.:: Securnetwork.net Blog – Massimo Rabbi ::.

Cisco ha segnalato alcune vulnerabilità nel software di telefonia IP di alcuni suoi prodotti, che possono portare a malfunzionamenti dei devices.
I componenti interessati dai problemi sono il Cisco Unified CallManager (CUCM) e il Cisco Unified Presence Server (CUPS).
Il servizio Skinny Call Control Protocol (SCCP) può essere mandato in crash inviando una serie di pacchetti “modificati”; lo stesso di casi per Secure SCCP.
Il bug è stato riscontrato in CUCM 3.x, 4.x e 5.0 ma non in CUPS.
Tuttavia sia i sistemi CUCM 5.0 che CUPS 1.0 possono essere mandati in crash attraverso l’invio di un numeroso eccessivo di pacchetti di PING.
In più un bug nell’IPSec Manager può portare ad un crash del servizio quando un particolare pacchetto UDP viene inviato alla porta 8500.
Questo problema influisce sul forwarding delle chiamate ma non sulle normali operazioni di telefonia.
Anche qui i prodotti vulnerabili sono CUPS 1.0 e CUCM 5.0.
Non c’è alcun tipo di workaround per evitare i problemi in questioni, tuttavia resta una buona idea limitare e filtrare gli accessi al sistema.
Sono comunque disponibili gli updates per risolvere le vulnerabilità sopra descritte.

Altri riferimenti:
- Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities, Cisco security advisory

Nel blog di sicurezza di McAfee è stat riportata una vulnerabilità per Internet Explorer 6 e 7 funzionante su un sistema Windows XP SP2 regolarmente aggiornato.
Questo problema consente ad un attaccante di iniettare codice malevole nel sistema di un utente attraverso mails o pagine web appositamente preparate.
Manipolando i file dei cursori animati (.ani) è possibile eseguire codice iniettato in un sistema in maniera completamente silenziosa, senza per esempio, causare il crash del browser.

Inizialmente i ricercatori McAfee hanno scoperto il proof of concept su una messagge board, e di là a poco è comparso il primo esempio di codice malevole.
McAfee lo identifica come Exploit-ANIfile.c, TrendMicro come TROJ_ANICMOO.AX.
Stando alla descrizione McAfee una volta che l’exploit è all’interno del sistema, consente il caricamento di altro software malware.
Nonostante apparentemente questo tipo di exploit non sia molto diffuso, sicuramente molti virus writers sfrutteranno la falla per generare nuovi exploits.
Il malware è particolarmente subdolo in quanto non causa nemmeno il crash del browser: in questo modo un utente è completamente ignaro di essere sotto attacco.
McAfee sta ancora esaminando la vulnerabilità.
Poichè una vera soluzione non è ancora stata trovata il consiglio è quello di utilizzare browser alternativi come Opera o Firefox, almeno fino a quando Microsoft non rilascierà una patch.
Poichè McAfee ha identificato come altro metodo d’attacco le emails, per gli utenti di Outlook e Outlook Express vale il classico suggerimento di aprire le email in formato testo e non HTML.
Microsoft non ha ancora confermato il problema e non è chiaro quando McAfee abbia avvisato la casa di Redmond del problema.
Un problema di sicurezza simile era già stato patchato agli inizi del 2005.

ALTRI RIFERIMENTI:
* Unpatched Drive-By Exploit Found On The Web, security advisory in McAfee’s blog
* Exploit-ANIfile.c, McAfee’s exploit description

IBM ha notificato la presenza di alcune falle nel proprio prodotto Lotus Domino che consentono ad un attaccante remoto di mandare in crash il server o di fare injection di codice malevole nel browser utente.
Il produttore ha comunque già reso disponibili delle patches che chiudono le vulnerabilità.
Un problema di tipo cross-site scripting è localizzato nell’Active Content Filter del componente Lotus Domino WebMail.
Non filtrando correttamente il codice di scripting, consente di eseguire script malevoli nel browser utente all’interno della security zone Webmail.
Con servers LDAP, un attaccante remoto può usare richieste manipolate per causare un buffer overflow, portando al crash del server. Sembra che per questo tipo di operazione non sia necessaria alcun tipo di autenticazione.
Anche gli IMAP server hanno problemi a gestire richieste manipolate “ad arte” provenienti dalla rete locale e che possono portare ad un crash in caso di buffer overflow.
I bugs interessano le versioni di Lotus Dominio precedenti alla 6.5.6 e 7.0.2 Fix Pack 1 (FP1).
Gli amministratori dei server Lotus Dominio possono tranquillamente scaricare gl updates direttamente dal sito IBM e patchare le vulnerabilità.

