.:: Securnetwork.net Blog - Massimo Rabbi ::. » Sicurezza

Virus hunting: la visione di Mikko Hypponen

Massimo Rabbi — Sat, 23 Jul 2011 15:10:08 +0000

Alcuni giorni fa tra i post Facebook di uno dei miei contatti, è comparso un interessantissimo talk di Mikko Hypponen, intitolato “Fighting viruses, defending the net”.
Per chi non lo conoscesse Hypponen è uno dei pezzi di grossi di F-Secure, compagnia nella quale è dal lontano 1991. Di sicuro è uno che in fatto di virus, malware e security in genere “ne sa a pacchi” per usare un’espressione.
Il talk merita veramente di essere visto, 20 minuti godibilissimi dall’inizio alla fine ad alto contenuto tecnico, ingegno e un pizzico di humor.

Xerox: problemi di buffer overflow

Massimo Rabbi — Tue, 29 Mar 2011 20:48:46 +0000

Nelle infrastrutture di rete odierne è facile “incappare” in dispositivi e appliance di vario genere, che non fanno altro che aggiungere nuovi grattacapo per gli amministratori di sistema di turno.

Tra questi sicuramente occupano un ruolo di primo piano le varie stampanti (anche se chiamarle cosi’ è un po’ riduttivo) di rete multifunzione, devices sempre più sofisticati che come tali portano con sè anche tutte le problematiche di sicurezza del caso.

Ultimo esempio lampante in termini di tempo è quello di Xerox, che ha rilasciato una patch (disponibile qui per il download) per i suoi prodotti WorkCentre 5735, 5740, 5745, 5755, 5765, 5775 e 5790. Scopo del fix, risolverer un bug di tipo buffer overflow individuato nel servizio SMB (Samba) del server integrato delle stampanti.

La vulnerabilità consente infatti di accedere in maniera non autorizzata al sistema per poter effettuare modifiche alla configurazione dei dispositivi stessi (vedi bullettin in PDF).

E’ interessante notare come queste falle possano essere sfruttate in un’ottica di spionaggio industriale: questi dispositivi spesso dispongono di supporti di memorizzazione interni (hard disk, etc.) che salvano “temporaneamente” documenti stampati o magari scansionati (rapporti interni aziendali, contratti, etc.). A seconda del modello questi dati possono essere recuperati in modalità plain-text.

Nonostante Xerox sia stata più volte attenta in passato a problematiche di sicurezza, rilasciando aggiornamenti per i prodotti, questa tipologia di falla era nota da parecchio tempo e infatti già da tempo fissata in molte distribuzioni Linux.

Nel mirino di hackers e pen-testers vari comunque, anche le stampanti di rete di altri vendor come Toshiba e Canon. In particolare alla conferenza ShmooCon di gennaio è stato mostrato come accedere in maniera remota a stampanti HP collegate alla rete aziendale. Insomma ce n’è per tutti… dunque occhio a cosa stampate!

Fonte articolo:
- When buffer overflows in printers become a risk, by Heise Security

Gli anni passano… ma i worm restano!

Massimo Rabbi — Sun, 13 Feb 2011 18:50:06 +0000

Cos’ha di cosi’ speciale venerdi’ 11 febbraio 2011 da poco passato?
Un giorno palindromo (11022011) come molti si sono divertiti a scrivere e a dire?
No, in realtà la mia attenzione è caduta sull’articolo comparso su The Register e su come questa data costituisca il decimo anniversario dalla comparsa del famigerato worm Anna Kournikova.

Per chi non lo ricorda, fu uno dei tanti esempi di worm di quegli anni, scritto in Visual Basic Script (VBS) e che si diffondeva via mail attraverso un banale “trucchetto” di social engineering che invitava a visualizzare un’immagine della nota tennista russa.

Di sicuro non cosi’ sofisticato come il più noto Love Bug o anche I Love You, ma in grado di diffondersi a velocità doppia rispetto al suo simile rilasciato un anno prima. Fu forse l’ultimo nella sua “specie” con una simile capillarità di infezione.

Perchè val la pena ricordarlo oggi giorno, quando ormai esistono malware, spyware e rootkit in grado di nascondersi nel sistema e rendere la loro individuazione piu’ difficile che mai ai normali software antivirus?
Per il semplice fatto che fu uno dei primi esempi di virus di “successo” scritti utilizzando appositi scripting toolkit.

