Архів за Вересень, 2011

Уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua

23:56 30.09.2011

23.12.2010

У вересні, 11.09.2010, я знайшов Denial of Service уразливість на http://www.kvs.gov.ua - сайті Державного департаменту України з питань виконання покарань. Також подібну уразливість я виявив на державних сайтах www.dcz.gov.ua та www.kmu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на kvs.gov.ua, www.dcz.gov.ua та www.kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.09.2011

DoS:

http://www.kvs.gov.ua/punish/cewolf?img=1&width=10000&height=10000
http://www.dcz.gov.ua/chn/cewolf?img=1&width=10000&height=10000
http://www.kmu.gov.ua/punish/cewolf?img=1&width=10000&height=10000

На сайтах Державного департаменту України з питань виконання покарань (www.kvs.gov.ua) та Кабінету Міністрів України (www.kmu.gov.ua) дана уразливість вже виправлена. Але не на сайті Державної служби зайнятості України (www.dcz.gov.ua). А також є ще багато інших уразливих сайтів (включаючи gov.ua сайти) на дірявому Megapolis.Portal Manager.

Атаки через буфер обміну

22:43 30.09.2011

Розповім вам про атаки через буфер обміну (attacks via clipboard). Концепція яких в мене виникла вже багато років тому, після того як я стикнувся з XSS, що вимагала вставки даних з буферу. І наведу вам методику проведення таких атак через JS і флеш.

Раніше я вже писав про Cross-Site Scripting уразливості в формах, де я розповідав про XSS атаки на форми, як reflected XSS, так і persistent XSS. Подібні уразливості я знаходив на багатьох сайтах і в багатьох веб додатках в 2007-2011 роках. Але окрім них, ще бувають strictly social XSS в формах, коли потрібно змусити жерту скопіювати в буфер обміну спеціальний код і вставити його з буфера для проведення атаки - такі уразливості я знаходив ще в 2006 році. Про що я писав в статті Міжмовний XSS - Cross-Language Scripting. І використання даної методики дозволить вирішити першу частину задачі - копіювання коду в буфер, а далі залишиться лише змусити жертву вставити з буфера для проведення атаки.

Існує можливість в браузері заносити дані в буфер обміну. Зокрема, це можна зробити через JavaScript та Flash. Зчитувати з буфера обміну не можна (це зроблено з метою безпеки), зате можна заносити дані в буфер (бо в цьому розробники не вбачають небезпеки). Що може бути використано для атаки.

Використовуючи функцію копіювання в буфер обміну можна проводити різні атаки, зокрема Cross-Site Scripting і Cross-Application Scripting, а також спам, фішинг і malware атаки. Наприклад, для проведення XSS атаки коли треба вставити код з буфера обміну в текстове поле. Або CAS коли якийсь додаток має переповнення буфера в якомусь полі (при вставці даних в це поле), і можна занести в браузері в буфер необхідний код, після вставки якого з буферу в поле відбудеться DoS чи Code Execution атака. Або можна заносити шкідливі програми (зокрема exe-файли) для скачування в качалки, що моніторять буфер обміну. І якщо в них задане автоматичне скачування файлів, то дане шкідливе ПЗ буде скачане автоматично (Automatic File Download).

Також можна занести в буфер обміну URL довільного сайта - з метою спама, фішинга чи розповсюдження malware. Наприклад, деякі сайти автоматично копіюють адресу поточної сторінки сайта - для зручності відвідувачів. Щоб людина вставляючи з буфера адресу в браузер, випадково вставила не ту адресу, яку вона раніше скопіювала, а ту, яку їй підсунули, щоб вона перейшла на вказаний сайт. Який може бути як рекламним, так і фішинг ресурсом, або сайтом зі шкідливим кодом. Це кліпбоардний фішинг / кліпбоардний спам (clipboard phishing / clipboard spamming) і дані атаки можуть бути більш ефективними ніж атаки через закладки та стартову сторінку (про які я писав в статтях Темна сторона закладок та Темний дім в 2009 році).

При використанні JavaScript можна копіювавати лише в IE. При використанні Flash - в будь-якому браузері з флеш-плагіном. Можливість працювати з буфером обміну з’явилася в Flash 7 (ActionScript 1) і була оновлена в Flash 10 (ActionScript 3), тому для атаки потрібно, щоб у користувача була відповідна версія флеш-плагіна (в залежності від використаного коду).

Для надійності варто використовувати AS1 (при копіюванні текстових даних), щоб код спрацював в користувачів як нових, так і старих версій флеш-плагіна (а також тих, кто буде запускати swf-файл в стаціонарному флеш-плеєрі). А також атака через флеш спрацює, коли у користувача відключений JavaScript (що дозволить обійти відповідний захист, наприклад, NoScript чи тимчасове відключення JS). З іншої сторони, враховуючи, що після появи в 2008 році заяв про можливість підсовувати шкідливі лінки користувачам та виявлення флеш-банерів, що проводили подібні атаки, Адоб внесла зміни в флеш плеєр починаючи з версії 10.0, тому для атаки в браузері потрібна взаємодія з користувачем (при цьому при запуску флешки в стаціонарному флеш плеєрі атака автоматично спрацює в усіх флеш плеєрах версії 7.0 і вище).

