Архів за Лютий, 2012

Добірка уразливостей

16:28 23.02.2012

В даній добірці уразливості в веб додатках:

  • HP JetDirect Device Page Directory Traversal (деталі)
  • Spring Framework Information Disclosure (деталі)
  • Spring Security header injection vulnerability (деталі)
  • Spring Framework and Spring Security serialization-based remoting vulnerabilities (деталі)
  • Spring Security privilege escalation when using RunAsManager (деталі)
  • Certain HP LaserJet Printers, Remote Unauthorized Access to Files (деталі)
  • Multiple XSS vulnerabilities in CMS Papoo Light Version (деталі)
  • mantis security update (деталі)
  • Multiples Vulnerabilities in ManageEngine ServiceDesk Plus (деталі)
  • Multiple vulnerabilities in SiT! Support Incident Tracker (деталі)

Вийшов Google Chrome 17

23:52 22.02.2012

У лютому, 08.02.2012, через півтора місяці після виходу Google Chrome 16, вийшов Google Chrome 17.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 5 - помірні і 6 - незначні. Та одній з уразливостей (Race condition після краху допоміжного процесу) привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і зробити успішну атаку на систему користувача.

Інфіковані сайти №112

22:47 22.02.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://rhemachurch.dn.ua - інфекція була виявлена 11.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://mebelrim.in.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://market-ua.org.ua - інфекція була виявлена 22.12.2011. Зараз сайт входить до переліку підозрілих.
  • http://uraking.at.ua - інфекція була виявлена 30.12.2011. Зараз сайт не входить до переліку підозрілих.
  • http://nau.edu.ua - інфекція була виявлена 13.02.2012. Зараз сайт не входить до переліку підозрілих.

Добірка уразливостей

16:14 22.02.2012

В даній добірці уразливості в веб додатках:

Уразливість на kyiv.ukrtelecom.ua

23:51 18.02.2012

26.01.2010

У червні, 19.06.2009, я знайшов SQL Injection уразливість на http://kyiv.ukrtelecom.ua - сайті Київської міської філії ВАТ “Укртелеком”. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.kyiv.ukrtelecom.ua.

Детальна інформація про уразливість з’явиться пізніше.

18.02.2012

SQL Injection:

http://kyiv.ukrtelecom.ua/webparts/search?ul=’)%20or%201=1–&q=1

В себе на сайті Укртелеком використовує СУБД Oracle.

Дана уразливість вже виправлена, але виправляли вони дуже довго. Що типово для даної компанії (добре що врешті виправили, бо вони це роблять не завжди). При наявності дірок на сайтах Укртелекому, особливо SQL ін’єкцій, зовсім не дивують витоки персональної інформації про клієнтів компанії, що регулярно трапляються.

Новини: невидиме вікно в Gmail, стандарт DMARC та небезпечний Facebook

22:39 18.02.2012

За повідомленням www.xakep.ru, невидиме вікно в поштову скриньку Gmail.

Як часто користувачі аккаунтів Gmail реєструються в різних сервісах і дозволяють цьому додатку доступ до своєї поштової скриньки (доступ до Twitter, доступ до Facebook і так далі)? Останнім часом це стало звичайною справою і вважається цілком безпечним способом передати доступ без розголошення конфіденційної інформації. Дійсно, у таких випадках використовується технологія OAuth, так що логін і пароль користувача не передаються сторонньому сервісу. Gmail додав підтримку відкритого стандарту OAuth у березні 2010 року, і з тих пір ця технологія одержала велике поширення.

Це гарна ілюстрація ризиків використання OAuth та інших подібних стандартів. Необдумане використання OAuth, що зараз пітримують Google на своїх сервісах та багато інших веб сайтів, може призвести до проблем з безпекою. Тому що зловмисники використовуючи соціальну інженерію можуть отримати доступ до вашої поштової скриньки Gmail та інших сайтів, доданих у ваш акаунт.

За повідомленням www.xakep.ru, DMARC - новий стандарт аутентифікації для електронної пошти.

