Sicurezza
5 bollettini di sicurezza relativi a vulnerabilita’ presenti nei sistemi operativi Windows
Si tratta di :Sicurezza
: Descrizione del problema
Microsoft ha rilasciato 5 bollettini di sicurezza relativi
a vulnerabilita’ presenti nei sistemi operativi Windows
e in altre applicazioni:
MS13-047 Aggiornamento cumulativo per la protezione di Internet Explorer (2838727)
MS13-048 Vulnerabilita’ in Windows Kernel (2839229)
MS13-049 Vulnerabilita’ nel Driver Kernel-Mode (2845690)
MS13-050 Vulnerabilita’ nei Componenti Print Spooler di Windows (2839894)
MS13-051 Vulnerabilita’ in Microsoft Office (2839571)
Maggiori dettagli sono disponibili nella segnalazioni ufficiali
alla sezione “Riferimenti”.
:: Software interessato
Microsoft Windows
Microsoft Internet Explorer
Microsoft Office
:: Impatto
Esposizione di informazioni sensibili
Attacco di tipo Denial of Service
Acquisizione di privilegi piu’ elevati
Esecuzione di codice in modalita’ remota
:: Soluzioni
Installare manualmente le patch indicate nei bollettini Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services, Systems Management Server.
:: Riferimenti
Riepilogo dei bollettini Microsoft sulla sicurezza – Giugno 2013
http://technet.microsoft.com/
Bollettini Microsoft sulla sicurezza
http://technet.microsoft.com/
http://technet.microsoft.com/
http://technet.microsoft.com/
http://technet.microsoft.com/
http://technet.microsoft.com/
Microsoft Knowledge Base
http://support.microsoft.com/
http://support.microsoft.com/
http://support.microsoft.com/
http://support.microsoft.com/
http://support.microsoft.com/
Microsoft Update
http://windowsupdate.
https://www.update.microsoft.
http://support.microsoft.com/
Mitre CVE
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
http://cve.mitre.org/cgi-bin/
SANS ISC Diary
http://isc.sans.edu/diary.
Important Security Update: Reset Your Drupal.org Password
The Drupal.org Security Team and Infrastructure Team has discovered unauthorized access to account information on Drupal.org and groups.drupal.org.
This access was accomplished via third-party software installed on the Drupal.org server infrastructure, and was not the result of a vulnerability within Drupal itself. This notice applies specifically to user account data stored on Drupal.org and groups.drupal.org, and not to sites running Drupal generally.
Information exposed includes usernames, email addresses, and country information, as well as hashed passwords. However, we are still investigating the incident and may learn about other types of information compromised, in which case we will notify you accordingly. As a precautionary measure, we’ve reset all Drupal.org account holder passwords and are requiring users to reset their passwords at their next login attempt. A user password can be changed at any time by taking the following steps.
- Go to https://drupal.org/user/password
- Enter your username or email address.
- Check your email and follow the link to enter a new password.
- It can take up to 15 minutes for the password reset email to arrive. If you do not receive the e-mail within 15 minutes, make sure to check your spam folder as well.
All Drupal.org passwords are both hashed and salted, although some older passwords on some subsites were not salted.
See below recommendations on additional measure that you can take to protect your personal information.
What happened?
Unauthorized access was made via third-party software installed on the Drupal.org server infrastructure, and was not the result of a vulnerability within Drupal itself. We have worked with the vendor to confirm it is a known vulnerability and has been publicly disclosed. We are still investigating and will share more detail when it is appropriate. Upon discovering the files during a security audit, we shut down the association.drupal.org website to mitigate any possible ongoing security issues related to the files. The Drupal Security Team then began forensic evaluations and discovered that user account information had been accessed via this vulnerability.
The suspicious files may have exposed profile information like username, email address, hashed password, and country. In addition to resetting your password on Drupal.org, we are also recommending a number of measures (below) for further protection of your information, including, among others, changing or resetting passwords on other sites where you may use similar passwords.
What are we doing about it?
We take security very seriously on Drupal.org. As attacks on high-profile sites (regardless of the software they are running) are common, we strive to continuously improve the security of all Drupal.org sites.
To that end, we have taken the following steps to secure the Drupal.org infrastructure:
- Staff at the OSU Open Source Lab (where Drupal.org is hosted) and the Drupal.org infrastructure teams rebuilt production, staging, and development webheads and GRSEC secure kernels were added to most servers
- We are scanning and have not found any additional malicious or dangerous files and we are making scanning a routine job in our process
- There are many subsites on Drupal.org including older sites for specific events. We created static archives of those sites.
