Websecurity - Веб безпека

Брифінги 11-ї конференції Black Hat USA у Лас-Вегасі, що почнуться в середу, будуть присвячені уразливостям операційних систем Windows Vista і Apple Mac OS X Leopard. Остання з’явиться на ринку в жовтні.

Організатори обіцяють розкрити 20 нових уразливостей і представити інструменти для взлому. Незважаючи на те, що конференція називається “Чорні шляпи”, на ній зібралася безліч “білих шляп” - етичних хакерів, а також представників урядових агентств, зокрема, АНБ і кіберполіцейських.

На брифінгах будуть обговорюватися ботнети, атаки на Естонію, соціальні мережі MySpace, Flickr та інші. Дослідники представлять подробиці уразливості в браузері Safari, що дозволяє захопити контроль над iPhone.

Ті ж теми будуть обговорюватися на конференції DefCon, що відбудеться в Лас-Вегасі в п’ятницю, після закінчення Black Hat. DefCon пройде в 15-й раз і збере софтверних геніїв, що будуть грати в хакерські ігри, взламувати замки і спілкуватися. “Якщо Black Hat - університет, то DefCon - це товариська вечірка”, - говорить Джефф Мосс, засновник обох конференцій.

По матеріалам http://www.securitylab.ru.

P.S.

Black Hat розпочався в суботу, сьогодні вже розпочалися брифінги, а про першу новину з Блекхету я писав учора.

Зараз в США триває конференція Black Hat (з 28.07 по 02.08), про цікаві доповіді з якої я ще розповім. А зараз одна новина стосовно Блекхету.

Німецького хакера Алвара Флейка, що прибув до США для проведення семінару на конференції Black Hat USA, затримали прикордонники і після 4,5 чосового допиту вислали на батьківщину в Німеччину.

Причиною відмовлення у в’їзді послужили друковані матеріали для семінару, пише Флейк у своєму блозі Addxorrol.blogspot.com. Оскільки він приїхав як приватне особа, а не як представник власної компанії Sabre Security, прикордонники зажадали від його робочу візу H1B. На пропозицію скласти договір з Black Hat на місці від імені його компанії, йому відповіли відмовою.

Флейк проводив семінари на конференції протягом 6 років, приїжджаючи в США щороку. На прикордонному пункті він завжди повідомляв про мету своїх візитів і дотепер до нього не пред’являли подібних претензій.

На нинішню конференцію німецький хакер вже не потрапить: ділову візу він зможе одержати не раніше 24 серпня. Конференція ж проходить з 28 липня по 2 серпня.

За словами Флейка, прикордонники цікавилися змістом матеріалів і задавали йому питання про причину поїздки, рід занять, а також, чому його семінар був підготовлений їм, а не громадянином США.

По матеріалам http://www.cnews.ru.

Відповідно до щомісячного звіту компанії Sophos, у червні 2007 року кількість сайтів, що містять шкідливий код, помітно збільшилась. Якщо в квітні 2007 року в день їх з’являлося по 5000, то в червні це число виросло до 30000.

“Це безперечно величезний приріст, якщо на початку червня в день з’являлося по 9500 зловмисних сайтів, до кінця місяця їхня кількість збільшилася до 29000″ - говорить старший консультант по безпеці компанії Sophos Карол Теріо.

На думку Sophos, причина настільки різкого росту інфікованих сайтів у тім, що зловмисники стали поступово відмовлятися від розсилання спама, як від стандартного методу розсилання вірусів, троянів і хробаків. У деяких випадках зловмисники створюють власні сайти з вірусами, але в більшості випадків вони просто вбудовують зловмисний код у легальні сайти, непомітно для власника зламавши ресурс.

Згідно даним Sophos, з 29700 нових сайтів, що містили віруси в червні, 80% - це легітимні сайти, що були скомпрометовані. Головним засобом для інфікування сайтів став засіб iFrame malware.

Примітно, що він же очолил десятку самих небезпечних шкідливих кодів червня за версією Sophos. Ще однією характерною червневою рисою став масовий взлом сайтів, що розташовуються на площадках провайдерів.

По матеріалам http://itua.info.

Виявлений міжсайтовий доступ до кешу в Firefox (crossite access).

Уразливі версії: Mozilla Firefox 2.0.

URL wyciwyg:// у сполученні з перенапрявленням через відповідь 302 дозволяє одержати доступ до вмісту кеша деяких сторінок.

• Mozilla Foundation Security Advisory 2007-24 (деталі)
• Firefox wyciwyg:// cache zone bypass (деталі)

Команда фахівців безпеки Google розробляє сканер уразливостей з відкритим кодом під назвою Lemon і в міру розробки використовує його для тестування своїх продуктів. Випуск на ринок у найближчому майбутньому не планується.

Сканер проводить так зване fuzz-тестування - автоматично відправляє спеціальні “шкідливі” рядки сценаріям веб-додатків з метою виявлення уразливостей. В даний час готова розробка, що перевіряє сценарії на уразливість до атак міжсайтового виконання сценаріїв (XSS).

На ринку вже існує ряд fuzz-інструментів з відкритим кодом, включаючи розробки проекту OWASP (Open Web Application Security Project). Однак Lemon буде більше нагадувати комерційний продукт, що не тільки виконує функцію перевірочного інструмента, але і сканує веб-додатки. За словами Дені Алана, директора досліджень безпеки веб-додатків Watchfire, подібного продукту немає на ринку відкритого коду. У fuzz-інструментах з відкритим кодом, як правило, необхідно вказувати конкретні параметри, що сильно сповільнює процес перевірки.

