Websecurity - Веб безпека

11.06.2011

Про уразливості в Adobe Flash Player я писав багато разів, тому Flash плеєр - це дірявий продукт. В ньому регулярно знаходять уразливості. В своїй статті я вже писав про атаки через відправку серверних заголовків в Flash. А зараз я розповім вам про Denial of Service в останній версії Flash плеєра.

Серед дірок у флеші нерідко трапляються й DoS. Які Adobe намагається виправляти, разом з іншими дірками, в нових версіях свого флеш плеєра (що доступний в тому числі у вигляді плагіна до браузерів). Але іноді вона сама додає DoS дірки в свої продукти.

У Flash Player 10 було знайдено чимало дірок, які були виправлені в нових версіях, зокрема в Flash Player 10.1, 10.2 і 10.3. Так от, сьогодні я встановив 10.3, щоб ознайомитися з останньою версією флеш плеєра (в якій в тому числі виправлений ряд уразливостей).

І як я виявив, Adobe зробила вбудовану DoS у флеш плагіні 10.3. Що пов’язана з кривими руками Адоба. Уразливість спрацьовує лише в старих браузерах, зокрема в Mozilla 1.7.x. В нових браузерах вона не проявляється (як в тих, що використовують плагін, так і в усіх версіях IE, в якому використовується ActiveX компонент).

Браузер вилітає при перегляді будь-якої флешки, навіть найпростішої (з одним рядком AS коду). Тобто користувачів старих версій браузера виб’є при відвіданні будь-якого сайту з флешем, або якщо їм підсунуть флешку. Таким чином можна проводити DoS атаки через Flash плагін 10.3 на користувачів даних браузерів.

31.12.2012

Виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Це memory corruption (access violation).

Adobe Flash DoS

Це відео я зробив у грудні 2011 року. Як я перевірив, уразливість однаково працює в версіях 10.3 r183 і 11.4 r402.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mz-ark.gov.ua (хакерами з AHG) - 19.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.leecooper.com.ua (хакерами netKILLER і MX55) - взломаний форум сайта
• http://www.mariupolsapr.4ertim.com (хакером FormatXFormaT)
• http://www.bayel.com.ua (хакери Shavzy і SteersMan) - 11.05.2011, а до цього сайт був взломаний блексеошніками, зараз сайт не працює (немає контенту)
• http://yunona-tom.com (хакером Dr_Sm0k3r) - 01.06.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 09.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://all-biz.info - інфекція була виявлена 02.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.

Новий тест для вашого браузера. Даний експлоіт виконує DoS атаку на Microsoft Internet Explorer 6.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, на моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт працює. В наступних версіях IE він вже не працює.

Протестувати Internet Explorer 6

Останній тест для IE був DoS в Internet Explorer 6, з яким ви також можете ознайомитися.

11.04.2011

У квітні, 08.04.2011, я знайшов Information Leakage та Cross-Site Scripting уразливості в різних темах для WordPress. Про що найближчим часом повідомлю розробникам даних тем.

Уразливі наступні теми від WooThemes: Live Wire (всі три теми Live Wire серії), Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric. Можливі й інші уразливі шаблони для WP.

Раніше я вже писав про уразливості в багатьох темах для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.06.2011

В різних шаблонах є test.php - скрипт з phpinfo() - що призводить до Information Leakage (витік FPD та іншої важливої інформації про сервер) та XSS (в PHP < 4.4.1, 4.4.3-4.4.6).

Information Leakage:

http://site/wp-content/themes/_theme's_name_/includes/test.php

XSS:

http://site/wp-content/themes/_theme's_name_/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Для Live Wire скрипт розміщується за адресою http://site/wp-content/themes/livewire/includes/test.php, для інших тем аналогічно.

Дані уразливості досі не виправлені розробниками. Тому користувачам даних тем потрібно виправити уразливості власноруч (наприклад, видаливши цей скрипт).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://scania.dp.ua (хакерами з RKH) - 15.05.2011, зараз сайт вже виправлений адмінами
• http://poligraf-agenstvo.net.ua (хакерами з RKH) - 16.05.2011, зараз сайт вже виправлений адмінами
• http://dom-ivanov.at.ua (хакером BACKDOOR)
• http://www.firstline.com.ua (хакером TekZ)
• http://www.skorostroy.com.ua (хакером C37HUN)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://terra-tv.com.ua - інфекція була виявлена 21.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://esco.co.ua - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://vrazrabotke.com.ua - інфекція була виявлена 29.05.2011. Зараз сайт входить до переліку підозрілих.
• http://viking.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://teplo-service.com - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих. Це так Гугл заявляє, а насправді чимало сторінок сайта все ще мають шкідливий код (як я перевірив) - це часто з Гуглом трапляється, коли він завляє, що сайт не інфікований, коли ще не зі всіх сторінок сайта прибраний шкідливий код.

Нещодавно, 25.05.2011, вишла нова версія WordPress 3.1.3.

WordPress 3.1.3 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили декілька уразливостей.

Зокрема розробники виправили Code Execution уразливості в WordPress, які я оприлюднив минулого місяця. При цьому, як завжди, не подякувавши мені (ні публічно, ні приватно).

Серед інших секюріті покращень:

• Були зроблені деякі інші секюріті покращення, які не уточнються.
• Покращені запити до таксономії.
• Виправлена Login leakage уразливість, але неякісно, та це одна з багатьох подібних дірок (раніше я вже писав про Abuse of Functionality в WP), до того ж ця дірка відома вже багато років.
• Секюріті виправлення в Media.
• Виправлені старі файли імпорта.
• Доданий захист від clickjacking в сучасних браузерах.

Стосовно останнього додам, що по заявам розробників захист працює лише в нових браузерах. До того ж, захищені сторінки адмінки та логіну - якщо адмінки, то це добре, але стосовно сторінки логіну, то це могло бути зроблено з метою запобігти віддаленому логіну, про який я писав в статті Атаки на незахищені логін форми. Але так як форма логіну вразлива до CSRF, то це не допоможе проти даної атаки, тому незрозуміло, навіщо вони це додали до сторінки логіну.

Тому даний захист виглядає ламерським. До того ж, перші уразливості, що використовують методику clickjacking для атаки на WP я знайшов ще в 2007 (а потім ще багато знайшов нових дірок в 2010), які я ще не оприлюднив. І виправити цей вектор атак через 4 роки після того, як я знайшов подібні дірки, при цьому не дочекавшись мого оприлюднення - це вдвічі ламеризм .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://antonsablev.com (хакером INNOCENT HACKER з Afghan Exploiters Team) - 21.05.2011, зараз сайт вже виправлений адмінами
• http://aquatika.com.ua (хакером eL-CeWaD)
• http://www.ecodah.com.ua (хакером aGa Hackers) - 13.05.2011, причому окрім aGa Hackers даний сайт нещодавно також був взломаний хакерами HoaX Trojan і OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний :N0FAC3. Торік www.ecodah.com.ua вже був неодноразово взломаний. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dorogy.com.ua (хакером INNOCENT HACKER)
• http://www.ukrtransport.com (хакерами з EliTTe SquaD)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://honeycomb.dp.ua - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://skolmo.com.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://5fg4.pp.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://autoimport.dn.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://m-court.od.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.