Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://titan.lviv.ua - інфекція була виявлена 09.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dn.kiev.ua - інфекція була виявлена 27.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://kickboxing.com.ua - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mymultimedia.org.ua - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://notebookmaster.com.ua - інфекція була виявлена 02.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що сайт dn.kiev.ua вже був інфікований в 2008 році. І в цьому році він знову розповсюджує віруси.

В даній добірці уразливості в веб додатках:

• OSISoft PI Server Authentication Weakness (деталі)
• XSS vulnerability in Jaws (деталі)
• pmwiki: persistent cross site scripting (XSS) (деталі)
• CMS Made Simple: backend cross site scripting (XSS) (деталі)
• Vulnerabilities in OrangeHRM (деталі)
• Novell Edirectory 8.8 SP5 XSS (деталі)
• XSS vulnerability in EasyPublish CMS (деталі)
• XSS vulnerability in Advanced Poll (деталі)
• XSS vulnerability in EasyPublish CMS (деталі)
• Microsoft Security Bulletin MS09-031 - Important Vulnerability in Microsoft ISA Server 2006 Could Cause Elevation of Privilege (деталі)

В серпні була виявлена DLL Hijacking уразливість в Windows, що дозволяє атакувати багато різних додатків. В тому числі дана уразливість була виявлена в Mozilla Firefox.

Як заявляє дослідник Glafkos Charalambous, що розробив екслоіт для даної уразливості в Firefox та Mozilla, що виправила її в версії 3.6.9, уразливі Mozilla Firefox 3.6.8 та попередні версії. Але як я перевірив даний екслоіт, він в мене не працює ні в старій Mozilla, ні в Firefox 3.0.19, Firefox 3.5.11, Firefox 3.6.8, Firefox 4.0b2, ні в Chrome, ні в різних версіях IE. Зато працює в Opera.

Сьогодні я виявив DLL Hijacking уразливість в Opera. Яка дозволяє виконання довільного коду через бібліотеку dwmapi.dll. Атака спрацює в браузері Opera на ОС Windows.

Приклад бібліотеки (що я розробив на основі коду Glafkos Charalambous):

dwmapi.dll

Можливі два варіанта атаки:

1. Атака спрацює при відкриті в браузері файла веб сторінки (htm, html, mht, mhtml) або іншого файла, поруч з яким знаходиться файл dwmapi.dll.

2. Якщо файл dwmapi.dll розміщений на десктопі або в будь-якій папці, що знаходиться в PATH, то код спрацює при кожному відкритті браузера.

З другого варіанту атаки видно, що в деяких додатках (таких як Opera) можна проводити DLL Hijacking атаку іншим методом, ніж той, про який повідомлялося в серпні. Тобто код виконається не тільки при розміщенні dll-файлу поруч з файлом, що призначений для відкриття у додатку, але також якщо dll-файл розміщений на десктопі, або в будь-якій папці, що знаходиться в PATH. І код може виконатися навіть при запуску додатку (як в Opera), без відкриття жодних файлів.

Уразливі Opera 10.61 та попередні версії.

В якості побічного ефекту, дану уразливість можна використати для повного DoS браузера Opera. Тобто використовуючи подібний dll-файл, можна повністю заблокувати запуск Opera - при кожному запуску буде поводитися повідомлення браузера про помилку.

P.S.

Як я перевірив (вже після публікації даного запису) в Opera 10.62, що вийшла 09.09.2010, дана версія невразлива (до обох варіантів атаки). Лише якщо помістити dll-файл в папку Opera або в System32, тільки тоді код спрацює (тому атака може мати місце на системах з FAT32 або при наявності відповідних прав у нападника на системах з NTFS).

Як в 2009 році повідомив представник Mozilla в своїй статті cross-site xmlhttprequest with CORS, починаючи з версії Firefox 3.5 в браузері Firefox додана підтримка міжсайтових XHR запитів. Яка реалізована через специфікацію Cross-Origin Resource Sharing (CORS). Міжсайтові XHR запити також підтримуються в інших браузерах, зокрема в Safari, Chrome та IE8.

Якщо раніше XHR запити могли бути лише в рамкам одного домену, то в нових браузерах, що підтримують Cross-Site XMLHttpRequest, запити можуть бути проведені між різними доменами. Що створює можливості для нових міжсайтових атак.

Тому враховучи, що в Firefox 3.5, Safari 4, Chrome 2 та Internet Explorer 8 є підтримка Cross-Site XMLHttpRequest, то це може бути використано для міжсайтових XSS атак з викорисанням XHR. Так що при відповідних умовах в нових браузерах може проводитися новий вид атак - міжсайтові XHR атаки (cross-site XHR attacks).

При наступних умовах можливі міжсайтові XHR атаки:

1. При наявності HTTP Response Splitting уразливості на сайті для виведення потрібних заголовків сервера.
2. При наявності уразливостей, що дозволять завантажити на сайт серверні скрипти для виведення потрібних заголовків сервера.
3. При наявності на сайті XSS дірки, а на сервері нападника є скрипт, який дозволяє звертатися через XHR (таким чином комунікація відбувається через XHR).
4. При наявності проксі (що контролюється нападником), який для будь-якого сайта виводить необхідні заголовки сервера, щоб дозволити міжсайтовий XHR.
5. При наявності вірусів на комп’ютері користувача (це можуть бути й плагіни/доповнення до браузера), що для будь-якого сайта виводять необхідні заголовки, щоб дозволити міжсайтовий XHR.

21.04.2010

Нещодавно, 17.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості на http://codecamp.org.ua - офіційному сайті конференції CodeCamp 2010. Про що найближчим часом сповіщу адміністрацію сайта.

