytkownika! Prosta prezentacja:

EXPLOIT

(ps. jeżeli powyższy przykład u Ciebie nie działa, nie oznacza to, iż jesteś bezpieczny; po prostu atakujący musi użyć innego protokołu niż mailto)

Tak więc wszystkich użytkowników FF (IE także) namawiam do dokładnego sprawdzania linków, które się klika…

Niedawno miałem wątpliwą przyjemność spotkania z tym niebezpiecznych trojanem. Na szczęście “spotkanie” było w pełni kontrolowane. Ale do rzeczy. Wprawdzie nie śledzę historii tego programu, ale sporo wskazuje, że właśnie ukazała się kolejna jest wersja. Przypuszczenie opieram na fakcie, iż otrzymałem plik zarażony tym trojanem, który… był szczątkowo wykrywany przez programy antywirusowe!

Test przeprowadzany przy pomocy scannera online VirusTotal wykazał, iż tylko ClamAV i VirusBuster potrafiły prawidłowo rozpoznać Ardamex, kilka innych wykryło nieznane potencjalne zagrożenie, a większość - w tym wszystkie najpopularniejsze(!) - uznały zarażony plik za czysty! Testowy system to Windows XP SP2 z zainstalowanymi aktualizacjami z maja 2007.

Dopiero odpalenie zarażonego pliku w systemie (zaznaczam, iż było to specjalnie przygotowane środowisko testowe) wykazało obecność trojana. Zainstalowany w tym systemie darmowy (i raczej kiepski, choć popularny) antywirus avast! nie zauważył niebezpieczeństwa.

Infekcja systemu przebiegała w ciekawy sposób - w jej czasie został wygenerowany plik graficzny JPG. Możliwe jest, że korzystając z nieznanej powszechnie luki w Windows w obsłudze plików graficznych, zaraził on cały OS. Jeżeli atak przy pomocy spreparowanego pliku graficznego się potwierdzi, będzie to oznaczać kolejne ogromne zagrożenie dla użytkowników systemu Windows. Są to jedynie moje przypuszczenie, nie jestem obecnie w stanie ich potwierdzić z całą pewnością.

Apple jest znana z raczej porządnie napisanych programów, a tymczasem przytrafił się jej bubel w postaci nowej wersji przeglądarki Safari oznaczonej numerem 3.0. Jasno trzeba zaznaczyć, iż dotyczy to wersji beta, co więcej tylko na platformie Windows, co jest niewątpliwie względnie nowym doświadczeniem dla Apple.

Już w kilka godzin po pojawieniu się “publicznej beta” pojawiły się pierwsze exploity o charakterze krytycznym. Jeden z nich został opisany tutaj: http://larholm.com/2007/06/12/safari-for-windows-0day-exploit-in-2-hours/

Wiele innych błędów uniemożliwia normalna pracę. Przykładem jest problem pojawiający się w momencie napisania dowolnego znaku w polu tekstowym na stronie. Prezentacja w postaci filmiku tutaj.

Większość luk i błędów została już załatana, choć należy się spodziewać, że ich miejsce zajmą następne.

Apple chwali się, że w czasie kilku dni od pojawienia się przeglądarki w wersji dla Windows, została ona ściągnięta ponad milion razy! Aczkolwiek obawiam się, że takie “niestabilne milion razy” nie wpłynie pozytywnie na wizerunek firmy i pozycję przeglądarki na rynku. Kiedyś MS wydawał kiczowatą przeglądarkę w wersja dla MacOS, teraz sytuacja się odwróciła. Czas pokaże czy jest warto. Życzę Apple jak najlepiej.

W pluginie do Wordpress All in One SEO Pack znajduje się kilka drobnych i poważniejszych błędów. Opiszę jeden z nich, dotyczy aktualnej wersji 0.6.2.1.

Włączenie opcji Autogenerate Descriptions powoduje, że wtyczka będzie próbować wygenerować opis (META Description) strony na podstawie jej treści. Precyzyjniej - przekopiuje określoną liczbę słów (domyślnie 25) z treści do opisu. Poważny problem powstaje, gdy na stronie występuje znak cudzysłowia, gdyż nie jest on przez plugin filtrowany.

Najłatwiejszym rozwiązaniem jest zmiana znaku cudzysłowania na inny. Dodajemy w funkcji wp_head() w linii 70:
$description = str_replace('"', ''', $description);

TeamSpeak jest programem typu VOIP do przeprowadzenia rozmów konferencyjnych, szczególnie często wykorzystywany w przypadku gier MMOG.