LINKS:
- Lotus Domino Web Access Cross-Site Scripting Vulnerability, IBM’s security advisory
- IBM Lotus Domino Buffer Overflow Vulnerability in LDAP Server Task, IBM’s security advisory
- IBM Lotus Domino IMAP Server Buffer Overflow Vulnerability, IBM’s security advisory
- Download updates per le versioni di Lotus Domino interessate

Il successore di Outlook Express sembra non sia molto diverso dal predecessore in termini di sicurezza.
Alcuni mesi dopo il rilascio ufficiale, ed è stato scoperto il primo problema serio: in particolari circostanze, semplicemente cliccando su un link contenuto all’interno di una mail è possibile lanciare un programma presente sul computer locale.
Un hacker con lo pseudonimo di Kingcope ha pubblicato su una mailing list dedicata alla sicurezza, che questo può essere fatto semplicemente incorporando il link ad un programma locale all’interno di una mail.
Se esiste una directory con lo stesso nome del programma eseguibile, questi sarà eseguito da Windows Mail quando l’utente clicca sul link, senza bisogno di alcun tipo di conferma.
Creando per esempio una directory calc all’interno di C:\Windows\System32\ e cliccando su un link che punta a C:/windows/system32/calc? viene lanciato il programma calc.exe.

Nonostante questa falla, non c’è stato alcun scenario reale in cui questo attacco sia stato sfruttato: il rischio quindi resta dunque abbastanza limitato.
Kingcope ha fatto notare come esistano già due programmi Windows, winrm e migwiz, per i quali una cartella con nome corrispondente esistono già. Tuttavia fa notare come non sia possibile passare parametri al programma e questo di fatto riduce di molto il rischio di potenziali attività malevoli.
Questa falla tuttavia non sminuisce che si tratti di un potenziale problema che potrebbe venire sfruttato in qualche maniera in futuro.
Ancora una volta Microsoft e la tanto decantata sicurezza di Windows Vista sono stati smentiti.

LINK: Microsoft Windows Vista – Windows Mail Client Side Code Execution Vulnerability, security bulletin from Kingcope

NVIDIA BIOS Editor (NiBiTor) consente di cambiare il colore e il testo del sign-on message, i clock di GPU e memorie, configurare features nascoste con SBA (Side Band Addressing) e molto altro ancora.
Non richiede alcun tipo di .dll particolare e funziona sotto qualsiasi versione di Windows 9x/ME/NT/2000/XP.
Un must per tutti gli overclockers e gli appassionati di tweaking.

Per il download clicca qui.

Lista completa dei Bios supportati: Leggi il resto dell’articolo »

Se vi interessa aggiungere features al vostro browser Internet Explorer 7, per renderlo più facile da usare e più customizzabile, allora quello che fa per voi è IE7pro.

Alcune delle caratteristiche chiave di IE7pro:
· IE7pro will help you Close/Open tab by double left click
· switch proxy
· set agent identification
· block ads and flash
· open new tab from address bar
· apply super drag-drop
· refresh tab automatically
· recover session crash
· manage tab history
· view page information
· save image files quickly

Link per il download: http://www.ie7pro.com/

E’ stato annunciato oggi il rilascio di uno dei più utilizzati framework in ambito di security research e penetration testing.
La versione 3.0 del framework Metasploit contiene 177 exploits, 104 payloads, 17 encoders e 3 nop modules.
C’è la possibilità di includere 30 moduli ausiliari che consentono diversi tipi di tasks: dall’host discovery al protocol fuzzing, fino al testing di denial of service.
Ricordiamo che il framework è scritto in Ruby e include componenti scritte in linguaggio C e Assembler.
L’ultima versione del Metasploit Framework, unitamente a documentazione, video dimostrativi e istruzioni di installazione, può essere scaricata direttamente dal sito http://framework.metasploit.com/
Il framework è compatibile con la maggior parte dei sistemi operativi attualmente in circolazione: Linux, Windows, Mac OS X e varie versioni BSD.

