Websecurity - Веб безпека

В своїй статті Атаки на незахищені логін форми я розповідав про таку атаку на форму аутентифікації, як віддалений логін. Що може бути використанно для різноманітних атак (як і автоматизований логін), коли потрібно, щоб користувач був залогінений в акаунт для проведення атаки. Зокрема це може знадобитися для використання XSS, CSRF, URL Redirector Abuse та інших уразливостей в аккаунтах користувачів чи в адмінці (так звані post-auth дірки).

Звичайна схема атаки, яку я мав на увазі у вищезгаданій статті й яку я продемонстрував на прикладі багатьох дірок в різних веб додатках (як то MyBB чи панель керування ADSL модема Callisto 821+) - це коли відомі логін і пароль до акаунта на сайті. Наприклад, коли є вільна реєстрація на сайті, тому можна зробити акаунт і використати його для подібної атаки, або коли відомі логін і пароль, але в акаунті є прив’язка до IP, або атака відбувається з Інтернета в LAN (через браузер користувача).

Але, якщо розробники встановили захист від CSRF на форму логіна (токени чи перевірку реферера), то тоді віддаленого логіна зробити не вдасться. Але сьогодні я придумав метод, як можна обійти цей захист і все рівно проводити віддалений логін. В тому числі за допомогою цього методу можна проводити віддалений логін в акаунти, логіни і паролі яких не відомі.

Мій метод передбачає використання Clickjacking та Password Manager в браузерах. Менеджери паролів використовуються вже давно - з кінця 90-х років. І всі сучасні браузери мають такі менеджери паролів, що запам’ятовують паролі й підставляють їх в форми аутентифікації на сайтах. Залишиться лише провести Clickjacking атаку на форму логіна, в яку браузер сам підставить логін і пароль (якщо користувач запам’ятав його, а це зручний функціонал, тому більшість людей його використовує), щоб провести віддалений логін.

При цьому не потрібно знати логіна й пароля (бо браузер їх знає й сам підставить за нас) і будь-які захисти від CSRF-атак (такі як токени чи перевірка реферера) в формі аутентифікації не допоможуть. Тому що вони будуть обійдені самим користувачем, що зробить клік в результаті проведення Clickjacking атаки, і зайде в свій акаунт.

Так що завдяки методу віддаленого логіна з використанням Clickjacking стара рекомендація по захисту від CSRF - одразу виходити з акаунту після завершення роботи - вже не актуальна. Так як цей захисний підхід обходиться даним методом. Надійний захист, що допоможе проти цієї атаки, як і в інших випадках (про що я вже писав у вищезгаданій статті) - це використання капчі.

Один з відомих мені популярних веб додатків, що має захист від Clickjacking атак (в тому числі в формі логіна) - це phpMyAdmin. В версії phpMyAdmin 2.11.11 вже був захист від даної атаки. Зокрема розробники phpMyAdmin використали метод прибирання фреймів (frame-buster) в формі логіна. А в phpMyAdmin 3.3.0 і вище, окрім цього ще використовується заголовок X-Frame-Options всередині адмінки (що допоможе лише в деяких браузерах, що його підтримують, але frame-buster захистить від віддаленого логіна).

Виявлена можливість виконання коду в Microsoft .Net і Silverlight.

Уразливі продукти: Microsoft .Net Framework та Silverlight на Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Можливий вихід з обмеженого середовища.

• Microsoft Security Bulletin MS11-078 - Critical Vulnerability in .NET Framework and Microsoft Silverlight Could Allow Remote Code Execution (2604930) (деталі)

В даній добірці уразливості в веб додатках:

• Cisco Unified Operations Manager Multiple Vulnerabilities (деталі)
• Multiple XSS vulnerabilities in SyndeoCMS (деталі)
• HP Performance Agent and HP Operations Agent, Remote Arbitrary File Deletion (деталі)
• SQL injection in SyndeoCMS (деталі)
• Arbitrary files deletion in HP OpenView Performance Agent (деталі)
• XSS in SyndeoCMS (деталі)
• Cross Site Scripting vulnerability in ArubaOS and AirWave Administration Web Interfaces (деталі)
• Parallels Plesk 7.0 - 8.2 | Open URL Redirection Vulnerability (деталі)
• FTP daemon fails to set effective group ID (деталі)
• Unidesk ReportingService Forceful Browsing Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://filmx.com.ua - інфекція була виявлена 23.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://zarabotokplus.com.ua - інфекція була виявлена 16.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://radiomaster.com.ua - інфекція була виявлена 28.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://moloduha.at.ua - інфекція була виявлена 22.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tessera.com.ua - інфекція була виявлена 05.09.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Scareware
• Rogue security software
• JIT spraying
• Port scanner
• Improper input validation

12.01.2011

В минулому місяці я вже писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua та інших державних сайтах. І нещодавно, 09.01.2011, я знайшов подібну Denial of Service уразливість на http://sbu.gov.ua (http://ssu.gov.ua) - сайті Служби Безпеки України (СБУ) та http://dsszzi.gov.ua - сайті Державної служби спеціального зв’язку та захисту інформації України (ДССЗЗІ). Про що найближчим часом сповіщу адміністрацію сайтів.

Раніше я вже писав про уразливості на сайтах українських спецслужб, в тому числі і на www.sbu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

17.10.2011

DoS:

http://sbu.gov.ua/sbu/cewolf?img=1&width=10000&height=10000

http://dsszzi.gov.ua/punish/cewolf?img=1&width=10000&height=10000

Дані уразливості вже виправлені. Причому виправила їх саме СБУ, а ДССЗЗІ проігнорувала мого листа, з СБУ навіть подякувати не забули, чого не скажеш про ДССЗЗІ. Невдячні спецслужби з дірявими сайтами (такі як ДССЗЗІ) варто закривати - заодно й бюджетні кошти будуть зекономлені .

