Архів за Жовтень, 2009

Dark side of bookmarks

22:49 31.10.2009

This is English version of my Dark side of bookmarks article.

There is such useful functionality in browsers as bookmarks. This menu in IE called Favorites, and in other browsers called Bookmarks. At first sight this functionality doesn’t betoken any problems with security for users of the browsers, but it’s not so. There are several attacks, which can be conducted via bookmarks. I planned to tell about it already in 2008 and I’d tell you about it in my article “Dark side of bookmarks”.

Attacks via bookmarks.

There are possible next attacks via bookmarks:

1. Spam.
2. Phishing.
3. Malware spreading.
4. DoS attacks.

Bookmarks create conditions for conducting of persistent attacks, because bookmarks are saving at computers of the users. So every of above-mentioned attacks is persistent attack, which can trigger in any time, when user will choose bookmark in his browser.

Methods of conducting of attacks.

The next methods can be used for spreading of malicious bookmarks:

1. Social engineering: inscriptions “Press Ctrl-D” at the sites under control of offenders (where code for redirection or other code is placed, which will trigger on next visit of the site).
2. Hacking of the sites and changing of codes in links “Add to Favorites” to malicious codes, or putting of such links at the sites under control of offenders.
3. Using of viruses, which add bookmarks into victim’s browser.
4. Using of viruses for changing of existent bookmarks to malicious ones in victim’s browser.
5. Using of attacks with active (looped) proposition to add to bookmarks (in modern browsers), so as to let victim to accidentally add to bookmarks (or to force her to add to bookmarks).

Spam.

Bookmarks on advertising sites can be put into Bookmarks (Favorites). So bookmarks can be used for spam spreading.

Phishing.

Just as in case of spam, bookmarks can be used for phishing. But in this case, besides putting of bookmarks via methods 1, 2 and 5, the most effective will be methods 3 and 4. So as to let victim to click on bookmark, which must lead to the site of her bank, but in result proceed to phishing site.

Malware spreading.

Attack will be conducting via bookmark on exploit for browser. Which will execute malicious code in browser of the user, after click on bookmark, and will install virus at his computer.

DoS attacks.

Attack will be conducting via bookmark on DoS exploit. After click on bookmark by the user, his browser will crash or freeze.

Mechanism of bookmarks also can be used by itself for conducting of DoS attacks on browsers. This attack I called DoS via bookmarks. Firefox 3 and previous versions, Internet Explorer 6, Internet Explorer 7 and Opera 9 and previous versions are vulnerable to it.

Conclusions.

Attacks via bookmarks are completely real and dangerous. So users of the browsers must be careful in Internet and don’t add anything in bookmarks. And don’t click on unknown bookmarks in own browser.

Виконання JS-коду в Opera

19:30 31.10.2009

Виявлена можливість виконання JavaScript-коду в Opera.

Уразливі версії: Opera 10.0.

Виконання JS-коду можливе через RSS-підписки.

  • Hijacking Opera’s Native Page using malicious RSS payloads (деталі)

Добірка уразливостей

16:15 31.10.2009

В даній добірці уразливості в веб додатках:

  • Remote DoS vulnerability in Linksys WRH54G (деталі)
  • Multiple Vulnerabilities in RavenNuke 2.3.0 (деталі)
  • New websvn packages fix information leak (деталі)
  • Cross-site scripting in Samizdat 0.6.1 (деталі)
  • New moodle packages fix several vulnerabilities (деталі)
  • Squid Proxy Cache Denial of Service in request handling (деталі)
  • NetMRI Login Application Cross-site Scripting Vulnerability (деталі)
  • PHCDownload 1.1.0 Vulnerabilities (деталі)
  • Cisco Unified MeetingPlace Web Conferencing Stored Cross Site Scripting Vulnerability (деталі)
  • Cisco Unified MeetingPlace Web Conferencing Authentication Bypass Vulnerability (деталі)

Темна сторона закладок

22:41 30.10.2009

В браузерах існує такий корисний функціонал як закладки (букмарки). Дане меню в IE називається Favorites, в інших браузерах - Bookmarks. На перший погляд даний функціонал не передвіщує жодних проблем з безпекою для користувачів браузерів, але це не так. Існує ряд атак, які можуть проводитися через закладки. Про це я запланував розповісти ще в 2008 році і розповім вам про це в своїй статті “Темна сторона закладок” (Dark side of bookmarks).

