.:: Securnetwork.net Blog – Massimo Rabbi ::.

Sulla homepage del noto opensource webmailer Squirrelmail, campeggia il messaggio che informa dell’avvenuto cracking al webserver del progetto in data 16 giugno.
A seguito dell’accaduto gli amministratori hanno sospeso tutti gli accounts e resettato tutte le password più cruciali.
Disabilitato anche l’accesso al server originale e a tutti i plug-ins: si tratta di una misura precauzionale finchè non si sarà certi che nessuno di questi sia stato compromesso a livello di codice.
Ancora sconosciute restano le modalità con cui i crackers hanno avuto accesso al sistema.
Fortunamente il codice sorgente di SquirrelMail non è a rischio visto che è localizzato su un server completamente diverso.
Tuttavia i phishers hanno approfittato dell’accaduto cominciando una campagna di spam mirata.
Nelle mail infatti si millanta che le versioni 1.4.11, 1.4.12 e 1.4.13 sono state compromesse dall’introduzione di una backdoor, consigliando cosi’ agli utenti di passare alla 1.4.15.
Ecco il contenuto del messaggio:
“Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions.
While initial review didn’t uncover a need for concern, several proof of concepts show that the package
alterations introduce a high risk security issue, allowing remote inclusion of files.
These changes would allow a remote user the ability to execute exploit code on a victim machine,
without any user interaction on the victim’s server. This could grant the attacker the ability to
deploy further code on the victim’s server.
We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.”

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

L’associazione no-profit 1nn0va organizza nella giornata di martedì 23 giugno un convegno che verterà sulle tematiche della sicurezza in rete e un pò di quello che a livello legislativo ci sta dietro.
Posto volentieri quindi il riferimento al pdf del volantino informativo, su segnalazione di Lino, mio ex-collega universatario

Il programma della serata:
Ore 19:00 ASPETTI LEGALI della navigazione in rete Avv. Paolo Vicenzotto
* Chiarimenti legali in merito al provvedimento del Garante Privacy sugli “amministratori di sistema”
* Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)
Ore 19:30 LA SICUREZZA della navigazione in rete Dott. Andrea Tonini

Location:
Martedi 23 Giugno 2009 – Ore 19.00
Via Prasecco, 3/a
33170 – Pordenone
(Presso Il Polo Universitario di Pordenone)

Volantino in formato PDF.
Informazioni sulla registrazione sul sito di 1nn0va.

Lino avanzo uno spritz!

L’esperto di sicurezza Robert “RSnake” Hansen ha rilasciato un tool in grado di mettere ko anche i web server più “grossi” usando un semplice PC connesso a Internet.
“Slowloris” non sfrutta particolari vulnerabilità, ma utilizza invece una feature del protocollo HTTP nota come “richieste HTTP parziali”.
I client infatti non sono costretti a forwardare l’intero contenuto di una GET o una POST in un solo passaggio, possono suddividerlo in un certo numero di query HTTP.

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.

L’esperto di sicurezza Aviv Raff ha nominato il mese di luglio come “Month of Twitter Bugs” (MoTB).
Lo scopo è quello di pubblicare i dettagli di una vulnerabilità al giorno, legata all’uso delle API di Twitter.
Le API consentono ai normali utenti di configurare, gestire e interrogare lo stato del proprio account mediante richieste http.
Raff ha infatti già fatto notare come sia possibile sfruttare le API che interrogano twitpic.com (servizio immagini di Twitter) per diffondere worms.

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

Gli sviluppatori di TrueCrypt hanno rilasciato la versione 6.2a del loro tool di encryption open source e multipiattaforma.
La release corrente include miglioramenti nelle performance della fase di creazione di un file container e fixa un errore che sorge a seguito del decrypt del sistema su macchine Windows.
Inclusi anche alcuni bug fixes per la release 6.2 rilasciata a inizio mese.

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

Per tutti gli appassionati di Web Application Security, segnalo questo blog che ha aperto i battenti giusto la settimana scorsa.
Si tratta del SANS Web Application Security blog: http://blog.appsecstreetfighter.com/
Gli autori sono Johannes Ullrich and Jason Lam, gestori dell’ISC (Internet Storm Center), oltre ad altri istruttori certificati SANS.

SourceForge, uno tra i piu’ famosi hoster per progetti opensource, ha rimosso dal proprio network le pagine riguardanti il software di stream-recording rtmpdump.
Tutto questo a seguito dell’ultimatum di Adobe, che era già pronta a passare alle vie legali.
Il programma utilizza il Real-Time Messaging Protocolo (RTMP) per registrare non solo semplici media Flash, ma anche stream criptati.
Adobe ha aggiunto un sistema di crittografia al proprio protocollo proprietario con l’introduzione di Flash Media Server 3, al fine di impedire la registrazione e il download “selvaggio” dei contenuti flash.
Il protocollo RTMPE (RMTP encrypted) è stato ideato proprio a questo scopo.