Nie tak dawno miałem wątpliwą przyjemność obserwowania rezultatów działania exploita na TS. Tworzył on masowo kanały, których następnie nie można było w żaden prosty sposobów usunąć, gdyż powodowały zawieszenie klienta.

Nie musiałem szukać specjalnego programów, bowiem atak jest bardzo łatwo przeprowadzić bez dodatkowych narzędzi: TS2 exploit

Atak polega na ustawieniu odpowiedniej wartości w polu Topic, gdyż ta wartość nie jest właściwie filtrowana. Nie potrafię w tech chwile określić, czy przeprowadzenie tego ataku może być poważniejsze w skutkach niż tylko zawieszenie programu klienckiego.

Ze względu, iż kod TS nie jest dostępny publicznie, jedyne co pozostaje to cierpliwie czekać na patche ze strony autorów. Doraźne lekarstwo polega na ingerencję w bazę danych i edycję lub usunięcie nieprawidłowych wpisów.

Błąd został potwierdzony w wersjach:

  • TeamSpeak 2 Client (Windows): 2.0.32.60
  • TeamSpeak 2 Server (Linux/Windows): 2.0.20.1

Dodatkowo TS2 został napisanych bez poszanowania prywatności - wszystkie hasła w bazie danych są w postaci niezaszyfrowanej!

TeamSpeak2 hasła JPG

Szkoda słów…

Prezentuję bibliotekę umożliwiającą załadowanie dowolnego kodu (w szczególności całego pliku dll) w ramy dowolnego procesu posiadającego okno.

W archiwum jest również przykładowy program ładujący przygotowaną bibliotekę do procesu systemowego Notatnika.

Przykład działa w polskiej odmianie systemu Windows XP (również SP2). Niestety nie działa w Vista.

Użycie biblioteki:

  1. Podczepiamy funkcję InjectDll to naszego kodu
    #include "injectdll.h"
    HINSTANCE dll = LoadLibraryA("hook.dll");
    InjectDll f = (InjectDll) GetProcAddress(dll, "InjectDll");
  2. Uzyskujemy HWND okna
    HWND hWnd = FindWindow(NULL, "Bez tytułu - Notatnik");
  3. Dll Inject!
    HMODULE hModule = f(hWnd, "insert.dll");


Przykład działania

Plik: Dll Injection

Znamy już sentencję roku 2007!

“Rather, the behavior of Word 2007 is a feature, not a bug.”, tak skomentowała doniesienia dotyczące wieszającego się Worda jedna z przedstawicielek Microsoftu.

Tym samym mamy kolejną złotą myśl z zagłębia w Redmond, nawiązującą do legendarnego już stwierdzenia “beta wersje są po to aby się wieszały”.

A jeszcze wypada nadmienić, że wieszanie Worda “is a by-design behavior that improves security and stability (…)” .

Błąd w MS Word wykrył i opisał Mati Aharoni. Odpowiednio spreparowany dokument doc potrafi skutecznie zawiesić Worda (początkowym objawem jest obciążenie systemu na poziomie 100% generowane przez program). Odpowiedź MS w stylu: lepiej aby program się zawiesił, niż pozwolił na wykonanie nieautoryzowanego kodu; jakby nie patrzeć - słuszna. Tylko dlaczego program się wiesza, a nie po prostu zamyka?

http://www.milw0rm.com/exploits/3690

Od teraz MS będzie miał dobre wytłumaczenie na wieszające się programy - to cecha, a nie wada…

Nowa wersja tego znakomitego programu do szyfrowania danych jest o tyle warta uwagi, iż kolejne wersje pojawiają się nieczęsto. Wśród nowości w wersji 4.3 najbardziej znaczące wydaje się wsparcie dla systemu Microsoft Vista.

http://www.truecrypt.org

Tymczasem dnia 02.04.2007 duński serwis Secunia poinformował o problemie umożliwiającym na podpięcie zaszyfrowanego wolumenu pod katalog systemowy (na przykład: /usr/bin). Operacja ta wymaga uprawnień roota. Bezpiecznym rozwiązaniem problemu jest zdjęcie bitu uid z pliku truecrypt.

Więcej informacji na ten temat można znaleźć na stronie: http://www.securityfocus.com/archive/1/archive/1/464064/100/0/threaded