Атаки через закладки.

Можливі наступні атаки через закладки:

1. Спам.
2. Фішинг.
3. Поширення шкідливого коду.
4. DoS атаки.

Закладки створюють умови для проведення постійних (persistent) атак, тому що закладки зберігаються на комп’ютерах користувачів. Тому кожна з вищезгаданих атак є постійною атакою, яка може спрацювати в будь-який час, коли користувач вибере закладку в своєму браузері.

Методи проведення атак.

Для поширення шкідливих закладок можуть застосовуватися наступні методи:

1. Соціальна інженерія: надписи “Натисніть Ctrl-D” на сайтах підконтрольних зловмисникам (де розміщений код для редирекції чи інший код, що спрацює при наступному відвідуванні сайта).
2. Взлом сайтів і зміна кодів у лінках “Добавте у вибране” на шкідливі коди, або встановлення подібних лінок на сайтах підконтрольних зловмисникам.
3. Використання вірусів, що заносять закладки у браузер жертви.
4. Використання вірусів для зміни існуючих закладок на шкідливі у браузері жертви.
5. Використання атак з активною (зацикленою) пропозицією додати в закладки (у сучасних браузерах), щоб жертва випадково додала у закладки (або змусити її додати у закладки).

Спам.

В закладки (Bookmarks, Favorites) можуть бути занесені закладки на рекламні сайті. Тобто закладки можуть використовуватися для поширення спаму.

Фішинг.

Так само як і у випадку спаму, закладки можуть використовуватися для фішингу. Але в цьому випадку, окрім занесення закладок через методи 1, 2 та 5, особливо ефективними будуть методи 3 і 4. Щоб жертва клікнула на закладку, яка повинна вести на сайт її банку, а в результаті перейшла на фішерський сайт.

Поширення шкідливого коду.

Атака буде відбуватися через закладку на експлоіт для браузера. Що виконає шкідливий код в браузері користувача, після кліку по закладці, і встановить вірус на його комп’ютер.

DoS атаки.

Атака буде відбуватися через закладку на DoS експлоіт. Після кліку по закладці користувачем, його браузер вилетить або зависне.

Також механізм закладок сам може бути використаний для проведення DoS атаки на браузери. Дану атаку я назвав DoS через букмарки. До неї уразливі Firefox 3 та попередні версії, Internet Explorer 6, Internet Explorer 7 і Opera 9 та попередні версії.

Висновки.

Атаки через закладки є цілком реальними і небезпечними. Тому користувачам браузерів потрібно бути уважними в Інтернеті і не додавати будь-що в закладки. І не клікати по невідомим закладкам в своєму браузері.

Уразливість в ProofReader для Joomla

20:06 30.10.2009

08.09.2009

У вересні, 04.09.2009, я знайшов Cross-Site Scripting уразливість в компоненті ProofReader (com_proofreader) для Joomla. Дана уразливість схожа на Cross-Site Scripting в Joomla. Дану уразливість я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

30.10.2009

Уразливість на сторінках з 404 помилкою та на існуючих сторінках сайта. Це DOM Based XSS.

XSS (IE):

http://site/1";alert(document.cookie);//
http://site/page?";alert(document.cookie);//

Уразливі ProofReader 1.0 RC9 та попередні версії.

Добірка експлоітів

16:12 30.10.2009

В даній добірці експлоіти в веб додатках:

  • MonGoose 2.4 Webserver Directory Traversal Vulnerability (win) (деталі)
  • Zervit Webserver 0.02 Remote Buffer Overflow PoC (деталі)
  • FreeWebshop.org 2.2.9 RC2 (lang_file) Local File Inclusion Vulnerability (деталі)
  • Job2C 4.2 (adtype) Local File Inclusion Vulnerability (деталі)
  • Job2C (conf.inc) Config File Disclosure Vulnerability (деталі)
  • phpDatingClub (conf.inc) File Disclosure Vulnerability (деталі)
  • phpAdBoardPro (config.inc) Config File Disclosure Vulnerability (деталі)
  • W2B Restaurant 1.2 (conf.inc) Config File Disclosure Vulnerability (деталі)
  • phpGreetCards (conf.inc) Config File Disclosure Vulnerability (деталі)
  • NetHoteles 3.0 (ficha.php) SQL Injection Vulnerability (деталі)
  • Oracle APEX 3.2 Unprivileged DB users can see APEX password hashes (деталі)
  • cpCommerce 1.2.8 (id_document) Blind SQL Injection Vulnerability (деталі)
  • DNS Tools (PHP Digger) Remote Command Execution Vuln (деталі)
  • webSPELL 4.2.0c Bypass BBCode XSS Cookie Stealing Vulnerability (деталі)
  • phpslash <= 0.8.1.1 Remote Code Execution Exploit (деталі)

Фахівці попереджають про фішинг-атаки нового типу

22:41 29.10.2009

Фахівці з питань безпеки з компанії RSA Security зафіксували перші випадки використання кіберзлочинцями фішинг-атак нового типу.

Експерти розповідають, що на перший погляд схема нападу виглядає звичайно: потенційній жертві приходить електронний лист із пропозицією підтвердити свої реєстраційні дані в онлайновой платіжній системі чи на сайті банку. При цьому в листі вказується лінка, що насправді веде на фальшиву сторінку, що копіює дизайн справжнього веб-сайта.

Саме цікаве відбувається після того, як користувач переходить на зазначений сайт і починає вводити у форму особисті дані чи намагається переглянути інші сторінки фальшивого ресурсу. У цьому випадку відкривається чат-вікно, в якому потенційній жертві від імені співробітників департаменту банку по боротьбі із шахрайством повідомляється про те, що клієнту необхідно підтвердити особистість (зрозуміло, з метою забезпечення безпеки). При цьому шахраї просять користувача назвати своє ім’я, телефонний номер, адресу електронної пошти тощо.

Фахівці RSA Security відзначають, що при організації фішинг-нападів нового типу кіберзлочинці використовують відкритий протокол Jabber для миттєвого обміну повідомленнями. Фахівці RSA Security відзначають, що в перспективі ця схема може стати дуже популярною у шахраїв.

По матеріалам http://www.cripo.com.ua.

Добірка уразливостей

16:14 29.10.2009

В даній добірці уразливості в веб додатках:

  • Sun Java Web Proxy Server FTP Resource Handling Heap-Based Buffer Overflow (деталі)
  • Vulnerable: Ilch CMS (деталі)
  • IBM DB2 UDB - Buffer overrun in XMLQUERY and XMLEXISTS (деталі)
  • Security Vulnerability in CLR stored procedure deployment from IBM Database Add-Ins for Visual Studio (деталі)
  • BusinessSpace <= 1.2 (id) Remote SQL Injection Vulnerability (деталі)
  • LFI in Drupal CMS (деталі)
  • XML injection in PyBlosxom (деталі)
  • Novell-QuickFinder Server Xss & Java remote execution Code (деталі)
  • New TYPO3 packages fix several vulnerabilities (деталі)
  • Full Path Disclosure In Photolibrary 1.009 (деталі)

XSS уразливість в Joostina

23:58 28.10.2009

Нещодавно, 26.10.2009, я знайшов Cross-Site Scripting уразливість в системі Joostina. Joostina CMS - це різновид Joomla. Уразливість виявив на ufsb.kiev.ua, де використовується даний движок.

Дана уразливість подібна до XSS уразливості, яку я в 2007 році знайшов в Joomla 1.0.x. Це DOM based XSS.

Але на відміну від Joomla, в Joostina немає обмеження на кількість символів в рядку пошуку. Що дозволяє використовувати її для більш потужних XSS атак.

XSS:

Уразливість в пошуці по сайту в параметрі searchword.

http://site/index.php?option=com_search&searchword=';alert(document.cookie)//

Для виконання коду, користувач повинен змінити кількість результатів пошуку на одну сторінку.

Уразливі версії Joostina 1.x.

Похакані сайти №68

22:49 28.10.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.crown.org.ua (хакером Kam_06) - 22.10.2009, зараз сайт вже виправлений адмінами
  • http://www.grytsenko.com.ua (хакерами з Front Zmin H4ck t34m) - 24.10.2009 було взломано ще один політичний сайт (Анатолія Гриценка), зараз сайт вже виправлений адмінами
  • http://vagdom.com.ua (хакерами з Peace STAR Team)
  • http://www.goodprices.info (хакером Bejamz)
  • http://smoking.co.ua (хакером JuSTaR) - 24.10.2009, зараз сайт закритий хостером