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

All’ultima conferenza OWASP, gli esperti di sicurezza italiani Luca Carettoni e Stefano Di Paola hanno dimostrato un nuovo modo di manipolare le web applications e ingannare i classici meccanismi di sicurezza: HTTP Parameter Pollution (HPP).
Questa forma di attacco consiste nell’inviare parametri in GET o POST in forma o ordine “anomalo”, o usando caratteri delimitatori strani.
Una richiesta del tipo:
GET /foo?par1=val1&par2=val2 HTTP/1.1
verrà processata in maniera classica, mentre questa:
GET /foo?par1=val1&par1=val2 HTTP/1.1
con due occorrenze dello stesso parametro par1 è suscettibile a varie interpretazioni, a seconda della routine di parsing dell’application/web server destinatario.

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
- New type of attack on web applications: Parameter Pollution, by Heise Security

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Come pre-annunciato la settimana scorsa, Adobe ha rilasciato gli aggiornamenti di sicurezza che chiudono le vulnerabilità riguardanti varie versioni dei prodotti Adobe Reader e Acrobat.
Gli update fixano un problema di buffer overflow nella funzione Javascript getAnnots() che può essere usato per mandare in crash l’applicazione o addirittura prendere il controllo del sistema.
Affinchè un attacco di questo tipo abbia successo è necessario che l’utente apra un particolare file PDF modificato.
Le versioni 9.1.1, 8.1.5 e 7.1.2 di Adobe Reader e Acrobat risolvono il bug.

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ‘spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security

Twitter ha definitivamente confermato che si è verificato un accesso non autorizzato alla sua interfaccia amministrativa.
Il blog francese Korben ha pubblicato gli screen-shots in cui vengono mostrati i dettagli degli account appartenenti a Ashton Kutcher, Lily Allen, Britney Spears e Barack Obama.
Nelle immagini si vedono statistiche di accesso, indirizzi email, block lists ma non le password.

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
- Twitter vu de l’intérieur – Interface admin piratée !, Korben blog
- Twitter confirms security breach, by Heise Security

Su Internet circolano exploits dimostrativi per due nuove vulnerabilità di Acrobat Reader.
Stando al SecurityFocus bug database le versioni interessate dal problema sono la 9.1 e la 8.1.4.
Ancora non è disponibile un aggiornamento software che risolva la falla, e comincia ad aumentare la “paura” del diffondersi di documenti pdf infetti che possano causare la diffusione di malware.

La stessa Adobe ha confermato che attualmente tutte le versioni supportate di Adobe Reader (9.1, 8.1 e 7.1.1) sono vulnerabili. Il consiglio è quello di disattivare il suppurto Javascript per limitare il problema.
Gli aggiornamenti dovrebbero essere resi disponibili il prima possibile.
Tutti gli utenti che vogliono evitare strane “sorprese” nascoste dentro i file PDF, dovrebbero orientarsi verso un reader pdf (magari gratuito) alternativo e disinstallare Adobe Reader.

Approfondimenti:
* Demo exploits for new vulnerabilities in Adobe Reader, by Heise Security
* Adobe Reader ‘getAnnots()’ Javascript Function Remote Code Execution Vulnerability, SecurityFocus post.
* Adobe Reader ‘spell.customDictionaryOpen()’ JavaScript Function Remote Code Execution Vulnerability, SecurityFocus post.
* Potential Adobe Reader Issue, Adobe’s response.
* Update on Adobe Reader Issue, Adobe’s follow up response.
* F-Secure advises against using Adobe Reader, report from The H Security.

Oracle ha pubblicato ben 43 aggiornamenti nel suo Critical Patch Update di aprile, chiudendo anche parecchie vulnerabilità di sicurezza.

Oracle Database Server è interessato da patches riguardanti ben 16 bugs, due dei quali consentono di lanciare exploits che non richiedono alcun tipo di autenticazione.
Nonostante questo entrambe hanno ottenuto un CVS-Score (Common Vulnerability Scoring System) di 5.
12 patches anche per Oracle Application Server, mentre solo 3 per Oracle E-Business Suite and Applications.

Piu’ gravi invece le vulnerabilità riguardanti la suite BEA (8 patches), con punteggi CVS fino a 10 per i prodotti JRockit e WebLogic Server.
La patch per JRockit include i fix per 14 problemi riguardanti la JRE (Java Runtime Environment) di Sun Microsystems: tutti bugs noti già da dicembre.

RIFERIMENTI:
* Oracle publishes 43 security updates, by Heise Security
* Oracle Critical Patch Update Advisory – April 2009, advisory from Oracle.

Attualmente in circolazione ci sono parecchi exploits per vulnerabilità di Mac OS X non ancora patchate.
Da alcuni test effettuati dal team di Heise Security, uno di questi permette ad un normale utente Mac OS X 10.5.6 di ottenere i privilegi di amministratore.
Il problema è riscontrabile quando si tenta di montare immagini disco HFS corrotte (le .ISO per Mac).
L’exploit è costituito da uno shell script e da un sorgente C in grado di generare l’immagine disco corrotta, che una volta caricata consente di eseguite codice per ottenere i privilegi di root.

Gli altri exploits sfruttano delle vulnerabilità di alcune chiamate di sistema (CTL_VFS, SYS___mac_getfsstat e SYS_add_profil) che permettono ad utenti loggati di far crashare il sistema.
Un ulteriore bug in AppleTalk permette di realizzare un buffer overflow.

Resta ignoto se Apple è stata informata di questi problemi.
Sul suo sito web digit-labs.org, l’autore degli exploits scrive che ha già mostrato al recente CanSecWest 2009 i problemi in questione.

RIFERIMENTI:
* Root exploit for Mac OS X, by Heise Security
* Recent Additions, Overview of the exploit for Mac OS X.
* Pwn2Own 2009: Safari, IE 8 and Firefox exploited, a report from The H.

Tenable Network Security ha annunciato pochi giorni fa il rilascio della versione 4 del suo vulnerability scanner Nessus.
Nessus è un network scanner in grado di individuare vulnerabilità in singoli sistemi o reti di computer, prevenendo così attacchi informatici di vario genere. Tra le sue funzionalità anche la capacità di verificare sugli host di una rete la presenza di prodotti antivirus correttamente aggiornati.

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
- Version 4 of the Nessus vulnerability scanner released, by Heise Security

Trend Micro segnala che il worm Conficker.C (o Downad) ha effettivamente iniziato a scaricare gli aggiornamenti (tanto annunciati).
In ogni caso non da quei siti web che erano sotto controllo ma bensi’ attraverso la sua funzionalità P2P.
Gli esperti hanno rilevato questo comportamento osservando il traffico di rete su un sistema infetto e le modifiche alla cartella Temp di Windows.
A differenza delle altre due varianti, Conficker.C è in grado di stabilire una rete peer-to-peer con gli altri sistemi infetti e puo’ utilizzarla per scaricare ulteriori programmi e/o ricevere comandi remoti.
Stando a quanto rilevato da Trend Micro pare che questa “operazione P2P” sia in piena esplosione.

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
- Conficker now definitely downloading updates, by Heise Security
- The H Security Conficker information site

E’ stata riscontrata una vulnerabilità piuttosto critica nel plugin Formats (format.dll) del noto software IrfanView.
Stando al security advisory di Secunia, il problema risiede in un integer overflow nella fase di processing di files XPM di specifiche dimensioni.
La vulnerabilità può essere potenzialmente sfruttata per compromettere il sistema di un utente e infettarlo con un malware.
Il software IrfanView nella sua installazione di default non contiene il problema.
E’ necessario che sia stato installato a posteriori il plugin “buggato”.
La versione interessata è la 4.22, mentre la versione 4.23 corretta è già disponibile per il download diretto.

Riferimenti:
* Critical vulnerability in plug-in for IrfanView image viewer, advisory from Heise Security.
* IrfanView Formats Plug-in XPM Parsing Integer Overflow, advisory from Secunia Research.

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Mozilla ha rilasciato la versione 3.0.8 di Firefox.
L’aggiornamento, annunciato martedi’, era previsto per la settimana prossima, ma il pericolosissimo bug scoperto nei giorni scorsi (e relativo exploit) ha costretto a rilasciare in anticipo l’update.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

Giovedi’ 26 marzo, Channel 4 News ha rivelato che il sistema informatico del Parlamento britannico è stato vittima del worm Conflicker.

A parte la conferma dell’attacco subito, nessuna informazione aggiuntiva (es: durata e origine) è stata riportata dai portavoce del parlamento.
Quando è stato chiesto dai giornalisti di Channel 4 la data dell’ultimo aggiornamento del sistema antivirus della rete parlamentare, la risposta è stata un secco “no comment”.
Appare abbastanza chiaro che poichè la maggior parte dei produttori antivirus e antispyware hanno rilasciato firme aggiornate per questo malware sin da novembre 2008, gli aggiornamenti non sono stati effettuati dal personale con regolarità.
Questo fatto lascia alquanto perplessa l’opinione pubblica sulle competenze del personale IT del Parlamento.
Tuttavia la “nota positiva” è che almeno qualcuno aveva l’antivirus aggiornato visto che Conflicker è stato rilevato.

Alla scoperta dell’attacco è stata inviata una mail a tutto lo staff parlamentare con un testo del genere: “Chiediamo dunque che, se si sta utilizzando un PC o computer portatile non autorizzato ad essere connesso alla rete, venga immediatamente disconnesso”.
A quanto pare non è un fenomeno tanto strano (e sconosciuto) che vengano collegate delle macchine prive di autorizzazione, controlli antivirus o firewall.

Qualcuno ha suggerito che l’attacco del worm possa essere in qualche modo legato al summit G20 che si terrà nella città di Londra la prossima settimana.
Pare infatti che il codice di Conflicker contenga una particolare data di attivazione per il 1 aprile, giorno in cui il creatore della botnet dovrebbe prenderne controllo per non si sa quale scopo.

RIFERIMENTI E APPROFONDIMENTI:
* Conficker infects UK parliament: news by Heise Security
* Worth Reading: An Analysis of Conficker-C, by Heise Security.
* Tools to remove Conficker, report by Heise Security.
* Conficker modified for more mayhem, report by Heise Security.