Il toolkit in questione VBSWG era scritto in Visual Basic e fu creato da un programmatore argentino; il worm Anna Kournikova fu invece creato, partendo proprio dal tool, da un giovane olandese identificato poi come Jan De Wit.

Oggi come dieci anni fa, la possibilità di aver accesso a toolkits di generazione, permette a persone con scarsi skill tecnici di produrre in pochissimo tempo varianti di malware in grado di provocare danni economici ingenti.
Pensiamo al caso dello Zeus e alla vasta botnet che ad esso fa capo.

APPROFONDIMENTI:
- Memories of the Anna Kournikova worm, by Sophos
- 10th Anniversary of the Anna Kournikova virus, by Symantec

Macromedia Flash: occhio al filesystem!

Massimo Rabbi — Thu, 06 Jan 2011 15:55:45 +0000

In computer security, il concetto di “sandbox” viene utilizzato per indicare un meccanismo di sicurezza che consente di separare e isolare diversi programmi in esecuzione. Questo al fine di testare ed eseguire codice potenzialmente dannoso, non sicuro e/o fornite da terze parti non fidate.

Adobe Flash incorpora questo concetto tra i suoi meccanismi base di sicurezza per consentire l’accesso solo a determinate tipologie di file locali, tra questi ovviamente i cookies Flash.
Comunemente quindi tutti gli altri file locali della macchina dell’utente sono off-limits, in modo da prevenire il furto di dati da parte di applet Flash malevoli.

Billy Rios, ricercatore di sicurezza presso Google, ha dimostrato come questo modello di sicurezza e le restrizioni imposte in Flash possa essere bypassato in modo da ottenere libero accesso a file locali.

Il “trucco” della vulnerabilità sfrutta la funzione “getURL()” impiegata da Flash per ottenere l’accesso a file remoti.
Una versione dummy dell’attacco utilizzerebbe la funzione getURL usando “file://” per puntare alle risorse del file system locale, tuttavia Adobe ha blacklistato alcuni protocol-handler.

Il blocco imposto non è tuttavia sufficiente e consente di impiegare il protocol-handler “mhtml“, che funziona sulle comuni piattaforme Windows e non è appunto blacklistato. Nessun avviso o messaggio di conferma viene mostrato all’utente in questo caso.

FONTE:
Flash Local-with-filesystem Sandbox Bypass, by SANS Technology Institute

APPROFONDIMENTI:
- Bypassing Flash’s local-with-filesystem Sandbox, sul blog di Billy (BK) Rios
- Flash Player Security Basics
- Security Domains, Application Domains, and More in ActionScript 3.0

Firefox 3.6.13 e 3.5.16: importante aggiornamento tappabuchi

Massimo Rabbi — Sun, 12 Dec 2010 12:00:43 +0000

L’ultimo aggiornamento del browser open-source Firefox rilasciato lo scorso week-end va a patchare ben 13 vulnerabilità che espongono gli utenti Windows e Mac a possibili attacchi da parte dei crackers.

Alcune falle che interassano il software di casa Mozilla, possono essere sfruttate per lanciare attacchi “drive-by-download” e conseguente esecuzione di malware, semplicemente navigando apposite pagine web.
11 vulnerabilità su 13 sono state etichettate come “critical”, poichè per l’appunto non richiedono alcuna interazione utente al di là della normale navigazione.
Una patch, è in realtà un nuovo aggiornamento per una issue che Mozilla era convinta di aver definitivamente fixato già nel mese di marzo.

Altre possibili conseguenze delle falle individuate sono attacchi di tipo cross-site scripting (XSS), Denial-of-Service (DoS) e bypass della sicurezza Java.

Ecco una lista delle vulnerabilità critiche che interessano le versioni Firefox 3.5 e 3.6:

MFSA 2010-84 XSS hazard in multiple character encodings
MFSA 2010-83 Location bar SSL spoofing using network error page
MFSA 2010-82 Incomplete fix for CVE-2010-0179
MFSA 2010-81 Integer overflow vulnerability in NewIdArray
MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
MFSA 2010-78 Add support for OTS font sanitizer
MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
MFSA 2010-76 Chrome privilege escalation with window.open and element
MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)

Gli utenti dovrebbero aver già aggiornato il proprio browser tramite il classico sistema di aggiornamento automatico, alle versioni 3.5.16 e 3.6.13.
Nel caso cosi’ non fosse, l’update è fortemente consigliato.