07.04.2011

Вчора, 06.04.2011, я знайшов Code Execution та Full path disclosure уразливості в плагіні Simple:Press Forum для WordPress. Яку я виявив на різних сайтах. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

15.10.2011

Code Execution:

Виконання довільного коду можливе через TinyBrowser. Як я вже розповідав стосовно TinyBrowser для TinyMCE, програма вразлива до трьох методів виконання коду.

http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/tinybrowser/tinybrowser.php

До CE уразливі Simple:Press Forum 4.1.2 та попередні версії. В версії SPF 4.1.3, що вийшла 31.12.2009, TinyBrowser був повністю видалений. Вже після видалення TinyBrowser з SPF були виявленні нові методи виконання коду в даному додатку, тому користувачі старих версій SPF стали ще більш вразливими (як на веб серверах Apache, так і на IIS).

Full path disclosure:

Чотири останні FPD уразливості мають місце в TinyMCE, що постачається з SPF.

http://site/wp-content/plugins/simple-forum/styles/icons/default/ICON_DEFAULTS.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/EnchantSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/GoogleSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpellShell.php

До FPD уразливі Simple:Press 4.4.5 та попередні версії.

В старих версіях SPF було багато FPD, частина з них вже виправлена в останній версії 4.4.5. Зокрема в старих версіях (як то 4.1.1) є FPD в папці admin:

http://site/wp-content/plugins/simple-forum/admin/sfa-framework.php
http://site/wp-content/plugins/simple-forum/admin/sfa-menu.php

Та в деяких інших файлах в підкаталогах папок admin, editors та інших. В останній версії залишилося лише п’ять вищезгаданих FPD.

За повідомленням www.xakep.ru, Microsoft: злочинці надають перевагу старим експлоітам - загроза 0day уразливостей сильно перебільшена.

Злочинці позіхають дивлячись на те, як збуджуються засоби масової інформації по усьому світі після оголошення про кожну нову уразливість нульового дня.

Представляючи одинадцятий випуск свого звіту Security Intelligence Report на конференції RSA в Європі 11 жовтня, Microsoft вказала на те, що лише один відсоток атак, ідентифікованих у її звіті, використовував уразливості нульового дня.

За повідомленням www.anti-malware.ru, наскільки ефективний захист сучасних браузерів.

Питання безпеки в Мережі і схоронності конфіденційних даних у сучасному світі стають усе більш актуальними. І це не дивно. Число шкідливих атак, а також їхнього різновиду неухильно зростають. За даними щорічного звіту корпорації Symantec, у 2010 році було зареєстровано більш 3 млрд. шкідливих атак, що на 93% перевищує показники 2009 року. Більш того, збільшилася не тільки активність кіберзлочинців, але і помітно розширилася розмаїтість їхніх методів.

У тому ж звіті Symantec констатує появу 286 нових модифікацій хакерских атак. При цьому найбільш розповсюдженими стають так звані методи соціальної інженерії, що використовують слабості людського фактора.

За повідомленням www.xakep.ru, RSA обвинуватила державу в атаці на свої сервери.

RSA виявила, що дві групи, що працюють від імені деякої держави, взломали сервер і вкрали інформацію, що відноситься до продукту для двухфакторної аутентифікації, SecurID, випуском якої займається компанія. На конференції RSA Security Conference, що пройшла в Лондоні, голова компанії Арт Ковієлло описав атаку, що прогриміла по усьому світі.

Дана атака на RSA відбулася в березні, після чого вже постраждали деякі клієнти компанії, а вони лише зараз, у жовтні, на своїй секюріті конференції виступили з офіційними поясненнями цього інциденту . І при цьому з’їхали на хакерів спонсорованих іноземною державою і на APT. В останні роки для секюріті та інших компаній стало модним виправдовуватися подібним чином і списувати все на APT.

Продовжуючи розпочату традицію, після попереднього відео про підбір паролей до MySQL, пропоную нове відео на веб секюріті тематику. Цього разу відео про взлом комп’ютера через розшарений принтер. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit Hacking a computer through a shared printer

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на розшарений принтер в локальній мережі. Використовуючи уразливість в Microsoft Print Spooler - сервісі друку в ОС Windows.

Після визначення сканером nmap IP адрес в локальній мережі, визначається комп’ютер в якого є розшарений прінтер і непропатчений Windows (з уразливістю в Print Spooler). І даний ПК атакується в Metasploit через розшарений принтер для отримання віддаленого адмінського доступу до системи. Рекомендую подивитися дане відео для розуміння векторів атак в LAN.

В даній добірці уразливості в веб додатках:

• Novell File Reporter Engine RECORD Tag Parsing Remote Code Execution Vulnerability (деталі)
• XSRF (CSRF) in Ripe website manager (деталі)
• Working Remote Root Exploit for OpenSSH 3.4p1 (FreeBSD) (деталі)
• SQL injection vulnerability in Ripe website manager (деталі)
• HP Intelligent Management Center User Access Manager (UAM) and Endpoint Admission Defense (EAD), Remote Execution of Arbitrary Code (деталі)
• SQL injection vulnerability in Ripe website manager (деталі)
• Upload directory traversal in Novell ZenWorks Handheld Management 7.0.2 (деталі)
• XSS vulnerability in Ripe website manager (деталі)
• Security Advisory for Apache Santuario (деталі)
• Path disclosure in SyndeoCMS (деталі)