.:: Securnetwork.net Blog – Massimo Rabbi ::.

Se quello che vi serve è una piccola utility che legge file pdf e che vi permetta di stamparli in tutta tranquillità, che sia portabile e veloce nel caricamento, allora quello che fa per voi è Sumatra PDF Viewer.
Il 29 aprile è uscita la versione 0.6 di questo utile software che apporta alcuni miglioramenti e bug fixes.
A questo indirizzo è possibile scaricare il software e i relativi sorgenti.
Assolutamente da provare!

Sono liberamente disponibili in rete da qualche giorno due exploit che sfruttano una falla di sicurezza in Adobe Photoshop CS2 e CS3, e che consente ad un attaccante di ottenere il controllo completo della macchina utente.
Il software infatti gestisce in maniera non adeguata i file bitmap e png e questo può portare ad un buffer overflow.
La prima a riportare il problema è stata Secunia: il suggerimento per gli utenti Photoshop è quello di non aprire nessun tipo di file bitmap o png che non provenga da qualcuno di fidato, almeno fino a quando non sarà rilasciata una patch.
Nonostante la disponibilità pubblica del codice dell’exploit, sembra non ci sia stata alcun segnalazione di attacco reale.
Nel frattempo Adobe sta lavorando ad una soluzione per ovviare al problema.

Approfondimenti:
- Adobe Photoshop CS2 / CS3 Unspecified .BMP File Buffer Overflow Exploit, su milw0rm
- Photoshop CS2/CS3 / Paint Shop Pro 11.20 .PNG File BoF Exploit, su milw0rm
- Adobe Photoshop Bitmap File Handling Buffer Overflow Vulnerability, su Secunia

Non ci sono ancora date di rilascio ufficiali o ufficiose ma stando a quanto dichiarato dal Microsoft Product Manager Joshua Edwards al noto sito web CNET, sembra che Office 2003 avrà un service pack 3. Il focus principale del SP3 sarà la sicurezza: è probabile che verranno infatti incluse alcune funzionalità della nuova suite 2007.
Gli updates dovrebbero essere completamente trasparenti e l’utente non dovrebbe “accorgersi” di queste nuove funzionalità che derivano dalla versione 2007.
Questo annuncio è sicuramente legato ai problemi di cui Office 2003 ha sofferto negli ultimi periodi: bug e falle non patchate troppo a lungo o non ancora corrette, che sono diventate un ottimo trampolino di lancio per lo spionaggio industriale.

Negli ultimi giorni stanno girando degli exploits che mostrano come sia possibile far crashare Firefox e Internet Explorer.
In Firefox, è sufficiente chiamare uno specifico “chrome URL”.
I Chrome-URLS sono pseudo url che in Firefox possono essere usati per lanciare specifici componenti della GUI del browser avendo accesso completo alle risorse di sistema.
Possono per esempio essere usate per configurare Firefox, i settaggi infatti sono semplicemente un mapping tra chrome urls e moduli XUL (User Interface Language).
Tra questi moduli XUL ve ne sono tre che si sa possono causare un crash quando vengono invocati:

chrome://pippki/content/editcacert.xul
chrome://pippki/content/editemailcert.xul
chrome://pippki/content/editsslcert.xul

Tuttavia lo sfruttare questo attacco DoS è abbastanza difficile, visto che non è possibile chiamare un chrome URL all’interno di una normale pagina web.
Quello che deve essere fatto è un attacco di social engineering, mediante il quale l’attaccante convince la vittima a fare il copia incolla dell’URL nell’address bar di Firefox.
Sono affette dal problema le versioni 2.0 di Linux e Windows.
Al contrario invece un attacco di tipo DoS per Internet Explorer 6 e 7 funziona tranquillamente innestando del codice Javascript all’interno di pagine web. Questo particolare script può infatti portare ad un consumo esagerato di memoria, via via crescente. In alcuni casi quello che succede è che il browser crasha.
Il problema del limitare una ricorsione, un’iterazione o di quando stoppare un loop che sta “mangiando” memoria non è certamente nuovo, tuttavia sembra non ci sia ancora una soluzione universale, questa d’altronde anche la conclusione a cui arrivò Turing nel lontano 1936.