Google URL Shortener nel mirino di un worm Twitter

Massimo Rabbi — Wed, 08 Dec 2010 17:29:22 +0000

Il servizio di URL shortening di Google, goo.gl, sarebbe stato utilizzato negli ultimi tempi per la diffusione di un worm Twitter.
I link incriminati finora individuati che portano alla diffusione del malware sono i seguenti: “goo.gl/R7f68″ e “goo.gl/od0az”.

I responsabili di Twitter hanno fatto sapere che non appena la diffusione del worm è stata scoperta, hanno provveduto a notificare la procedura di password reset per tutti coloro che sono stati interessati dal problema.
E’ stato anche consigliato un controllo sulle connessioni oAuth “autorizzate” per verificare la possibilità che ne siano state aggiunte alcune in maniera illecita ed eventualmente rimuoverle.

Per tutti coloro che hanno cliccato sui link sopra riportati, l’effetto è stato quello di un primo redirect verso un sito compromesso di una compagnia francese di mobili, e successivamente ad altri domini.
La cosa interessante è come il worm sembra si sia diffuso principalmente attraverso le piattaforme Twitter per dispositivi mobile.
Gerry Egan, direttore di Symantec Security Response, ha fatto sapere come gli URL malevoli in questione punti in effetti ad una copia del “Neosploit attack toolkit“.

I servizi di URL shortening non sono nuovi al fatto di essere sfruttati per questo tipo di attacchi.
Da un lato la loro utilità nel “comprimere” un URL di molti caratteri, specie quando si usano piattaforme come Twitter che impongono un limite di 140 caratteri per messaggio. Dall’altra il fatto che si prestano bene a nascondere i domini reali, rendendo cosi’ all’utente finale più difficile individuare un sito trappola.

Hon Lau, ricercatore presso Symantec, ha comunque evidenziato come alcuni servizi siano migliori di altri. Tiny.cc per esempio offre una pagina di statistiche dove chiunque può verificare il numero di click effettuati verso un particolare link e la destinazione reale dell’URL compresso. Altri invece come bit.ly, integrano dei meccanismi di blacklisting per filtrare in maniera (semi)automatizzata i tentativi di creare short link per far puntare a siti contenenti malware.

Il rootkit TDL4 sceglie la “via” di Stuxnet

Massimo Rabbi — Tue, 07 Dec 2010 20:52:50 +0000

Il rootkit TDL4 è l’ultima delle evoluzioni del famigerato TDSS, già in circolazione da un po’ di tempo.
La novità che riguarda questo malware, è che TDL4 sembra faccia uso di uno dei bug di Windows usato in precedenza da Stuxnet.

Pare infatti che il rootkit sfrutti la vulnerabilità del Windows Task Scheduler su macchine Windows 7/2008 (x86/x64) per poter installarsi senza che venga segnalato alcun messaggio dal sistema di protezione UAC.
E’ questo quello che appare nel report di Sergey Golovanov, security expert dei Kaspersky Lab.

Sembra dunque che TDL4 tenti di seguire la strada “indicata” in primis dal worm Stuxnet, di cui si è fatto un gran parlare negli ultimi tempi, soprattutto per la sua particolarità di attaccare i sistemi SCADA.
Per quanto riguarda il bug relativo al Windows Task Scheduler, il codice di exploit ad esso relativo è stato rilasciato qualche settimana fa, e quindi facilmente reperibile.

Mozilla alza la posta: 3000$ per un bug!

Massimo Rabbi — Sun, 18 Jul 2010 20:11:08 +0000

A quanto pare Mozilla ha alzato il premio messo in palio per coloro che individuano una vulnerabilità di sicurezza nei prodotti di punta della software house open-source: Firefox e Thunderbird.

La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

il bug deve essere originale e mai stato pubblicato prima;
il bug deve essere di tipo remote exploit;
il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

Johnny Depp is NOT dead! Occhio al malware!