Але в деяких користувачів може бути відсутній чи тимчасово відключений флеш плагін, тому для більш надійної атаки варто використовувати комбінований метод JS + Flash (тобто поєднати обидва методи атаки). Флеш дозволяє провести атаку кросбраузерно і в різних ОС, зате JS дозволяє провести атаку на користувачів, хоча й тільки Internet Explorer, в яких немає флеш-плагіна (або використовується стара версія), а також він не має обмежень на запис до буферу (які з’явилися в Flash 10.0). Тому варто об’єднати сильні сторони обох методів.

Приклад JS коду для IE:

<script>window.clipboardData.setData('text','XSS');</script>

Приклад AS1 коду:

System.setClipboard("XSS");

Приклад AS3 коду:

import flash.desktop.ClipboardFormats;
Clipboard.generalClipboard.setData(ClipboardFormats.TEXT_FORMAT, "XSS");

Також можна в JS і AS зробити циклічне копіювання в буфер (наприклад, кожної хвилини). Що дозволить провести постійну (persistent) атаку через буфер обміну, коли користувачу увесь час, доки відкрита сторінка з атакуючим кодом, буде підсовуватися в буфер необхідний код.

При цьому слід зазначити, що починаючи з Flash 10.0 Адоб обмежила функціонал роботи з буфером обміну, що існував до цього (для покращення безпеки після появи в 2008 році вірусних флешек, що проводили атаки через буфер). І тепер необхідна взаємодія з користувачем, тобто необхідно, щоб користувач зробив дії мишею чи клавіатурою. Але при атаці на користувачів нових версій флеш плеєра (флеш плагіна) це можна обійти за допомогою Clickjacking, зокрема можна використати флешку ZeroClipboard (або зробити аналогічний алгоритм, без використання JS, а лише AS) в парі з Clickjacking. Або з MouseOverJacking. Наявність цієї можливості демонструє, що виправлення Адоба (для роботи з буфером у Флеш 10) обходиться і дана атака все ще можлива.

В тіло даної сторінки включен JS-код (з вищенаведеним кодом для IE), що заніс в ваш буфер рядок “XSS” (а також включена флешка, що призначена для флеш плеєра 9 та попередніх версій). Що ви самі можете перевірити ;-) .

Вийшли Mozilla Firefox 6.0.1 і 6.0.2

20:13 30.09.2011

Після виходу Mozilla Firefox 6, Mozilla випустила два оновлення для шостої гілки Firefox - 6.0.1 і 6.0.2. Після чого нещадавно випустила сьому версію браузера. Для порівняння, для гілки Firefox 5.0 не було зроблено секюріті оновлень (була лише випущена версія 5.0.1 для Mac OS X без секюріті виправлень) і одразу була випущена шоста версія (з секюріті виправленнями).

Mozilla Firefox 6.0.1 вийшов 30.08.2011, а Firefox 6.0.2 вийшов 06.09.2011. В даних версіях браузера були зроблені наступні покращення:

  • В Firefox 6.0.1 був доданий захист від підроблених сертифікатів DigiNotar.
  • В Firefox 6.0.2 був доданий додатковий захист від підроблених сертифікатів DigiNotar.

Добірка уразливостей

15:01 30.09.2011

В даній добірці уразливості в веб додатках:

  • HP Insight Control for Linux (IC-Linux), Remote Unauthorized Elevation of Privilege, Execution of Arbitrary Code, Encryption Downgrade, Information Disclosure, Denial of Service (DoS) (деталі)
  • CubeCart 2.0.6 SQL injection / Cross Site Scripting (деталі)
  • Cross-site scripting (XSS) vulnerabilities in KDE-Libs (деталі)
  • Prestashop Cartium 1.3.3 Multiple Cross Site Scripting (XSS) (деталі)
  • HP Proliant Support Pack (PSP) Running on Linux and Windows, Remote Cross Site Scripting (XSS), URL Redirection, Information Disclosure (деталі)
  • XSRF (CSRF) in Pragyan CMS (деталі)
  • HP System Management Homepage (SMH) for Linux and Windows, Remote Unauthorized Access, Execution of Arbitrary Code, Denial of Service (DoS) (деталі)
  • XSS vulnerability in Pragyan CMS (деталі)
  • Security Notice for CA Arcot WebFort Versatile Authentication Server (деталі)
  • XSS vulnerability in Pragyan CMS (деталі)

Уразливість на citycom.ua

23:55 29.09.2011

22.12.2010

У серпні, 26.08.2010, я знайшов SQL Injection уразливість на сайті http://citycom.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на citycom.ua. Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.foxtrot.com.ua.

Детальна інформація про уразливість з’явиться пізніше.