Approfondimenti:
* Firefox 2.0.0.3 DoS crash, advisory on Full Disclosure
* Internet Explorer Crash, advisory on Full Disclosure

Vi è mai successo che il vostro pc al momento della disconnessione o ancor meglio dello shutdown risulti particolarmente lento nel compiere l’operazione?
Se avete notato questa cosa, una delle possibili cause può essere il fatto che:
"I processi di sistema infatti possono in alcuni casi mantenere dei collegamenti con le chiavi di registro nel profilo utente dopo il processo di disconnessione. Se questa circostanza si verifica, la sessione dell’utente non può essere del tutto terminata e quindi causare dei problemi nell’utilizzo della funzionalità Profilo comune utente oppure in Blocco profilo in Shared Computer Toolkit."
Per questo Microsoft mette a disposizione un particolare servizio appositamente studiato per migliorare le cose.
"Il servizio User Profile Hive Cleanup (UPHClean) garantisce che le sessioni dell’utente vengano completamente terminate una volta eseguita la procedura di disconnessione (logoff).
Il servizio monitora i profilo di utenti che hanno eseguito la disconnessione ma che risultano avere ancora una struttura di hive aperta nel Registro di sistema. Quando questa situazione si verifica, il servizio identifica quale applicazione ha degli handle aperti nella struttura di hive e quindi li rilascia, registrando il nome dell’applicazione e le chiavi di registro che erano state lasciate aperte. Al termine di questa procedura il sistema completa la disconnessione del profilo."

Per effettuare il download del servizio cliccate qui.
Attenzione è richiesta una copia genuina del sistema operativo.

Nella giornata di ieri Apple ha rilasciato il quarto security update dell’anno, patchando ben 25 vulnerabilità del proprio sistema operativo, 24 delle quali interessano la versione 10.4 di Mac OS X.
All’interno della lunga lista anche una patch per reti wireless per sistemi più vecchi.
Tre fixes interessano il demone di autenticazione Kerberos e altri tre il sistema Login Window.
Le altre patches interessano servizi Unix come ftpd, GNU tar, fecthmail, WebDAV e SMB. Due fixes a Libinfo impediscono ora a siti web malevoli di poter eseguire codice arbitrario.
Apple ha aggiornato anche i servizi usati in iChat e in System Configuration.

LINK:
- About Security Update 2007-004, dal sito Apple

Gli utenti Firefox 1.5 dovrebbero cominciare a pensare di passare alla versione 2.0, perchè è notizia ufficiale che dopo il 24 aprile il supporto cesserà definitivamente. Non si potrà quindi più contare su updates e le vulnerabilità non verranno più fixate.
Poichè non c’è una funzionalità di aggiornamento automatico che effettui l’upgrade dalla 1.5 alla 2.0 è molto probabile che un buon numero di utenti continueranno ad usare la vecchia 1.5.
Nonostante non si possano fare previsioni sul fatto che questa versione verrà presa di mira da virus/malware writers, quel che è certo è che negli ultimi mesi sono state fixate ben 9 vulnerabilità critiche nella versione 1.5, e ciò non è un buon segno per il prossimo futuro.
Sebbene è possibile che vengano pubblicati updates per altri browser Firefox-based come Netscape e Camino dai relativi sviluppatori, non è detto che questa possa essere una garanzia, visto e considerato che per esempio Netscape non ha ancora patchato alcune falle che nella versione originale di Firefox sono già state chiuse.
Il consiglio, che suona quasi come un imperativo è quello di effettuare il download manuale della versione corrente 2.0.0.3 per chi non l’avesse ancora fatto!

Sono stati rilasciati di recente gli aggiornamenti per il mini-webserver Lighttpd, il software che si sta da tempo facendo largo nel mercato web server tra mostri sacri come Apache e IIS.
Secondo quanto riportato un attaccante può sfruttare i bug per causare un attacco di tipo DoS.
Il parsing della stringa “\r\n\r\n” può sovraccaricare il sistema o causarne il crash se la connessione del client viene interrotta durante la fase di parsing. Il bug interessa le versioni 1.4.12 e 1.4.13 solamente.
In più il processing di file con un timestamp sbagliato (mtime=0) porta alla dereferenziazione di un NULL pointer, che manda in crash l’applicazione.
Tuttavia per portare a termine questo tipo di attacco è necessario riuscire a caricare un file appositamente preparato sul server in questione.
Le versione affette in questo caso sono le 1.3.x e 1.4.x.
Entrambi i bug sono stati fixati nelle versioni 1.4.14 e successive.
La versione corrente è la 1.4.15.