We would also like to acknowledge that we are conducting an investigation into the incident, and we may not be able to immediately answer all of the questions you may have. However, we are committed to transparency and will report to the community once we have an investigation report.
If you find that any reason to believe that your information has been accessed by someone other than yourself, please contact the Drupal Association immediately by sending an email to password@association.drupal.org. We regret this occurred and want to assure you we are working hard to improve security.
Thank you,
Holly Ross
Drupal Association Executive Director
FAQ
What happened?
The Drupal.org Security Team and Infrastructure Team has identified unauthorized access to user information on Drupal.org and groups.drupal.org, which occured via third-party software installed on the Drupal.org server infrastructure.
What information of mine was exposed?
The information includes username, email address, hashed passwords, and country for some users. However, we are still investigating the incident and may learn about other types of information compromised, in which case we will notify you accordingly.
Was my credit card information exposed?
We do not store credit card information on our site and have uncovered no evidence that card numbers may have been intercepted. However, we are still investigating the incident and may learn about other types of information compromised, in which case we will notify you accordingly.
Were projects or hosted drupal.org code altered?
We have no evidence to suggest that an unauthorized user modified Drupal core or any contributed projects or packages on Drupal.org. Software distributed on Drupal.org is open source and bundled from publicly accessible repositories with log histories and access controls.
Does this affect my own Drupal site?
This notice applies specifically to user account data stored on Drupal.org and groups.drupal.org, and not to sites running Drupal generally. However, we recommend that you follow best practices and follow any security notices from Drupal.org or third party integrations to keep your site safe. Resources include the following sites:
- https://drupal.org/security
- https://drupal.org/writing-secure-code
- https://drupal.org/security/secure-configuration
How did the access happen?
Unauthorized access was made via third-party software installed on the Drupal.org server infrastructure, and was not the result of a vulnerability within Drupal itself. We have worked with the vendor to confirm it is a known vulnerability and has been publicly disclosed. We are still investigating and will share more detail when it is appropriate.
What has been done to prevent this type of unauthorized access in the future?
There have been several infrastructure and application changes including:
- Open Source Lab, the group that hosts the servers for Drupal and infrastructure teams rebuilt production, staging, and development webheads
- GRSEC secure kernels were added to most servers
- An anti-virus scanner was run over file servers, and run routinely to detect malicious files being uploaded to the Drupal.org servers.
- We hardened our Apache web server configurations
- We made static archives of any site that has been end-of-lifed and will not be updated in the future
- Sites that were no longer going to receive feature or content updates were converted to static copies to minimize maintenance.
- We removed old passwords on sub-sites and non-production installations
Do you have any information about the identity of the person or group who did this?
At this point there is no information to share.
What is the security team doing to investigate the unauthorized access?
We have a forensics team made up of both Drupal Association staff and trusted community volunteers who are security experts working on the issue around the clock.
How is my Drupal.org password protected?
Passwords on Drupal.org are stored in a hashed format. Currently, passwords are both hashed and salted using multiple rounds of hashing (based on PHPass). Passwords on some subsites were not salted.
Who maintains the Drupal.org site?
The Drupal Association is responsible for maintaining the site, with the assistance of many trusted Drupal community volunteers.
What else can I do to protect myself?
First, we recommend as a precaution that you change or reset passwords on other sites where you may use similar passwords, even though all passwords on Drupal.org are salted and hashed. Some older passwords on some subsites were not salted. To make your password more secure:
- Do not use passwords that are simple words or phrases
- Never use the same password on multiple sites or services
- Use different types of characters in your password (uppercase letters, lowercase letters, numbers, and symbols).
Second, be cautious if you receive e-mails asking for your personal information and be on the lookout for unwanted spam. It is not our practice to request personal information by e-mail. Also, beware of emails that threaten to close your account if you do not take the “immediate action” of providing personal information.
Although we do not store credit card information, as a precaution we recommend you closely monitor your financial accounts if you made a transaction on association.drupal.org or if you use a password with your fianancial institution that is similar to your Drupal.org password. If you see unauthorized activity (in the U.S.), we also suggest that you submit a complaint with the Federal Trade Commission (“FTC”) by calling 1-877-ID-THEFT (1-877-438-4338).
Based on the results of the investigation into this incident, we may update the FAQs and may recommend additional measures for protecting your personal information.
Vulnerabilita’ 0-day in Microsoft XML Core Services
:: Descrizione:
E’ stata riportata una vulnerabilita’ in Microsoft XML Core Services, che potrebbe essere sfruttata da malintenzionati per compromettere un sistema che ne sia affetto.
La vulnerabilita’ e’ causata da un errore durante il tentativo di accesso ad un oggetto in memoria che non e’ stato inizializzato.
Lo sfruttamento permette l’esecuzione di codice arbitrario, ad esempio, inducendo l’utente a visualizzare pagine web malevole in Internet Explorer.
La vulnerabilita’ e’ riportata come 0-day e risulta essere attivamente sfruttata.
:: Software interessato:
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft XML Core Services (MSXML) versioni dalla 3.x alla 6.X
:: Impatto:
Accesso remoto al sistema
Esecuzione di codice arbitrario
:: Soluzioni:
Applicare il Fix it rilasciato da Microsoft:
http://support.microsoft.com/kb/2719615
:: Riferimenti:
Microsoft:
http://technet.microsoft.com/en-us/security/advisory/2719615
Secunia:
http://secunia.com/advisories/49456/
Mitre CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1889
Vulnerabili tutte le versioni attualmente supportate di Microsoft Windows
Si tratta di :Sicurezza
Per la serie le magie di windows… è possibile emettere certificati Microsoft “autentici” per firmare codice illegittimo.. senza patch siete fregati !
http://technet.microsoft.com/
en-us/security/advisory/271870 4
Microsoft ha rilasciato l’avviso di sicurezza “Microsoft
Security Advisory (2718704)” in cui informa che i certificati
rilasciati tramite il servizio Microsoft Terminal Services
licensing certificate authority (CA) possono essere usati
abusivamente per firmare codice illegittimo.
La vulnerabilita’ e’ stata scoperta all’interno del malware
Flame in cui alcune parti di codice sono state firmate con un
certificato apparentemente legittimo rilasciato da una CA
Microsoft autentica e attendibile.
Grazie a questa vulnerabilita’ un attaccante puo’ ottenere un certificato valido per firmare software illegittimo e farlo apparire come rilasciato da Microsoft.
Per risolvere il problema Microsoft ha rilasciato un aggiornamento che rimuove la fiducia ai certificati root delle seguenti CA:
Certificate: Microsoft Enforced Licensing Intermediate PCA
Issued by: Microsoft Root Authority
Thumbprint: 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Certificate: Microsoft Enforced Licensing Intermediate PCA
Issued by: Microsoft Root Authority
Thumbprint: 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Certificate: Microsoft Enforced Licensing Registration Authority CA (SHA1)
Issued by: Microsoft Root Certificate Authority
Thumbprint: fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97
Per una descrizione completa delle vulnerabilita’ si rimanda
alla sezione “Riferimenti”.
:: Software interessato
Tutte le versioni attualmente supportate di Microsoft Windows:
Windows XP and Server 2003
Windows Vista and Server 2008
Windows 7 and Server 2008 R2
Windows 8 Consumer Preview
Windows Mobile and Phone
:: Impatto
Emissione di certificati Microsoft autentici per firmare codice
illegittimo.
Rilascio di software malevolo apparentemente firmato da una
catena di certificazione Microsoft valida e attendibile
:: Soluzioni
Revocare i certificati compromessi attuando gli aggiornamenti
proposti nell’avviso Microsoft.
Gli aggiornamenti sono anche disponibili anche tramite l’aggiornamento automatico dei sistemi Windows e Windows Server Update Services (WSUS).
E’ inoltre possibile aggiungere manualmente i certificati compromessi allo store degli “Untrusted Certificate” usando la MMC (snap-in dei certificati) e l’utilita’ a riga di comando Certutil presente nei sistemi operativi Windows.
:: Riferimenti
Microsoft Security Advisory (2718704)
http://technet.microsoft.com/
Unauthorized digital certificates could allow spoofing
http://support.microsoft.com/
US-CERT Alert (TA12-156A)
http://www.us-cert.gov/cas/te
How to: View Certificates with the MMC Snap-in
http://msdn.microsoft.com/en-
Vulnerabilita’ in OpenSSL
Si tratta di :Sicurezza
Sono
state rilasciate nuove versioni di OpenSSL che risolvono 6 vulnerabila’ presenti nel software:
DTLS Plaintext Recovery Attack (CVE-2011-4108)
Double-free in Policy Checks (CVE-2011-4109)
Uninitialized SSL 3.0 Padding (CVE-2011-4576)
Malformed RFC 3779 Data Can Cause Assertion Failures (CVE-2011-4577)
SGC Restart DoS Attack (CVE-2011-4619)
Invalid GOST parameters DoS Attack (CVE-2012-0027)
:: Software interessato
OpenSSL versioni precedenti alla 0.9.8s
OpenSSL versioni precedenti alla 1.0.0f
:: Impatto
Denial of Service
Esecuzione remota di codice arbitrario
Rivelazione di informazioni sensibili
:: Soluzioni
Aggiornare OpenSSL
alla versione 0.9.8s o alla versione 1.0.0f
http://openssl.org/source/
Mac Osx una mela brucata nella tempesta tsunami tra malware, trojan backdoor e SEO poisoning attack
Si tratta di :Sicurezza
Il sistema operativo Mac si è dimostratio negli anni, un esempio commerciale della potenza mediatica delle corporation,
avrete certamente letto le dichiarazioni di Richard Stallman di Linux e della Community legata a Linux e allo sviluppo del software in modalità open source linux based.
Cosa significa per i linuxiani il mondo mac ? che impatto ha la mela nelle loro vite ? nulla, meno di zero ! il sistema osx è come una mela ovvero una palla tonda che rotola
rotole e avvolge tutti inconsapevolmente in una realtà fatta di gabbie dorate.
I ricercatori eset e quelli di sophos nella loro attività volta al monitoraggio della rete e dei fenomeni che la circondano hanno scovato la presenza di una backdoor che deriva da
Una vecchia backdoor di Linux, trasportata su Mac OS attraverso un porting, tale tecnica è stata rielaborata per creare un nuovo trojan chiamato OSX/Tsunami-A.
Questo malware sfrutta una variante di Troj/Kaiten, un trojan per Linux progettato per inserirsi in un computer e rimanere collegato a un canale IRC in attesa di istruzioni.
che impatto potrebbe avere ? semplice avere a portata di mano intere reti di computer per lanciare attacchi su larga scala. Chi potrebbe avere interesse a diffondere tale virus nei sitemi mac ?
Probabilmente pirati informatici che hanno la necessità di creare un esercito di computer necessario a lanciare ciber attacchi ad obbiettivi sensibili.
“Tipicamente del codice come questo è usato per radunare i computer compromessi in un attacco DDoS (Distributed Denial of Service) contro un sito web” scrive infatti Graham Clueley sul blog Naked Security di Sophos. Questo tipo di attacco può essere una dimostrazione fine a sé stessa, oppure lo strumento per penetrare delle difese di un certo sito per poi compiere altre azioni, che vanno dal defacing al furto d’informazioni. OSX/Tsunami tuttavia è più complesso, perché può eseguire diverse istruzioni oltre al citato attacco DDoS, tra cui l’accesso diretto ai contenuti del computer infetto.
Non è chiaro tuttavia in che modo Tsunami possa finire su un sistema Mac OS. È certamente possibile nel caso di un accesso fisico al computer, ma non è detto che una buona operazione di social engineering non riesca convincere gli utenti meno smaliziati a installare software pericoloso. Che significa ? si potrebbe tentare di indurre l’utente ad installare questo malware in diversi modi, primo fra tutti si potrebbe utilizzare la tecnica del SEO poisoning attack ( sfruttare siti ben piazzati nei motori di ricerca per diffondere il malware su larga scala).
Ma questo è già avvenuto nel mondo mac ricorderete Macdefender che nel maggio 2011 mutò il nome in Mac Guard per infiltrare la sua payload nel sistema target….
ma come avveniva ? il file avSetup.pkg scaricato inconsapevolmente veniva eseguito, questo falso antivirus, non chiede la password di amministratore, viene installato nella cartella Applicazioni. un downloader chiamato avRunner, che si avvia automaticamente. Allo stesso tempo, il pacchetto di installazione si cancella non lasciando alcuna traccia del programma di installazione originale.
il finto antivirus veniva scaricato con l’applicazione avRunner da un indirizzo IP (nascosto con tecniche steganografiche), Sullo schermo dell utente colpito cominceranno ad apparire pop-up pornografici e di un software per la rimozione delle infezioni in versione premium da acquistare tramite carta di credito, in modo da spingere l’utente a fornire i dati da sottrarre.
Ma tornando a Tsunami per il momento non rappresenta un pericolo per gli utenti Mac, anche perché dev’essere ancora analizzato a fondo.
Che dire del trojan persistente Flashback.c propoposto come finto aggiornamento di sicurezza che è in grado di installarsi in modo eprsistente su osx ??
Il consiglio che potrei dare è quello di non affidarsi ciecamente alle “prodezze” e agli spot commerciali.. poichè non è poi così difficile ottenere l’accesso delle credenziali di accesso tramite script dell’ultima versione di osx specialmente se upgradato… 
Quindi Tsunami è senza dubbio una ragione d’interesse per tutti gli esperti di sicurezza e di sistemi operativi, perché è il primo malware per Mac OS X che sfrutta una falla derivata dai sistemi *nix (Mac OS è infatti basato su Unix).
|