Massimo Rabbi — Mon, 25 Jan 2010 15:07:33 +0000

A quanto pare la frenesia scatenata dalla morte di una celebre star è un buon modo per diffondere il malware.
E i vari cyber-criminali del pianeta lo sanno bene.
Questa volta nel mirino è finito il capitano Jack Sparrow o meglio l’attore Johnny Depp che stando alle indiscrezioni sarebbe morto in un incidente d’auto. “Peccato” che la pagina web che riporta la notizia sia falsa, una simil-CNN.
Tuttavia sembra che il rumor si sia diffuso in fretta e su Twitter non si sia parlato d’altro.

Ecco qua un video di Sophos che mostra come viene attuato l’inganno e installato il malware. Maggiori informazioni sull’accaduto sempre sul blog di Sophos.

Altro “buon” esempio di social engineering!

Virtual DOS Mode e il bug di Windows di 17 anni fa

Massimo Rabbi — Fri, 22 Jan 2010 16:41:11 +0000

Un bug vecchio di 17 anni? Possibile.
A quanto pare non c’è modo di dormire sonni tranquilli per Microsoft.
Dopo i recenti problemi con Internet Explorer e la patch rilasciata al di fuori della road-map classica dei Patch Tuesday, ecco un’altra bella gatta da pelare.

Escalation di privilegi grazi ad una serie di vulnerabilità nella Virtual DOS Mode (VDM).
Il parco dei sistemi interessati è quello dei sistemi 32-bit, sembra da Windows NT 3.1 a Windows 7.

Provato e testato personalmente su Windows XP SP3 completamente patchato.
Ho realizzato un piccolo video giusto per far capire uno dei più classici motivi per cui un exploit simile puo’ risultare utile.

Amministratori di rete… disabilitate!!!

Vulnerabilità nella toolbar Wikipedia per Firefox

Massimo Rabbi — Wed, 18 Nov 2009 08:38:02 +0000

Il security provider Secunia ha individuato nei giorni scorsi una vulnerabilità piuttosto critica nell’estensione Wikipedia Toolbar per Firefox, che può essere usata da un potenziale attaccante per compromettere il sistema dell’utente vittima.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Mega Patch-Tuesday ad ottobre per Microsoft

Massimo Rabbi — Sat, 10 Oct 2009 11:30:17 +0000

Nel prossimo Patch Tuesday del 13 ottobre, Microsoft si appresta a pubblicare 13 bullettin che coprono ben 34 vulnerabilità di sicurezza riguardanti molti prodotti.
Ben otto dei tredici bullettin sono stati classificati come “critical”, il livello più alto di rischio attribuito da Microsoft.

L’importanza di questo Patch Tuesday sta nelle correzioni di due bug molto seri riguardanti un bug in SMBv2 e un altro nella funzionalità FTP di IIS.
I prodotti interessati dagli aggiornamenti sono Microsoft Windows, Internet Explorer, Microsoft Office, Silverlight, Microsoft Forefront, Developer Tools, e SQL Server.

Ancora nessuna novità riguardo il pericoloso bug nelle CryptoAPI che lascia il “fianco scoperto” ad attacchi al protocollo SSL, compromettendo la sicurezza di browser e altri software che su di esse si appoggiano.

Avira AntiVir problemi di aggiornamento

Massimo Rabbi — Thu, 01 Oct 2009 16:06:36 +0000

Un aggiornamento di grosse dimensioni per gli utenti dei prodotti anti-virus Avira AntiVir ha causato problemi agli utenti della versione free Avira Antivir Personal.
Tentando di scaricare gli aggiornamenti delle ultime firme hanno riscontrato comportamenti anomali tra cui l’errata risposta da parte del programma che indicava che nessun update era disponibile.
Il problema è stato causato da un sovraccarico dei server Avira.

Dirk Knop, technical editor Avira, ha dichiarato che gli utenti dei prodotti Avira AntiVir Premium, Avira Premium Security Suite e Professional non hanno riscontrato alcun inconveniente visto che per le versioni a pagamento sono previsti server e banda dedicati.
I problemi (riscontrati ieri) sembrano al momento risolti e anche gli utenti della versione free dovrebbero essere in grado di aggiornare correttamente.
L’azienda ha dichiarato che nel giro di due settimane renderanno disponibile un sistema più performante in grado di far fronte alle elevate richieste di update quotidiane da parte delle versioni free.