REPORT DEI BUG:
* Remote DOS in CRLF parsing
* DOS with files with mtime 0

Ultimamente il registro del vostro Skype si è popolato una marea di chiamate non risposte? Forse allora dovreste pensare ad una scansione completa del vostro sistema.
Ironia a parte, ultimamente stando alle rilevazioni di F-Secure, un worm per piattaforma Windows, Pykse (IM-Worm:W32/Pykse.A), farebbe in modo di impostare lo stato di un client Skype in “Non disturbare”, in maniera che un utente non riceva più chiamate in entrata, ma unicamente avvisi di mancata risposta.
Il comportamento del worm non si limita solo a questo, il virus infatti invia un messaggio a tutti i propri contatti online contenente un link che invita a scaricare il malware. Quanto il programma viene lanciato compare l’immagine di “una donna in abiti succinti” (che fantasia! n.d.r.).
Dopo aver infettato il computer, Pykse contatta vari siti web aggiornando un contatore che tiene conto del numero di infezioni.
A parte manipolare i settaggi Skype, il malware non sembra provocare danni veri e propri e nemmeno di scansionare dati sensibili (username, password, etc.). F-Secure non ha dato indicazioni circa il potenziale numero di infezioni.
Già in dicembre avevamo assistito alla diffusione di un worm per Skype che tentava di scovare le passwords dell’utente.

LINK:
- Report sul worm, dal blog di F-Secure

Su ExtremeTech è stato pubblicato sotto forma di articolo un capitolo completo del libro “Hacking Ubuntu: Serious Hacks Mods And Cusomtizations“.

Il titolo dell’articolo è appunto “Hacking Ubuntu to Improve Performance” e vengono elencati svariati consigli su come incrementare le performace di una Ubuntu-box: consultare la lista dei processi attivi, identificare le risorse, controllare i processi allo startup, tuning ai parametri del kernel e migliorare i tempi di avvio.
Nonostante la lettura sia interessantissima e molte cose possano essere risfruttate anche per altre distro, direi che il titolo è leggermente pretenzioso, in fin dei conti si tratta di un’utile raccolta di tips and tricks.
Ma si sa che ormai la parola hack e hacker è in voga, basti pensare a tutte le serie di libri che escono con queste parole nel titolo.
Detto questo comunque buona lettura!

Controllando le statistiche di accesso a Securnetwork mi sono accorto di come ultimamente la pagina più visitata sia quella di qualche giorno fa relativa al post sul virus “Photo Album.zip” che circola in Msn Messenger.
Andando a vedere le pagine di provenienza, mailing list e forum, mi è capitato di vedere riportate alcune inesattezze: forse chi ha letto in queste pagine non l’ha fatto attentamente.
Ecco qui alcuni chiarimenti:
- il virus non è legato ad un contatto msn particolare… vedi per esempio il contatto dadecarlo@hotmail.it che sembra essere stato preso come “fonte primaria” di diffusione virus. Il messaggio con l’invito a scaricare lo zip vi arriva da un qualunque contatto sia stato infettato dal virus e non da uno in particolare.
- visto che personalmente non ho scaricato lo zip, mi affido a quanto riportato dal sito C.I.S.R.T. del quale ho elencato ben tre post riguardanti il virus… forse qualcuno non si è preso la briga di andare a leggere. all’interno del file .zip pare ci siano un file .pif che è il virus vero e proprio.
Il virus non lo si prende semplicemente cliccando sullo zip.
- non avendo preso il virus fortunatamente non mi sono trovato nella situazione di doverlo rimuovere, rispondo quindi anche a coloro che mi hanno contattato via mail, che la procedura di rimozione più esauriente che ho trovato è questa.
Anche qui avevo segnalato il link nei commenti ma forse qualcuno non ci ha prestato attenzione. Unica cosa da dire è che la procedura chiaramente fa riferimento ad una particolare variante… quindi può benissimo essere che abbia bisogno di qualche aggiustamento o passaggio in più o in meno a seconda della variante in cui si può essere incappati. Se avete altre procedure di rimozioni chiare da segnalarmi fatelo pure, sarò ben lieto di pubblicarlo all’interno del post.