29.09.2011

SQL Injection:

http://citycom.ua/search/?sort=desc&q='/**/and/**/version()=5.1/**/limit/**/0,1%23

Зараз змінили домен з http://citycom.ua на http://city.com.ua.

Дана уразливість вже виправлена. Лише треба не зубувати дякувати людям, що дбають про безпеку вашого сайта (що неодноразово траплялося з адмінами citycom.ua).

Новини: взлом DNS, новий взлом mysql.com та атака на SSL/TLS

22:47 29.09.2011

За повідомленням www.xakep.ru, навіть подвійна інфраструктура безпеки не в змозі захистити Інтернет.

Аналітики в області інформаційної безпеки попереджають, що хакери можуть почати потужні атаки, яким буде дуже складно протистояти, тому що вони будуть поєднувати в собі взлом DNS-серверів (такого типу, як атака на сайт The Register й інші відомі сайти в вересні) з підробкою цифрових сертифікатів у стилі DigiNotar.

Атака на DNS-провайдера NetNames, що відбулася на початку місяця, торкнулася безлічі відомих веб сайтів, включаючи такі сайти як Daily Telegraph, UPS, Acer, National Geographic, BetFair і Vodafone. Інтернет-серфери, що відвідали несправні сайти, були переспрямовані на сторінку, створену турецькою групою хакерів Turkguvenligi.

Про атаки через захоплення домену (Domain hijacking), що в останні роки набули поширенності, я писав в своїй статті ще в лютому. Але ні домен провайдери з дірявими сайтами, ні власники сайтів, що користуються послугами таких провайдерів, досі не звернули увагу на цю проблему.

За повідомленням www.anti-malware.ru, MySQL.com знову взломаний.

Сайт популярного рішення для керування базами даних піддався нальоту взломщиків. Хакери змогли одержати адміністративний доступ до сервера проекту і внесли несанкціоновані зміни в код сторінок ресурсу. У підсумку всі відвідувачі, що відкривали ці сторінки у своєму браузері, ризикували стати жертвою атаки шкідливого програмного забезпечення.

Це вже другий взлом mysql.com за цей рік. І якщо попереднього разу (в березні) в результаті взлому було викрадено дані з БД ресурсу, то цього разу сайт було інфіковано. Зловмисники все більше інфікують діряві сайти як в Уанеті, так і в Інтернеті в цілому. І з 2008 року, коли я писав про уразливість на сайті MySQL, їх адміни так і не почали краще слідкувати за безпекою своїх сайтів.

За повідомленням www.opennet.ru, представлено перший успішний спосіб атаки на SSL/TLS.

Тхай Дионг і Джуліано Ріццо, відомі дослідники комп’ютерної безпеки, власники премії Pwnie Awards 2011 за розробку методу компрометації додатків ASP.NET, мають намір на конференції Ekoparty 7 розкрити завісу над новим способом атаки на SSL/TLS.

Для здійснення атаки підготовлений інструментарій, що розвивається під ім’ям BEAST (Browser Exploit Against SSL/TLS) і що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії. Зокрема, дослідники продемонстрували успішне перехоплення захищеної сесії для сервісу PayPal і стверджують, що метод може бути застосований і для будь-яких інших сайтів.

Безпека e-commerce сайтів в Уанеті №11

19:24 29.09.2011

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів та банків України:

Також я писав про уразливості в движках для Інтернет магазинів:

А також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

Так що українським e-commerce сайтам є куди покращувати свою безпеку.

Уразливості на www.foxtrot.com.ua

23:51 28.09.2011

07.12.2010

У серпні, 12.08.2010, я знайшов Denial of Service та Insufficient Anti-automation уразливості на сайті http://www.foxtrot.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на kshop.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

28.09.2011

DoS:

http://www.foxtrot.com.ua/ressearch.aspx?page=1&search=%25%25%25

Insufficient Anti-automation:

http://www.foxtrot.com.ua/feedbacks.aspx

В даній формі немає захисту від автоматизованих запитів (капчі).

Дані уразливості так і не були виправлені. А зараз даний сайт не працює, тому що він закритий по політичним мотивам.

DoS в Mozilla Firefox

22:44 28.09.2011

Новий тест для вашого браузера. Даний експлоіт, що я знайшов в Інтернеті ще в 2008 році, виконує DoS атаку на Mozilla Firefox.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, цей експлоіт працює в Mozilla (1.7.x і попередні версії) та в старих версіях Firefox. В версіях Firefox 3.0 і вище він вже не працює.

Протестувати Mozilla та Firefox

Останній тест для Firefox був Експлоіт для Mozilla Firefox 2.0 та 3.0, з яким ви також можете ознайомитися.

Похакані сайти №163

19:23 28.09.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://vodoleyalushta.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
  • http://luiza.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
  • http://motokaravan.com.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
  • http://gektar.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
  • http://kg.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами

Що цікаво, тоді ж, під час масового взлому даного російскього сервера (де хостилися зазначені сайти), хакери з RKH також взломали обмінник онлайн валют ROBOXchange (roboxchanger.ru, roboexchenge.com, roboexchange.net).