Google, Facebook і ще 13 компаній і організацій спільно розробили й опублікували чернетку специфікацій для нового стандарту аутентифікації електронної пошти DMARC (Domain-based Message Authentication, Reporting and Conformance). Як і колишні стандарти, він покликаний боротися з підробкою адрес електронної пошти (domain spoofing), але реалізує для цього новаторські методи.

За повідомленням www.xakep.ru, Facebook ніколи не буде безпечним.

Хакер і один з розробників анонімайзера Tor Якоб Аппельбаум розповів про приватність в Інтернеті й про ту роль, що грає Facebook та інші соціальні мережі. На питання, як потрібно безпечно користуватися Facebook, фахівець відповів так: “Не потрібно організовувати стеження за собою. Якщо ви хочете бути в безпеці на Facebook, то взагалі не повинні його використовувати. І будь ласка, не підставляйте інших людей!”

Якоб достатньо вдало описав ризики використання соціальних мереж і небезпеку приватності людей, яку вони несуть.

Численні XSS в Microsoft SharePoint

20:01 18.02.2012

Виявлені численні XSS уразливості в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Foundation 2010.

XSS на різних сторінках.

  • Microsoft Security Bulletin MS12-011 - Important Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2663841) (деталі)

Добірка уразливостей

17:21 18.02.2012

В даній добірці уразливості в веб додатках:

  • Increased exploitation of Oracle GlassFish Server Administration Console Remote Authentication Bypass Vulnerability (деталі)
  • SQL injection vulnerability in Help Request System (деталі)
  • XSS Ebuddy (деталі)
  • Virtualismi (prodotto.php?id) Cross Site Scripting Vulnerabilities (деталі)
  • Loop (ricetta.php?id) Remote SQL injection Vulnerability (деталі)
  • Opera <= 10.10 Remote Denial of Service Exploit (деталі)
  • Manifattura Web (prodotto.php?id) Remote SQL injection Vulnerability (деталі)
  • Editel (news-dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
  • BvCom (dettaglio.php?idnews) Remote SQL injection Vulnerability (деталі)
  • WSTAFF Remote SQL injection Vulnerability (деталі)

Blended threat експлоіт для Google Chrome

23:57 17.02.2012

Продовжуючи розпочату традицію, після попереднього відео про викрадення користувацьких даних в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео знову стосується Chrome - це blended threat експлоіт для Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Chrome “blended threat” exploit demo (Chrome auto-download + UI race condition + DLL load hijacking)

Blended threat (змішана загроза) - це суміш декількох уразливостей в одному експлоіті, коли для проведення атаки використовується поєднання декількох уразливостей. І в даному відео ролику демонструється саме blended threat експлоіт.

В ролику демонструється такий функціонал Google Chrome, як auto-download, що може використовуватися для атак. Зокрема в 2008 році я вже писав про Automatic File Download уразливості в браузерах (зокрема в Chrome). Також використовується UI race condition атака, хоча як видно з відео, це більше схоже на соціальну інженерію (і як змусити жертву клікнути на спливаючий елемент внизу сторінки, це вже справа нападника). А також використовується DLL Hijacking уразливість в uTorrent.

Всі ці три техніки атаки поєднанні в один експлоіт, щоб через уразливість в Chrome використати уразливість в uTorrent. І виконати код в Google Chrome (в даному випадку запускається calc.exe). Атака відбувається при відвідуванні в браузері сайта, що містить код експлоіту, при цьому користувач повинен мати встановлений uTorrent (або інший додаток уразливий до DLL Hijacking, на який потрібно налаштувати експлоіт). Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Похакані сайти №179

22:41 17.02.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.dnipr.gov.ua (хакером dencowbie) - 15.11.2011 - взломаний державний сайт, на сайті все ще розміщений txt файл хакера
  • http://www.clinic-1.gov.ua (хакерами з Red Eye Crew) - 23.11.2011 - взломаний державний сайт, зараз сайт не працює
  • http://voronizh-rada.gov.ua (хакерами з Afghan Exploiters Team) - 24.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://torgsnab.net (хакером iskorpitx) - 12.08.2011, зараз сайт вже виправлений адмінами
  • http://www.volkswagen.lg.ua (хакерами з TeaM MosTa Dz Hacker) - 12.02.2012, зараз сайт вже виправлений адмінами