Spero sia tutto… per altri chiarimenti potete tranquillamente contattarmi… ma almeno questa volta fatelo dopo aver letto attentamente

UPDATE 22/04/2007:
Consultate la guida su p2pforum:
http://www.p2pforum.it/forum/showthread.php?t=174815
In particolare scaricate il tool MSNFIX, semplice da usare visto che dal 20 aprile è disponibile anche in inglese!
Spero sia tutto!

Una falla nel servizio Microsoft DNS Server consente ad un ipotetico attaccante, in particolari condizioni, di ottenere in maniera remota il controllo completo del sistema.
Stando ad un advisory Microsoft, alcuni tipi di pacchetti RPC modificati “ad arte” causano un buffer overrrun nel servizio DNS, che può consentire di fare injection di codice malevole, poi eseguito dal servizio con i privilegi SYSTEM.
Sempre secondo Microsoft, questo buco è già sfruttato in maniera attiva e nessuna patch non è stata ancora approntata per fixare il bug.
Il DNS Server di Microsoft è una componente di Windows 2000 SP4 e Windows Server 2003 con SP1 e SP2, ma non è attivato di default.
Microsoft avverte gli utenti di disabilitare l’RPC remote management per il servizio DNS Server.
Per fare questo, gli utenti devono creare una nuova entry DWORD con nome RpcProtoocol e assegnarle il valore 4 all’interno di HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters.
Altra raccomandazione è quella di registringere l’accesso di rete dei pacchetti RPC al range di porte TCP 1024-5000 e unicamente da indirizzi IP fidati.

VEDI ANCHE:
- Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution (935964), Microsoft advisory

I ricercatori di iDefense hanno riscontrato alcune vulnerabilità in suEXEC di Apache, funzionalità che permette di eseguire ad esempio script CGI con i privilegi del proprietario dello script piuttosto che con quelli del processo del web server.
Le vulnerabilità consentirebbero ad un utente locale di far girare programmi con i privilegi di un altro utente.
Tuttavia, di default suexec può essere lanciato solo dall’utente col cui account sta girando il web server (ad esempio “httpd”).
Suexec inoltre limita i possibili user e group ID che si possono usare. Il tool è incluso in Apache come componente standard, ma spesso, come accade in Fedora ad esempio, non è attivato di default. Gli utenti che non usano suexec possono rimuovere il setuid bit come misura preventiva nella seguente maniera:

# chmod -s /path/to/suexec

Il Team Apache ha risposto alla notifica di iDefense rilevando che il riuscire a sfruttare la vulnerabilità dipende dal fatto di trovarsi in presenza di una configurazione non sicura, nella quale l’utente del processo web ha privilegi di scrittura sulla document root.
Hanno fatto notare inoltre come suexec non possa tenere in considerazione tutte le possibili cattive configurazioni.
E’ presumibile quindi che non ci sarà alcun fix.

APPROFONDIMENTI:
- Apache HTTPD suEXEC Multiple Vulnerabilities, sulle pagine di iDefense

Oracle, l’azienda specialista nel campo dei database, ha annunciato il fix di ben 37 vulnerabilità che interessano un po’ tutta la linea di prodotti. Il patch day designato dovrebbe essere il 17 aprile. Fra tutte ben 13 vulnerabilità interessano il database Oracle, e tre di queste possono essere sfruttate da remoto e senza necessità di autenticazione.
La falla più pericolosa ha ranking 7 su 10 nella scala Common Vulnerability Scoring System (CVSS).
La lista delle patch e updates che verranno rilasciati è disponibile a questo indirizzo, tuttavia è da considerarsi provvisoria, visto che comunque potrebbe subire delle modifiche prima della giornata di martedi’ 17.

Stando alle notizie che circolano in queste ultime ore la popolare versione del browser IE-based Maxthon sarebbe in parte controllata da Google.
Michael Arrington ha pubblicato ieri la news secondo cui il gigante della ricerca avrebbe investito nella compagnia una cifra pari ad un milione di dollari.