Розробники мають намір включити в Lemon функції сканування на різноманітні види уразливостей, включаючи міжкористувацький дефейс (тимчасова підміна вмісту сторінки, відображуваної відвідувачу, для крадіжки реквізитів), зараження веб-кеша, зараження кукі (модифікація кукі для обходу аутентифікації), витоку трасування стека, а також уразливості, пов’язані з кодуванням тексту.

Fuzz-інструменти мають подвійне призначення: фахівці ІТ-безпеки компаній можуть сканувати свої корпоративні додатки, а хакери - довільні сайти. Однак Google не планує виводити продукт на ринок, принаймні, у найближчому майбутньому, оскільки він буде “точно налаштований на додатки Google”.

По матеріалам http://www.securitylab.ru.

P.S.

Цілком можливо, що Гугл вирішив почати розробки свого сканера уразливостей після проведення мого проекту Month of Search Engines Bugs, котрий також вплинув на дане рішення компанії . Бажаю Гуглу успіху з даною розробкою.

Виявлені численні локальні DoS-умови в httpd Apache (local DoS conditions).

Уразливі версії: Apache 1.3, Apache 2.0, Apache 2.2.

Існує можливість маніпуляції батьківським процесом, включаючи відправлення сигналів іншим додаткам від імені root, завершення процесу, вичерпання ресурсів.

• Apache Prefork MPM vulnerabilities - Report (деталі)
• Apache httpd vulnerabilities (деталі)

Дослідницька лабораторія TrendLabs компанії Trend Micro повідомила про серйозну епідемію, що торкнулася тисячі популярних італійських сайтів. Шкідливий код, що знаходиться на заражених сайтах, встановлює на комп’ютер користувача програму, здатну викрадати паролі і перетворювати комп’ютер у сервер, призначений для здійснення зловмисних атак. За даними TrendLabs, від зараження постраждали десятки тисяч користувачів по всьому світі.

Переважна більшість потерпілих сайтів спочатку знаходилося в Італії, однак дуже швидко атака поширилася по всьому світі. На заражених сайтах розміщений код, що направляє відвідувачів на сервер, де знаходиться набір хакерських інструментів Mpack. За допомогою цих експлоітів фіксується інформація про комп’ютери, що атакуються, включаючи IP-адреси, а також уразливості, які можна використовувати для взлому. Примітно, що Mpack можна придбати на ряді російських сайтів приблизно за $700.

Сайти, що стали небезпечними для відвідування, охоплюють широкий спектр інтересів - від туризму, автомобілів, фільмів і музики, податків і послуг по працевлаштуванню до сайтів деяких італійських міських рад і готелів. У їхнє число потрапили навіть ресурси, пов’язані з Джоном Бон Джові і Матір’ю Терезою.

Протягом 48 годин після початку епідемії було взломано більш 2000 італійських сайтів, Trend Micro реєструвала подвоєння числа жертв кожні 6-8 годин.

По матеріалам http://www.3dnews.ru.

Виявлений витік інформації в Firefox (information leak). Уразливі версії: Mozilla Firefox 2.0.

Використовуючи зворотний шлях в URL resource:// можна перевірити існування файлу.

• Firefox 0day local file reading (деталі)

Співробітники організації SANS Internet Storm Center знайшли на одному із сайтів в Інтернеті GIF-файл із впровадженим всередину нього шкідливим кодом.

Як повідомляється, потенційно небезпечний файл був розміщений у базі даних великого онлайнового сервісу по збереженню цифрових зображень. Експерти підкреслюють, що на початку цього файлу закодоване зображення одного пікселя, тоді як інша частина файлу являє собою шкідливий код на мові РНР. Теоретично шкідливі GIF-зображення можуть використовуватися з метою одержання несанкціонованого доступу до комп’ютера жертви. Для організації нападу зловмисникам досить заманити користувача на веб-сторінку з розміщеним на ній GIF-файлом. При відкритті такої сторінки шкідливий РНР-код, впроваджений всередину зображення, буде виконаний автоматично.

Фахівці SANS Internet Storm Center не уточнюють, які саме дії виконує на машині жертви виявлений ними GIF-файл. Невідомо також і те, чи були зафіксовані практичні випадки проведення атак із застосуванням нової методики.

По матеріалам http://www.securitylab.ru.

18.07.2007

Виявлено декілька уразливостей в Microsoft .NET Framework.

Уразливі версії: .NET Framework 1.0, .NET Framework 2.0.

Виявлені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних і виконати довільний код на цільовій системі.

1. Уразливість існує через помилку перевірки границь даних у PE Loader. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі. Уразливість не є експлуатованою на Windows Vista.

2. Уразливість існує через помилку в ASP.NET при обробці URL, що містять NULL байти. Віддалений користувач може за допомогою спеціально сформованого запиту одержати неавторизований доступ до деяких частин веб сайта.

3. Уразливість існує через помилку перевірки границь даних у Just In Time Compiler (JIT). Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі. Уразливість існує тільки в .NET Framework 2.0 і не є експлуатованою на Windows Vista.

• Несколько уязвимостей в .NET Framework (деталі)

22.07.2007

Численні уразливості в платформі Microsoft .Net.

Переповнення буфера при розборі форматa PE .Net, переповнення буфера в компіляторі JIT, витік інформації через ASP.NET з використанням уразливості poisoned NULL byte.

• Multiple .NET Null Byte Injection Vulnerabilities (деталі)
• Microsoft Security Bulletin MS07-040 - Critical Vulnerabilities in .NET Framework Could Allow Remote Code Execution (931212) (деталі)