Websecurity - Веб безпека

Виявлена можливість запуску додатків через Internet Explorer в Windows Vista (applications execution).

Уразливі продукти: Microsoft Windows Vista.

При активізації лінки, що посилається на локальний виконуємий файл, співпадаючий по імені з папкою, файл буде запущений на виконання.

• Microsoft Windows Vista - Windows Mail Client Side Code Execution Vulnerability (деталі)

Експлоіт:

• Microsoft Windows Vista remote application launch PoC (деталі)

Компанія SecureWorks, що займається ІТ-консалтингом та інформаційною безпекою, стверджує, що її фахівці знайшли велику мережу хакерських інтернет-ресурсів, що поширює трояни і краде інформацію з десятків тисяч заражених комп’ютерів, розташованих у США.

Примітно, що за даними SecureWorks, керування кільцем хакерських ресурсів відбувалося з території Росії. У компанії стверджують, що на сьогодні мають у своєму розпорядженні дані про те, що як мінімум 5200 американських користувачів ПК “поділилися” своїми банківськими даними з російськими хакерами.

За словами аналітиків SecureWorks, на підставі банківських звітів, у руках зловмисників виявилися фінансові дані про клієнтів більш ніж 30 банків, а також інших фінансово-кредитних організацій. Також у руках хакерів виявилися і дані ряду великих американських роздрібних ритейлерів і онлайн-магазинів.

“По заявах клієнтів серед крадених даних виявилися реквізити доступу до деякиї закритих онлайн-ресурсів, у тому числі й урядовим, банківські рахунки, номера соціального страхування, медичні дані, а також ряду іншої персональної інформації, що зберігалися на скомпрометованих ПК” - говорить аналітик SecureWorks Дон Джексон.

За словами Джексона, велику частину інформації зловмисники викрадали за допомогою модифікації трояна Gozi, що передавав дані на ряд серверів, а ті у свою чергу ретранслювали їх на материнський сервер, розташований у Росії. Конкретні дані російського сервера, а також провайдера, у мережі якого знаходилася машина, у SecureWokrs не називають, посилаючись на те, що ці дані були передані в правоохоронні органи.

Також у SecureWorks говорять, що за кілька днів після виявлення даної атаки, на декількох сайтах, що входять у мережу зловмисників, крадені дані з’явилися у вільному продажу. По підрахунках фахівців, загальна вартість продаваного “товару” склала 2 мільйони доларів.

Незважаючи на те, що на сьогодні дана мережа вже відключена від Інтернету, за інформацією провайдерів, троян усе ще знаходиться на комп’ютерах ряду жертв і продовжує відправляти дані через Інтернет. Також Джексон сказав, що досить дивно, що даний троян уже біля місяця виявляється багатьма антивірусами, але користувачі як і раніше виявляються для нього уразливими.

По матеріалам http://www.secblog.info.

Виявлена можливість обходу захисту проти фішинга в Firefox та Opera (anti-phishing protection bypass).

Уразливі продукти: Firefox 2.0, Opera 9.10.

Не виявляються фішинг-сайти, що включені через теги IFRAME та OBJECT.

• Bypass phishing protection in Firefox / Opera (деталі)
• Phishing protection bypass in Opera 9.10 (деталі)
• Phishing protection bypass in Mozilla Firefox 2.0.0.3 (деталі)

Виявлена можливість DoS атаки проти Microsoft Internet Explorer.

Уразливі версії: Internet Explorer 6.0 на Windows 2000 Server, Windows 2000 Professional, Windows XP та Windows 2003 Server.

Це пов’язано з вичерпанням пам’яті при роботі з методом appendChild.

• Microsoft Internet Explorer Multiple Vulnerabilities(mshtml.dll) (деталі)

Відповідно до повідомлення, заснованому на дослідженнях команди ISS XForce, у 2006 році було виявлено і проаналізовано 7247 нових уразливостей, що складає більш 20 уразливостей у день. Кількість уразливостей за 2006 рік збільшилося більш ніж на 40%, у порівнянні з 2005 роком. Більш 88% уразливостей, виявлених у 2006 році, можуть експлуатуватися віддаленно і більш 50% дозволяють нападнику одержати доступ до системи в результаті успішної експлуатації.

У 2007 році, як очікується, збільшиться напад на веб браузери, що є результатом створеної індустрії по розробці експлоітів. Продаж експлоітів стає усе більш організованим й усе більш нагадує форму продажів, використовувану законними компаніями. Зловмисники купують код експлоіта в підпільних хакерів, а потім продають його злочинним угрупованням, що розсилають спам повідомлення. У результаті організована розробка і продаж зашифрованих експлоітів приведе до низької ефективності сигнатурних систем захисту в новому році.