Maxthon ha guadagnato utenti negli Stati Uniti offrendo funzionalità come tabbed browsing e altre che solo da poco sono arrivate con IE7. Tuttavia il suo parco utenti principale è localizzato in Cina. Le ricerche effettuate tramite il browser ammontano a circa il 25% del traffico totale generato dal principale motore di ricerca cinese Baidu.
Lo scopo dell’investimento potrebbe essere infatti quello di sostituire Baidu e Yahoo con Google come motore di ricerca di default del browser.
Mozilla tempo fa ha firmato un accordo simile con Google per il proprio browser Firefox.

File Hippo è un software veramente utile. Una utility di soli 100kb che consente di avere sempre software aggiornato sul proprio pc.
Il tool infatti tramite la funzione "Update Checker" scansiona il proprio pc alla ricerca del software attualmente installato, contatta il server filehippo.com e verifica se sono disponibili versioni aggiornate.
Conclusa la procedura di scansione che dura pochi secondi viene mostrata una pagina web in cui sono elencati i software che possono essere aggiornati, specificando versione attualmente installata, versione stabile disponibile e eventuale versione beta.
Una mini-utility da avere sempre con sè.
Il programma gira sui sistemi operativi Windows Vista, XP, 2003, 2000 o 98, ma necessita del Microsoft .NET Framework 2.0.

LINK al sito principale.
LINK per il download dell’utility.

Quante volte vi è capitato di navigare in un sito/forum/portale straniero o italiano e di voler leggere questo o quell’articolo, o ancora scaricare un software che veniva segnalato.
Al momento del fatidico click pero’ si viene reindirizzati verso una pagina di registrazione: per accedere alle risorse è infatti necessario registrarsi.
Nulla di più seccante visto e considerato che bisogna scegliere l’ennesima login/password e inserire uno dei propri indirizzi di posta (tipicamente la classica casella spazzatura).
Per ovviare a questo tipo di problema ci viene incontro un sito: BugMeNot.

Scopo del sito è quello di raccogliere username e password “anonime” per potersi loggare su i siti piu’ disparati senza dover star li’ a completare la classica form o campi di registrazione.
Basta inserire il sito di cui stiamo cercando le info di accesso e voilà, se questo è già stato registrato, vengono elencati username e password per potersi collegare.
La cosa interessante è che accanto ad ogni accoppiata di credenziali d’accesso c’è anche l’indicatore di “success rate” che segnala in percentuale quanti sono stati gli accessi riusciti e quanti no.
Gli utenti infatti possono “votare” segnalando se sono riusciti a loggarsi oppure no.
In questa maniera è possibile puntare direttamente ai dati con success rate più alto

Magari averlo trovato prima… sicuramente mi sarei risparmiato una decina di registrazioni (per lo meno) sparse in giro per il web

Riporto e segnalo volentieri questa iniziativa di Anti Digital Divide per l’abolizione del canone Telecom sulla fonia e sulla linea solo dati.
A questo link potete firmare anche voi la petizione e dare un occhio alle informazioni in merito alla proposta riportate dall’associazione. Firmatela!
Grazie a Carlo per la segnalazione

Dopo la recente reinstallazione ho messo come soluzione di sicurezza all-in-one KIS acronimo per Kaspersky Internet Security.
Non starò qui a tessere nuovamente le lodi di Kaspersky come prodotto antivirus, secondo me il top attualmente sul mercato, ma segnalo un interessante comportamento del sistema di “Difesa proattiva”.
Nelle intenzioni questa funzionalità dovrebbe consentire di bloccare e segnalare i comportamenti sospetti da parte di alcuni software che potrebbero rivelarsi virus o malware non ancora scoperti e/o classificati.
Se da un lato questa funzionalità sembra essere decisamente utile (almeno sulla carta) per “blindare” ulteriormente il proprio sistema, i commenti che si leggono a riguardo su Internet non sono certo dei più entusiasti.
Detto questo segnalo appunto un caso di falso positivo.
Nella fattispecie Skype viene segnalato come ipotetico Keylogger

Tutto ok… nulla di cui preoccuparsi anche se di certo Skype non è da classificare come uno di quei “software” dal comportamento chiaro e pulito.
Su un topic nel forum ufficiale del sito Kaspesky si trova una lista di tutti i software non malware che il sistema di difesa proattiva segnala come virus/badware.
Link: Kaspersky Proactive Defense “White List”

AUGURI DI BUONA PASQUA 2007 A TUTTI VOI!