Aggiornamento di sicurezza per Google Chrome 3

Massimo Rabbi — Thu, 01 Oct 2009 09:46:19 +0000

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Adobe e Oracle ritardano i loro patch days

Massimo Rabbi — Mon, 07 Sep 2009 17:27:46 +0000

Sia Adobe che Oracle hanno confermato il ritardo per i rispettivi patch days pianificati in ottobre.
Per Oracle la scelta è legata alla conferenza “OpenWorld 2009 Oracle” che si svolgerà tra l’11 e il 15 ottobre e che tipicamente attrae un gran numero di utilizzatori, amministratori e sviluppatori Oracle.
Questo onde evitare che gli interessati (in particolar modo gli amministratori) si trovino a scegliere tra aggiornare i sistemi e seguire i talk.
La data schedulata per il Critical Patch Update (CPU) trimestrale slitterà dal 13 al 20 ottobre.
I CPUs successivi sono invece previsti regolarmente per il 12 gennaio 2010, 13 aprile 2010 e 13 luglio 2010.

Adobe ha annunciato che la data prevista per i prossimi aggiornamenti per Adobe Acrobat e Reader sono previsti per il 13 ottobre.
Il vendor ha chiamato in causa le vulnerabilità scoperte di recente nella Microsoft Active Template Library (ATL), che affliggono numero prodotti.
Tutto ciò comporterà appunto un ritardo nel ciclo di patch trimestrale introdotto in primavera, visto che il fix su questi bug ha la priorità su quelli scoperti internamente.

RIFERIMENTI:
- Adobe and Oracle delay their patch days, by Heise Security

Apple patcha il bug degli SMS di iPhone

Massimo Rabbi — Sun, 02 Aug 2009 19:13:53 +0000

All’inizio di questo mese avevamo posto l’attenzione su una scoperta fatta da Charlie Miller riguardante l’errato parsing degli SMS da parte dell’iPhone.
Ulteriori dettagli sono stati rilasciati nell’arco della conferenza BlackHat tenutasi a Las Vegas nei giorni scorsi, evidenziando come non solo iPhone ma anche Android e Windows Mobile siano in pericolo.

Per quanto riguarda iPhone, Apple ha rilasciato nella giornata di venerdì 31 luglio la versione aggiornata del firmware, la 3.0.1.
Tutti i dettagli in questa pagina relativa al security update.

Attaccato il server del progetto CentOS

Massimo Rabbi — Tue, 07 Jul 2009 11:18:15 +0000

Sfruttando un errore di configurazione del CMS Xoops, anonimi crackers hanno ottenuto accesso al server web principale del progetto CentOS.
Stando a Ralph Angenendt, sysadmin di CentOS, non sono stati rubati o manomessi dati/informazioni.
Il server a quanto pare non è stato usato neanche per operazioni di spamming.
In ogni caso come misura di sicurezza, tutti gli utenti registrati dovranno reimpostare una nuova password attraverso il sistema di recupero password di Xoops.

Nonostante siano installati sulla stessa macchina il wiki e il sistema di bug tracking non sono stati manomessi.
L’attacco è stato inizialmente scoperto venerdi’ 3 luglio quando gli amministratori si sono imbattuti in alcuni file sospetti sul server.

FONTE: Attack on CentOS project server by Heise Security

ColdFusion nel mirino dei crackers

Massimo Rabbi — Sat, 04 Jul 2009 11:53:40 +0000

A quanto pare in questi ultimi giorni si stanno registrando ondate di attacchi che prendono di mira web applications scritte con ColdFusion (CFML).
I ricercatori del SANS hanno ricevuto infatti notifiche di intrusioni che riguardano l’exploiting di vulnerabilità presenti in vecchie versioni di ColdFusion.
In particolare il problema interessa due componenti delle applicazioni ColdFusion: l’editor di testo FCKEditor e il filemanager CKFinder. Una volta compromessa l’applicazione, gli attaccanti hanno pieno controllo sulla macchina server.
Bojan Zdrnja, ricercatore presso il SANS, fa sapere che le pagine web compromesse tipicamente riportano all’interno del codice html tag