A distanza di un mese dal rilascio della versione 4.5 del suo software, Massimiliano Montoro ha reso disponibile la versione 4.7 del suo Cain & Abel.
Le nuove features:
- WPA-PSK (Dictionary and Brute-Force Attacks).
- WPA-PSK Auth (Dictionary and Brute-Force Attacks).
- WPA-PSK Authentications sniffer.
- Added IE7 passwords support in Credential Manager Password Decoder.
- OpenSSL library upgrade to version 0.9.8e.

Per effettuare il download clicca qui.
Manuale online di Cain & Abel disponibile qui.

Una vulnerabilità scoperta nell’Oracle Application Server consente ad un attaccante di eseguire codice Javascript arbitrario nel browser degli utenti.
Un utente dal nickname Sea Shark ha pubblicato un esempio di indirizzo per dimostrare la falla.
Stando alle analisi condotte dal gruppo di ricerca di FrSIRT, la vulnerabilità è conseguenza di un controllo errato nell’input utente nel Dynamic Monitoring Service (DMS).
All’atto di esaminare la tabella dei parametri, il DMS fallisce, consentendo di iniettare codice Javascript nel sistema dell’utente sfruttando ad esempio links contraffatti nelle e-mails.
Il codice viene poi eseguito nel browser col livello di sicurezza della Web Application.
Gli utenti di portali Oracle devono quindi stare in allerta e non cliccare su links in e-mail o siti di natura dubbia.

Links:
- Oracle Portal PORTAL.wwv_main.render_warning_screen XSS, Sea Shark’s security advisory
- Oracle Application Server “table” Parameter Handling Cross Site Scripting Vulnerability, FrSIRT’s analysis

SecurWorks ha pubblicato una interessantissima analisi di un trojan per Windows.
Il trojan analizzato è in grado di leggere connessioni SSL, e l’analisi mostra anche come vengano sfruttati i dati catturati dal malware.
Il Trojan si connette alle funzioni Winsock2, riuscendo così a monitorare il traffico dati anche se questo viene poi criptato con SSL per essere trasmesso in rete.
I nomi con cui è comparso sono molteplici: Agent.AVV, Small.BS e Ursnif.AG e a quanto pare sembra sfrutti una falla di Internet Explorer per compromettere un computer.
SecurWorks ha stimato che la variante da loro analizzato ha infettato per lo meno 5.200 postazioni e raccolto informazioni di all’incirca 10.000 accounts.
Ecco qui il link, buona lettura!

Analisi SecurWorks: GOZI TROJAN

Il bug di sicurezza corretto da Firefox con le versioni 1.5.0.11 e 2.0.0.3, ora sembra interessi anche i browser Opera e Konqueror.
Un attaccante sarebbe in grado di sfruttare la vulnerabilità per recuperare informazioni sulla topologia di rete mediante i server FTP manipolati.
Il comando FTP PASV non solo consente la possibilità di specificare una porta diversa per la connessione dati rispetto a quella di default, ma anche il corrispettivo IP.
Chi ha scoperto il bug, mark di bindshell.net, ha fatto sapere come i browser vendors siano stati avvisati verso la fine di gennaio 2007. Da Mozilla c’è stata risposta e infatti il bug è stato chiuso. Gli sviluppatori di Opera invece non hanno ancora risposto alla segnalazione, mentre il team di KDE sembra stia discutendo sulla serietà del problema scoperto.
Il developer team di KDE ha tuttavia per il momento fornito una patch che previene il crash di Konqueror basandosi sull’esempio di codice postato su BindShell.net.
Opera 9.10 e Konqueror 3.5.5 sono interessati dal problema dunque.
Non è per il momento chiaro quando verranno rilasciate dai vendor delle versioni patchate. Il workaround per il momento è quello di o disabilitare il supporto Javascript oppure non seguire alcun link FTP che appare nel proprio browser.

