Websecurity - Веб безпека

В записі Denial of Service в Internet Explorer я навів відео TheSecuritylab з вибиванням IE7. І 13.02.2013 я розробив експлоіт заснований на даному відео і дослідив дану уразливість в різних браузерах. Як я перевірив, вона також працює в IE6 та IE8.

Тому це Denial of Service уразливість в Internet Explorer 6, 7, 8. Це access violation.

DoS:

Браузер вибиває при рекурсивному включенні css-файла. Це відбувається через access violation (aka segmentation fault) в iexplore.exe. Щоб експлоіт спрацював в IE6 потрібно оновити сторінку.

Експлоіт:

IE_DoS_Exploit.html

Уразливі Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7
(7.00.5730.13), Internet Explorer 8.0 (8.00.6001.18702) та попередні версії цих браузерів. IE9 не вразливий.

У березні, 28.03.2013, я знайшов Cross-Site Scripting уразливості в банерній мережі http://img.com.ua (на піддоменах). Про що найближчим часом сповіщу адміністрацію проекту.

В 2008-2010 роках я писав про численні банерні системи (українські й закордонні), що мають подібні уразливості. Проблема така ж сама як і випадку уразливостей в системах в phpAdsNew, OpenAds та OpenX.

У флеш банерах на піддоменах bbn.img.com.ua і bbnu.img.com.ua (і потенційно інших піддоменах), є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр bn_url (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

На всіх піддоменах даного сайта є десятки тисяч флеш банерів. Не всі з них уразливі, є піддомени де жодна флешка не має таких уразливостей, але на зазначених піддоменах всі флешки уразливі.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://musicband.net.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
• http://tetra.zp.ua - інфекція була виявлена 09.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://key.in.ua - інфекція була виявлена 22.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://akcion.net - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://dctel.net.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

У березні, 14.03.2013, вийшли PHP 5.3.23 та PHP 5.4.13. В яких виправлено біля 15 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.23 та PHP 5.4.13:

• Виправлена XML External Entity уразливість, що дозволяла читання довільних файлів через SOAP WSDL-файли.
• Виправлений обхід open_basedir через SOAP.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• Netgear DGN1000B setup.cgi Remote Command Execution Vulnerability (деталі)
• KNet Web Server 1.04b - Buffer Overflow SEH Vulnerability (деталі)
• D-Link DIR-615 Password Disclosure Vulnerability (деталі)
• Belkin Wemo - Arbitrary Firmware Upload Vulnerability (деталі)
• Personal File Share 1.0 DoS (деталі)

За повідомленням www.xakep.ru, Scribd взломаний, вкрадені email-и користувачів і хеші паролів.

Веб-сервіс для публікації документів і презентацій Scribd взломаний. Зловмисники одержали доступ до адрес електронної пошти і парольних хешів (із сіллю) користувачів. Незабаром ця інформація може бути опублікована у відкритому доступі.

Регулярно відбуваються подібні взломи популярних сервісів. І як за звичай трапляється у таких випадках, власники взломаного ресурсу (в даному випадку Scribd), зробили хорошу міну про поганій грі - вони заявили, що вкрали лише емайли і хеші (й нічого більше), та із-за використання хешів із сіллю наслідки взлому для користувачів не будуть великими. При тому, що існує імовірність підбору паролів для всіх хешів.

За повідомленням www.opennet.ru, на змаганні Pwn2Own були успішно взломані Chrome, Firefox, IE 10 і Java.

В березні пройшов Pwn2Own 2013. Перший день змагань Pwn2Own, що проводиться щорічно в рамках конференції CanSecWest, виявився як ніколи плідний - були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей в Chrome, Firefox, IE 10, Windows 8 і Java.

В усіх випадках атака була зроблена при обробці в браузері спеціально оформленої веб сторінки, відкриття якої завершилося одержанням повного контролю над системою. При демонстрації атаки використовувалися самі свіжі стабільні випуски браузерів і операційних систем Windows 7, 8 і Mac OS X Mountain Lion із усіма доступними оновленнями в конфігурації за замовчуванням.

За повідомленням www.opennet.ru, виявлено новий ботнет з незахищених маршрутизаторів із прошиванням на базі Linux.

Чеські дослідники в області безпеки комп’ютерних систем повідомили про виявлення нового мережного хробака, що одержав назву “Чак Норріс”, що складається з незахищених належним чином міні-маршрутизаторів, DSL-модемів і супутникових TV-ресиверів, що працюють на базі прошивань, заснованих на Linux. Як правило інфікування маршрутизаторів відбувається через виставляння адміністратором ненадійного пароля, що підбирається шляхом нескладного перебору типових варіантів, чи збереження пароля, заданого за замовчуванням.

Як видно окрім ботнета з маршрутизаторів створеного для проведення секюріті досліджень, також створюють такі ботнети для проведення DDoS та інших атак. Про уразливі маршрутизатори та інші мережеві пристрої і про можливості використання їх для атак (в тому числі створення ботнетів) я писав на протязі багатьох років.

У квітні, 02.04.2013, вийшов Mozilla Firefox 20. Нова версія браузера вийшла через півтора місяця після виходу Firefox 19.

Mozilla офіційно випустила реліз веб-браузера Firefox 20, а також мобільну версію Firefox 20 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 21 намічений на 14 травня, а Firefox 22 на 25 червня. Також був випущений Seamonkey 2.17.

Одночасно з Firefox 20 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.5 і Thunderbird 17.0.5.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 20.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 20 (деталі)

В підсумках хакерської активності в Уанеті в 2 півріччі 2012 я зазначав, що всього за цей період я виявив 105 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Besthosting, BitterNet, CloudFlare, Colocall, Compubyte Limited, DCKIEVUA, Delta-X, Freehost, Goodnet, Hetzner, Host VDS, HostLife, HostPro, Hosting.UA, Hvosting, Incapsula, Infocom, Inter-Telecom, Lan-Telecom, LeaseWeb, LuckyNet, Lux, MiroHost, ServerBeach, Smarty Media, SpaceWeb, SteepHost, TEST, TOP NET, Telegroup-Ukraine, Telepark, UA Servers, UARNet, Uadomen, Ukrainian Hosting, Ukrhosting, Unlim, Uplink, Valor, Vizor, Volia, Wnet, iomart Hosting, Візор, Пряма Мова.

Найбільші інфіковані хостери (TOP-10):

1. Freehost - 14 сайтів
2. Delta-X - 8 сайтів
3. Hetzner - 8 сайтів
4. Volia - 8 сайтів
5. Infocom - 5 сайтів
6. Wnet - 5 сайтів
7. Besthosting - 4 сайтів
8. Colocall - 3 сайтів
9. Compubyte Limited - 3 сайтів
10. MiroHost - 3 сайтів

Були виявлені хостінги всіх 105 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу я визначив хостерів під час виявлення цих інфікованих сайтів.

Сьогодні вийшла нова версія програми SQL Shell v.1.0.4. В новій версії:

• Додана підтримка User-Agent з опцію для її включення/виключення.
• Додана підтримка Content-Type з опцію для її включення/виключення.
• Виправлена помилка з символами коментарів.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.4.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumygfu.gov.ua (хакером OverDz) - 25.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dubno-adm.gov.ua (хакером misafir) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ecopsycholog.com (хакерами з aGa Hackers) - причому спочатку сайт 08.02.2013 був взломаний aGa Hackers, а починаючи з 04.03.2013 він вже взломаний A’Rui. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://panaboard.kiev.ua (хакером Pokk3rs) - 28.03.2013, зараз сайт вже виправлений адмінами
• http://outplace.kiev.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами