Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про BREACH проти HTTPS, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-009 Microsoft Internet Explorer SLayoutRun UAF Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 8 (CVE-2013-0025). В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer 8 при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці експлоіти в веб додатках:

• D-Link Dir-505 devices Multiple Vulnerabilities (деталі)
• D-Link DSL-2740B Multiple CSRF Vulnerabilities (деталі)
• freeFTPd 1.0.10 (PASS Command) - SEH Buffer Overflow Vulnerability (деталі)
• dreamMail e-mail client v4.6.9.2 Stored XSS Vulnerability (деталі)
• Oracle Endeca Server Remote Command Execution Vulnerability (деталі)

У серпні, 22.08.2013, вийшли версії PHP 5.4.19 і PHP 5.5.3. В яких виправлені один баг (збій при компіляцїї з включеним ZTS) та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.19 і PHP 5.5.3:

• Виправлений UMR в патчі для уразливості в OpenSSL модулі (CVE-2013-4248), що був зроблений в версіях PHP 5.4.18 і 5.5.2.

По матеріалам http://www.php.net.

06.06.2013

У березні, 14.03.2013, я знайшов уразливості в Privat24 для Android та iOS. Але про ці уразливості я розповім трохи згодом (ПриватБанк все ще відмовляється їх виправляти, після багатьох місяців роздумів над цими уразливостями, і я все ще продовжую переконувати ПБ в необхідності їх виправлення). А зараз розповім про нову уразливість, що я виявив сьогодні. Це Insufficient Process Validation уразливість, що дозволяє обійти OTP в Приват24 для Android. Перевіряв у цій версії, а пізніше підтвердив те саме у версії для iOS.

Про що вже повідомив розробникам системи. Бо ця уразливість дозволяє легко отримати доступ до акаунтів користувачів (при наявності номера телефону і статичного пароля, без введення OTP) та викрасти їх гроші. На що ПБ відповів, що вони в курсі цієї проблеми і працюють над нею. Але як я перевірив на наступний день, вони досі не виправили цієї уразливості.

Детальна інформація про уразливість з’явиться після її виправлення. Спочатку дам ПриватБанку можливість її виправити.

13.09.2013

Враховуючи, що більше трьох місяців ПриватБанк не може виправити дану уразливість в мобільній версії Приват24, то я оприлюднюю її деталі. При тому, що після мого повідомлення 06.06.2013, за цей час я ще декілька разів нагадував ПБ про цю уразливість. Більше схоже, що банк просто не хоче цього роботи, вважаючи новий алгоритм роботи мобільного Приват24 “більш зручним” для користувачів (за рахунок погіршення безпеки).

Insufficient Process Validation (WASC-40):

При вході в Приват24 через клієнти для Android та iOS не запитується OTP (як це було до червня цього року). Тобто без підтвердження одноразовим паролем, який приходить по SMS, можна увійти в акаунт - на відміну від веб сайта Приват24, де OTP завжди запитується і цей функціонал нормально працює увесь час.

Єдиний раз, коли смс-ка з OTP приходить - це на новому пристрої, для прив’язки його до акаунту. Після цього більше жодних OTP не приходить. Це можна обійти або при доступі до телефону чи плантшету жертви або використовуючи першу уразливість, зі знайдених мною в Приват24 раніше. Що цікаво, від одного клієнта ПриватБанка я дізнався, що на початку червня (коли виникла ця проблема), був невеликий період часу, коли в Приват24 можна було входити навіть без паролю, лише запустивши мобільний додаток.

Таким чином для атаки потрібно лише знати логін і статичний пароль користувача Приват24. Які можна отримати за допомогою вірусу на мобільному пристрої, або за допомогою вірусу на персональному комп’ютері, або через фішинг атаку в Інтернеті. Фішинг атаку можна зробити як на окремому сайті, так і через XSS уразливості на будь-яких сайтах ПБ, приклад подібної атаки я навів 08.02.2008 в своїй доповіді про Інтернет безпеку. Якщо через веб сайт у Приват24 не зайдеш без OTP, знаючи лише логін і пароль, то це можна зробити через мобільні додатки Приват24.

Перевірено в Privat24 3.27.2 для Android та Privat24 4.8.6 для iOS.

Дана уразливість досі не виправлена.

P.S.

Розмістив демонстраційне відео Vulnerability in Privat24.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером NeT-DeViL) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://monuments-crimea.gov.ua (хакером Dr-TaiGaR) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vdenergy.com.ua (хакером SeCuR!TY DR@G0N) - 19.08.2013, зараз сайт вже виправлений адмінами
• http://www.tip-top-club.com (хакером Erreur 404) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://portfolio.lg.ua (хакером RBG HomS) - 29.08.2013, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS13-069 - Critical Cumulative Security Update for Internet Explorer (2870699) (деталі)

12.06.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading, Arbitrary File Deletion та Cross-Site Scripting уразливості в Uploadify. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

12.09.2013

Arbitrary File Uploading (WASC-31):

Uploadify AFU.html

Code Execution атака через AFU.

Arbitrary File Deletion (WASC-42):

Uploadify AFD.html

Cross-Site Scripting (WASC-08):

Uploadify XSS.html

Uploadify XSS-2.html

Друга атака проводиться через XSS код в розширенні файла. Вона може бути проведена на Linux/Unix системах, де кутові дужки можна використовувати в іменах файлів, або через підробку заголовків.

Вразливі Uploadify v2.1.4 та потенційно інші версії. Зокрема версія в aCMS. Версії Uploadify 3.x не вразливі.

У серпні, 20.08.2013, майже через два місяці після виходу Google Chrome 28, вийшов Google Chrome 29.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 25 уразливостей, 5 з яких позначені як небезпечні. Це більше ніж у попередній версії браузера. І це майже рекорд, більше було лише у версії Chrome 22 (в якій було виправлено 26 уразливостей).

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), при роботі з XSLT і при обробці вмісту елемента media, цілочислене переповнення у ANGLE і недостатнє очищенням шляхів у коді роботи з файлами.

• Релиз web-браузера Chrome 29 (деталі)

Виявлені уразливості безпеки в бібліотеках Python.

Уразливі продукти: Python 3, python-setuptools, python-virtualenv.

DoS через SSL-сертифікати, обхід захисту.

• DoS vulnerability in SSL module implementation of Python 3 (деталі)
• Vulnerability in python-setuptools and python-virtualenv (деталі)

В даній добірці експлоіти в веб додатках:

• Zoom Telephonics ADSL Modem/Router - Multiple Vulnerabilities (деталі)
• Sophos Web Protection Appliance Command Injection Vulnerability (деталі)
• Mozilla Firefox 3.6 - Integer Overflow Exploit (деталі)
• PCMAN FTP 2.07 STOR Command - Buffer Overflow Exploit (деталі)
• Graphite Web Unsafe Pickle Handling Exploit (деталі)