L’advisory con un paper tecnico e proof of concept è disponibile a questo indirizzo.
Copia locale del PDF.

A Carlo è sempre piaciuto dilettarsi nei fotomontaggi.. anche quando eravamo al liceo, il suo divertimento preferito era prendere le immagini di spot famosi e ricavarci delle modifiche ad arte con protagonisti noi della vecchia classe
Una delle sue ultime “realizzazioni” il fotomontaggio di Ghost Rider… il bersaglio ovviamente il sottoscritto
Complice il fatto che siamo andati a vedere il film al cinema lunedi’ scorso e il mio nuovo soprannome (da lui coniato) ecco qui il TOAST RIDER!

Riprendo molto volentieri una news che ho trovato su ZeusNews, ma che circola in rete da qualche giorno.
Grazie a Giulia per la segnalazione via sms stamattina.
ARTICOLO ORIGINALE QUI: ZeusNews
Vodafone attiva servizi a pagamento non richiesti
Sms vocali e relativa notifica: ecco come l’operatore rosso recupera i mancati introiti per le ricariche, azzerati dal decreto Bersani.
Da alcuni giorni Vodafone ha attivato a tutti i propri utenti due nuovi servizi, Ricezione Sms vocale e Notifica ricezione Sms vocale.
Il primo servizio consente di inviare un breve messaggio vocale (della durata massima di trenta secondi) a un altro utente Vodafone e viene proposto automaticamente quando l’utente chiamato non è raggiungibile (e non ha attiva la segreteria). L’utente chiamato viene avvisato della presenza di un nuovo “Sms vocale” tramite un tradizionale messaggio di testo. L’ascolto del Sms vocale è gratuito, mentre chi lo invia paga 29 centesimi.
Il secondo servizio è la notifica, tramite Sms, dell’avvenuto ascolto del Sms vocale lasciato. Questo secondo servizio è gratuito.
Sebbene i servizi siano per molti versi innovativi, la maggior parte degli utenti li ha intesi come un tentativo di Vodafone di rifarsi sui mancati introiti per i costi di ricarica, azzerati come noto dal decreto Bersani. Soprattutto gli utenti non hanno gradito la modalità di attivazione forzata di nuovi servizi a pagamento e stanno intasando in questi giorni il sito di Vodafone (e il call center) per disattivarli.
Visto l’elevato traffico, questa operazione risulta difficile e il sito “Fai da te” di Vodafone a moltissimi continua a rispondere di “riprovare più tardi”.
Sui forum di Zeus News (nei commenti dei lettori qui sotto) troverete l’esatta procedura per disattivare i due nuovi servizi, nonché il comunicato ufficiale di Vodafone che chiarisce la posizione dell’azienda.

E’ stato riscontrato un problema di buffer overflow per il prodotto di streaming di RealNetworks, Helix Server, quando questo processa dei pacchetti di dati modificati “ad arte”.
La vulnerabilità consente ad un attaccante non autenticato di ottenere da remoto i privilegi di root sul server.
La falla viene sfruttata inviando una richiesta di tipo DESCRIBE con un valore molto lungo inserito inserito nel campo LoadTestPassword del pacchetto. Durante la fase di processing la conversione fallisce e l’output è costituito da un valore negativo come codice errore, che pero’ non viene più controllato nei passaggi successivi.
La funzione infatti processa il valore negativo come un unsigned int, che risulta essere molto grande. Il risultato dell’incremento della variabile porta ad un overflow, facendo in modo che il valore contenuto sia relativamente piccolo.
La funzione richiede quindi un buffer di dimensioni ridotte, nel quale, tuttavia, tenta di copiare una quantità di dati molto più grande di quanti ne possa contenere.
Di default Helix Server gira con privilegi di root, e questo consente all’attaccante di avere codice iniettato attraverso la falla che viene eseguito con privilegi amministrativi, ottenendo così il controllo del sistema.
La vulnerabilità interessa la versione 11.1.2 di Helix Server per Windows, Solaris e Linux.
La nuova versione 11.1.3 ha fixato il problema.

