Архів за Грудень, 2013

З Новим Роком!

23:49 31.12.2013

Наближається 2014 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам ;-) .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати мою нову композицію Look into the future:

DDoS attacks via other sites execution tool

22:38 31.12.2013

У грудні, 31.12.2013, вийшла нова версія програми DAVOSET v.1.1.5. Це новорічний випуск 8-) . В новій версії:

  • Додав обробник помилок в GetCookie().
  • Додав нові сервіси в списки зомбі.
  • Прибрав непрацюючі сервіси зі списків зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.5.rar.

Новини: викрадення 40 млн. карток, атака на мікроконтролери та трафік на веб сайтах

20:24 31.12.2013

За повідомленням www.xakep.ru, викрадені з сайта Target кредитні карти продаються на чорному ринку.

Найбільша американська мережа магазинів Target підтвердила факт взлому і крадіжки банківських карток покупців. У відкритий доступ пішла інформація приблизно про 40 млн. банківських карток. Взлом стався між 27 листопада і 15 грудня, повідомили офіційні особи. Виходить, що хакери почали знімати інформацію про банківські картки приблизно після “чорної п’ятниці”, коли американці в масовому порядку йдуть у магазини за покупками і подарунками до різдвяних свят.

Говорять, що знімання інформації здійснювалося через 40000 пристроїв для зчитування карт. Зловмисники умудрилися модифікувати код програмного забезпечення, що керує платіжними терміналами.

За повідомленням www.opennet.ru, представлено техніку атаки на мікроконтролери, вбудовані в MicroSD-карти.

На тридцятій конференції Chaos Communication Congress (30C3), що пройшла нещодавно, представлений звіт про експеримент по модифікації прошивки мікроконтролерів, вбудованих у карти пам’яті MicroSD. Заміна прошивки на карті пам’яті цікава потенційною можливістю вбудовування бекдора, що може контролювати потоки даних і при необхідності впливати на них.

За повідомленням www.xakep.ru, боти генерують 61,5% трафіку на веб сайтах.

Дослідження аналітичної компанії Incapsula свідчить про значне збільшення трафіку ботів у 2013 році. Вони обігнали людей по частоті заходів на сайти ще торік (51%), але зараз їхня перевага виросла до 61,5%.

При цьому з трафіку аж 20,5% приходиться на інструменти для DDoS-атак, що віднесені в категорію “Impersonators”. Зазначу, що мій інструмент DAVOSET не атакує веб сайти напряму, а робить це через сайти-зомбі (тому Incapsula в своїх дослідженнях не зможе його виявити).

Виконання коду в Internet Explorer

16:10 31.12.2013

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-069 Microsoft Internet Explorer CCaret Use After Free

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 6, 7, 8, 9 і 10. Використовується експлоіт для проведення атаки на уразливість в Internet Explorer (показано на прикладі IE8) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

CSRF, XSS та Redirector уразливості в IBM Lotus Notes Traveler

23:53 30.12.2013

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в Lotus Notes Traveler, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Раніше я писав про BF, XSS, CSRF та Redirector уразливості в IBM Lotus Notes Traveler.

Про ці уразливості я повідомив розробникам системи в грудні 2012. Вони аналогічні CSRF, XSS та Redirector уразливостям в IBM Lotus Domino, тому що логін-форма базується на функціоналі Domino.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/servlet/traveler) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler Redirector.html

Уразливі IBM Lotus Notes Traveler 8.5.3 та попередні версії. Як повідомили мені з IBM в грудні, вони виправили уразливості (зокрема XSS і Redirector) в патчі для Domino 9.0, що вийшла 14.03.2013.

До оновлення на нову версію всі користувачі вразливих версій Lotus Notes Traveler вразливі до даних атак. Але я пропоную обхідне рішення, яке можна використати для попередніх версій програми. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

П’ятий масовий взлом сайтів на сервері Freehost

22:49 30.12.2013

В період з 09.11.2013 по 10.11.2013 відбувся новий масовий взлом сайтів на сервері Freehost. Четвертий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом складався з двох дефейсів. Дефейси відбулися після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 14 сайтів (причому всі державні) на сервері хостера Freehost (IP 178.20.152.159). Це наступні українські державні сайти: razd.dza.gov.ua, sim.dza.gov.ua, kir.dza.gov.ua, kerch.dza.gov.ua, bahch.dza.gov.ua, chern.dza.gov.ua, feo.dza.gov.ua, bel.dza.gov.ua, arm.dza.gov.ua, alushta.dza.gov.ua, yalta.dza.gov.ua, sak.dza.gov.ua, nizhn.dza.gov.ua, dzhan.dza.gov.ua.

З зазначених 14 сайтів 5 сайтів були взломані хакером SultanHaikal та 9 сайтів хакером Jje Incovers. Можливо хакери працювали у парі.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

P.S.

Вже 25.01.2014 на цьому сервері хакери з Bengkulu Hacker Team взломали державний сайт dza.gov.ua.

Численні уразливості в Mozilla Firefox, Thunderbird і Seamonkey

20:04 30.12.2013

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird і Seamonkey.

Уразливі продукти: Mozilla Firefox 25.0, Firefox ESR 24.1, Thunderbird 24.1, Seamonkey 2.22.

Численні пошкодження пам’яті, XSS, витік інформації, проблеми з перевіркою сертифікатів.

  • Mozilla Foundation Security Advisory 2013-104 (деталі)
  • Mozilla Foundation Security Advisory 2013-105 (деталі)
  • Mozilla Foundation Security Advisory 2013-106 (деталі)
  • Mozilla Foundation Security Advisory 2013-107 (деталі)
  • Mozilla Foundation Security Advisory 2013-108 (деталі)
  • Mozilla Foundation Security Advisory 2013-109 (деталі)
  • Mozilla Foundation Security Advisory 2013-110 (деталі)
  • Mozilla Foundation Security Advisory 2013-111 (деталі)
  • Mozilla Foundation Security Advisory 2013-112 (деталі)
  • Mozilla Foundation Security Advisory 2013-113 (деталі)
  • Mozilla Foundation Security Advisory 2013-114 (деталі)
  • Mozilla Foundation Security Advisory 2013-115 (деталі)
  • Mozilla Foundation Security Advisory 2013-116 (деталі)
  • Mozilla Foundation Security Advisory 2013-117 (деталі)

Добірка експлоітів

17:26 30.12.2013

В даній добірці експлоіти в веб додатках:

  • Personal File Share HTTP Server Remote Overflow Vulnerability Exploit (деталі)
  • Pentagram Cerberus P 6363 DSL Router - Multiple Vulnerabilities (деталі)
  • Synology DSM 4.3-3810 - Directory Traversal (деталі)
  • Apache Roller OGNL Injection Vulnerability (деталі)
  • Microsoft Internet Explorer COALineDashStyleArray Unsafe Memory Access (деталі)

Численні уразливості в Microsoft Exchange Server

23:55 28.12.2013

Виявлені численні уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, Exchange 2013.

Виконання коду в machine authentication check, міжсайтовий скриптінг, уразливості в компонентах Oracle.

  • Многочисленные уязвимости безопасности в Microsoft Exchange Server (деталі)

DDoS attacks via other sites execution tool

22:41 28.12.2013

У грудні, 03.12.2013, вийшла нова версія програми DAVOSET v.1.1.4. В новій версії:

  • Додав новий сервіс в повний список зомбі.
  • Прибрав непрацюючі сервіси зі списків зомбі.
  • Виправив баг з портом в двох функціях.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.4.rar.