Про уразливість на сайті Glaive Security Group (організаторів конференції), я вже згадував раніше. Як і торік, уразливість на сайті я виявив ще до початку конференції. І як і того разу, уразливість має місце на сайті на WordPress (і це не єдина уразливість, враховучи всі ті уразливості в WP про які я писав).

Зазначу, що CodeCamp - це конференція на тему інформаційної безпеки. І як я вже неодноразово писав стосовно сайтів конференцій, особливо на тему безпеки (останнього разу стосовно конференції про безпеку бізнесу), що дуже несерйозно проводити секюріті конференцію маючи дірявий сайт.

Детальна інформація про уразливості з’явиться пізніше.

11.09.2010

XSS:

• alert(/XSS/)

Full path disclosure:

http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/gs-for-wordpress.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/login.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/help.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/invite-friends.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/settings.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-connected.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-control.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-connected.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-logged-in.php

Якщо Full path disclosure вже виправлені, то XSS досі не виправлена.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, Німецьких хакерів заарештовано в Таїланді.

Два громадянина Німеччини були арештовані в Таїланді за звинуваченням у зломі інформаційних систем банків Європи, США і Таїланду. Хакери зуміли списати з чужих рахунків близько трьох мільйонів доларів.

За повідомленням www.securelist.com, кібератаки обходяться компаніям від 1 до 52 мільйонів доларів щорічно. Ponemon Institutee опублікував аналіз фінансових втрат, що несуть комерційні й урядові організації через кібератаки. У дослідженні використовувалися дані по 45 американським організаціям.

Так, у середньому атаки кібер-злочинців обходяться компанії в 3,8 мільйонів доларів щорічно, причому ця цифра може коливатися від 1 до 52 мільйонів доларів у рік. У цілому, на всі організації, що беруть участь у дослідженні, довелося порядку 50 успішних кібератак у тиждень.

За повідомленням www.securelist.com, російський хакер отримав умовний термін за великий хак.

Калінінський районний суд Санкт-Петербурга присудив Віктора Плещука, що взломав клієнтську базу RBS WorldPay, до 6 років тюремного ув’язнення умовно. Засуджений є одним із ключових відповідачів у справі про безпрецедентне пограбування процессінгової системи Королівського Банку Шотландії (RBS).

Продовжуючи розпочату традицію, після попереднього відео про IIS WebDAV уразливість в дії, пропоную новий відео секюріті мануал. Цього разу відео про eксплоіт для LNK уразливості в Microsoft Windows. Рекомендую подивитися всім хто цікавиться цією темою.

Microsoft LNK Exploit – MS10-046

Раніше я вже писав про виконання коду через ярлики в Microsoft Windows. Дана уразливість була виявлена в різних версіях ОС Windows від Microsoft (патч для якої вийшов на початку серпня). І в даному відео ролику демонструється використання даної уразливості в ярликах для атаки на IE.

В відео показаний процес атаки на користувачів Internet Explorer через спеціально створений сайт (зі спеціальним ярликом). Рекомендую подивитися дане відео для розуміння векторів атак на браузер Internet Explorer.

В даній добірці уразливості в веб додатках:

• Adobe RoboHelp Server Arbitrary File Upload and Execute Vulnerability (деталі)
• 2903 CMS (LibDir) Multiple Remote File Inclusion Vulnerability (деталі)
• XSS in Saurus CMS (деталі)
• XSS in DynamiXgate Affiliate Store Builder (деталі)
• SQL injection vulnerability in cacti (деталі)
• REZERVI (root) Remote Command Execution Vulnerability (деталі)
• Cisco ACE XML Gateway <= 6.0 Internal IP disclosure (деталі)
• Consona Products - Multiple vulnerabilities (деталі)
• Injection of ECShop apps (деталі)
• HP Remote Graphics Software (RGS) Sender, Remote Unauthorized Access (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.arlekino.com.ua (хакерами з AHG) - 04.09.2010, зараз сайт вже виправлений адмінами
• http://www.atlant-s.com.ua (хакером M3rtC4n)
• http://lacoste-house.org.ua (хакерами з 1923TURK) - причому спочатку сайт був взломаний 22.08.2010 1923TURK, потім 31.08.2010 він був взломаний NUzzY, потім 04.09.2010 був взломаний CREUSE та alm0st7el, а зараз взломаний Dz$N!P3R. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dks.com.ua (хакером METRP0L) - 09.2010, зараз сайт вже виправлений адмінами
• http://fourlanguagestranslations.com (хакером MouDy-Dz) - 26.08.2010, зараз сайт не працює

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle Business Process Management 5.7, WebLogic Server 7.0, Oracle 9i, Oracle 10g та інші продукти Oracle.

Чергове щоквартальне оновлення закриває 59 уразливостей в різних продуктах.

• Oracle Secure Backup Scheduler Service Remote Code Execution Vulnerability (деталі)
• Oracle Secure Backup Administration uname Authentication Bypass Vulnerability (деталі)
• Oracle Secure Backup Administration $other Variable Command Injection Remote Code Execution Vulnerability (деталі)
• Oracle Secure Backup Administration objectname Command Injection Remote Code Execution Vulnerability (деталі)
• Command Injection Remote Code Execution Vulnerability (деталі)
• Oracle Secure Backup Administration Command Injection Remote Code Execution Vulnerability (деталі)
• Oracle Secure Backup Administration Authentication Bypass Vulnerability (деталі)
• Oracle Secure Backup Web Interface Various Post-Auth Command Injection Remote Code Execution Vulnerabilities (деталі)
• WebLogic Plugin HTTP Injection via Encoded URLs (деталі)
• Oracle Updates for Multiple Vulnerabilities (деталі)
• Oracle Critical Patch Update Advisory - July 2010 (деталі)