LINK ADVISORY: Helix Server heap overflow, security alert by Evgeny Legerov

E’ stata rilasciata nella giornata di ieri la nuova versione di Firefox, la minor release targata 2.0.0.3.
Tra gli aggiornamenti alcuni bug e security fixes, in particolar modo la vulnerabilità di FTP PASV port-scanning (MFSA 2007-11).
La lista completa dei bug risolti è qui.
Qui invece le Release Notes della nuova versione.

Cosa fare dei quasi 3 giga di spazio messi a disposizione per ogni account GMail?
Una delle tante risposte può essere quella di utilizzare uno o piu’ account per caricarci le nostre vecchie email e aver cosi’ la possibilità di consultarle sempre e ovunque, oltre che avere un comodo meccanismo di backup.
A questo scopo ci viene incontro un interessante utility: Google GMail Loader.
Si tratta di un software cross-platform, scritto in Python che supporta formati mBox (Netscape, Mozilla, Thunderbird,etc.) MailDir (QMail), MMDF (Mutt), MH (NMH) e Babyl (Emacs RMAIL).
In futuro è previsto il supporto per account IMAP, e inoltre l’autore sta lavorando ad una libreria in grado di leggere e esportare il formato Microsoft Outlook PST.
Al momento per ovviare al problema è possibile utilizzare una delle tante utility che fanno la conversione da formato PST a mBox, come PST Reader.

Home Page del progetto di Mark Lyon

Sull’onda di iniziative analoghe quali “Month of Apple Bugs” o il piu’ recente “Month of PHP Bugs”, stando a quanto dichiarato da alcuni ricercatori di sicurezza che usano i nickname di ‘Mondo Armando’ e ‘Müstachio’ il prossimo mese sarà il “Month of Myspace Bugs”.
Staremo a vedere come proseguirà quest’ennesima iniziativa.
Per seguire l’evolversi del progetto potete inserire nei bookmarks questa pagina su Live Journal.

Layered Defense, società di ricerca nel campo della sicurezza, ha segnalato una vulnerabilità in F-Secure Client Security.
Il bug consente ad utenti locali di portare a termine con successo per lo meno attacchi di tipo Denial of Service.
C’è inoltre la possibilità più grave che l’attacco si traduca in un escalation di privilegi.
La vulnerabilità è dovuta ad un parsing errato del formato delle stringhe nel campo del nome del management server.
Inserendo una stringa elaborata ad arte nel campo server name, un utente è in grado di leggere e scrivere zone di memoria in maniera arbitraria.
La versione interessata dal problema è F-Secure Client Security 6.02.
La società ha già rilasciato un hotfix che risolve il problema e che è scaricabile direttamente da qui.
Link: Security Advisory su Layered Defense

Stando ad un advisory di sicurezza apparso su Full Disclosure, i telefoni Cisco 7940 e 7960 possono essere riavviati con un particolare messaggio INVITE preparato ad arte.
La vulnerabilità è alquanto fastidiosa specialmente se l’attaccante la utilizza durante una chiamata da parte dell’ignaro utente.
Il problema sembra legato all’analisi di un campo sipURI nell’INVITE message da parte di un altro utente.
I devices che utilizzano il firmware P0S3-07-4-00 sono interessati dal problema: la vulnerabilità è stata rimossa con la versione POS8-6-0.
A questa pagina trovate il security advisory in cui è contenuto anche un esempio pratico di exploit costituito da poche righe di codice scritte in linguaggio Perl.

E’ uscita la nuova versione dei drivers MadWifi, la 0.9.3 appunto.
MadWifi è il diminutivo per Multiband Atheros Driver for Wifi. In altre parole si tratta del progetto che fornisce i device driver per far funzionare schede wireless basate su chipset Atheros.
Il driver funziona in maniera tale da far risultare la scheda WLAN come una normale interfaccia di rete del sistema.
Questo consente di configurare il dispositivo usando i tools più comuni come: ifconfig, iwconfig e similia.

L’HOME PAGE del progetto dove reperire i drivers.

Le caratteristiche principali: Leggi il resto dell’articolo »