Також X-Force звертає увагу на наступні статистичні дані:

• За минулий рік частка спам повідомлень виросла на 100% у порівнянні з 2005 роком.
• Найчастіше джерелом спама стають комп’ютери США, Іспанії і Франції.
• C кожним роком підвищується частка спам повідомлень, написаних на мовах, відмінних від англійської.
• Сама популярна тема повідомлення в спам розсиланнях у 2006 році була “Re: hi.”.
• Південна Корея найчастіше є джерелом фішингових email повідомлень.
• Найбільш популярною категорією зловмисних програм у 2006 році були даунлоадери, на частку яких приходиться 22% усіх зловмисних програм.
• Найбільш популярний експлоіт, що використовується в мережі Інтернет для зараження веб браузерів, експлуатував уразливість MS04-013, виявлену ще в 2004 році.

По матеріалам http://www.securitylab.ru.

P.S.

Свій прогноз на цей рік я зробив у записі Розвиток веб безпеки в 2007 році.

Виявлена уразливісь, що дозволяє виконати код через Adobe Macromedia Flash Player (code execution).

Можливе виконання коду на *nix-платформах (Linux, Solaris та FreeBSD).

• Vulnerability in the Adobe Macromedia Flash Player 7.x and 9.x plug-in on Opera (деталі)

Розробник додатків для захисту від вірусів і вторгнень - компанія “F-Secure” запропонувала міжнародній корпорації по розподілу доменних імен (ICANN) створити домен “.safe”, призначений спеціально для фінансовий установ. На думку компанії, це дозволить відгородити користувачів від шахраїв, що створюють підробні веб сайти відомих банків та фінансових компаній. Таким чином, кібер-злочинці шляхом обману довідаються в користувачів паролі й одержують доступ до їх банківських рахунків.

Як повідомляє прес-центр “F-Secure”, створювати сайти в “фінансовому” домені зможуть тільки перевірені фінустанови. Таким чином, користувачі зможуть бути впевнені, що заходять на ресурс реального банку, і безпечно здійснювати фінансові операції через Інтернет.

Представники компанії відзначають, що в окремій доменній зоні провайдерам і компаніям, що займаються інформаційною безпекою, буде простіше побудувати надійні захисні механізми.

Раніше фахівці компанії “Panda Software” повідомляли, що на сьогоднішній день практично не існує банка, що пропонує онлайн-послуги, що не був би уразливий для атак т.зв. банківських троянів. Віруси цього виду склали 20% усіх троянів, що були виявлені компанією в 2006 році.

Банківські трояни використовуються для перехоплення доступу до банківських сайтів і крадіжки інформації, що вводиться на цих сторінках. Зокрема, це номера рахунків, кредитних карт, пін-коди і паролі. Після цього трояни відправляють отриману інформацію своєму творцю, що може використовувати її для здійснення усіх видів злочинів - від крадіжки грошей до “підміни особистості”.

По матеріалам http://news.liga.net.

Виявлена можливість підміни вмісту сторінки в Microsoft Internet Explorer (page content spoofing). Про що я вже писав в новині В Internet Explorer 7 виявлена уразливість.

Уразливі версії: Microsoft Internet Explorer 7.0 на Windows XP, Windows 2003 Server та Windows Vista.

Міжсайтовий скриптінг у ресурсі res://ieframe.dll/navcancl.htm #http://www.site.com дозволяє вставити текст у сторінку.

• Cross-site scripting (XSS) vulnerability in Microsoft Internet Explorer 7.0 (деталі)
• Phishing using IE7 local resource vulnerability (деталі)

Відповідно до опитування європейської дослідницької компанії Experian, кількість випадків крадіжок персональних даних у 2006 році зросла на 67% у порівнянні з 2005 роком. Основним джерелом крадіжок, як неважко здогадатися, опитані назвали Інтернет.

Experian говорить, що з 2124 жертв, що так чи інакше постраждали від рук інтернет-злочинців, більше половини відзначили, що характер роботи шахраїв став більш організованим, багато хто позбавлялися даних, потім виявляли їх у продажі на ряді хакерських ресурсів.

У компанії говорять, що за минулий рік викрадачі даних остаточно сформувалися в ринок зі своїми законами і правилами, створивши, так звані анти-соціальні мережі.

Найчастіше зловмисники вступали в контакт із потенційними жертвами за допомогою електронної пошти (більш 60% випадків). Найбільші фінансові втрати користувачі несли у випадку крадіжок номерів кредитних карт і номерів банківських рахунків.

У середньому по Європі збиток від крадіжок банківських карт виріс на 28% у порівнянні з 2005 роком. Власники карт, що стали жертвами хакерів, у середньому торік позбавлялися порядку 3000 доларів, у той же час середній банк втратив від дій зловмисників майже по 10000 доларів.

По матеріалам http://itua.info.

Можливий обхід фільтрації в Microsoft ASP.NET (protection bypass). Уразливі версії: ASP.NET 2.0.

Існують численні способи обійти фільтрацію з метою використання міжсайтового скриптінга (Cross-Site Scripting).

• Microsoft .NET request filtering bypass vulnerability (деталі)