Vulnerabilita’ in Microsoft Excel (956416)

Inserito da 21 Ottobre, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Questo aggiornamento di sicurezza risolve tre vulnerabilita’
relative a Microsoft Office Excel.

Le vulnerabilita’ consentono l’esecuzione remota di codice arbitrario
se un attaccante apre file di Excel appositamente predisposti.
Un attaccante che sia riuscito a sfruttare queste vulnerabilita’
potrebbe ottenere il controllo completo del sistema.

:: Software e Sistemi affetti

Microsoft Office 2000 SP3

Microsoft Office XP SP3

Microsoft Office 2003 SP2
Microsoft Office 2003 SP3

2007 Microsoft Office System
2007 Microsoft Office System SP1

Microsoft Office Excel Viewer

Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 SP3

Microsoft Office Compatibility Pack
Microsoft Office Compatibility Pack SP1

Microsoft Office SharePoint Server 2007
Microsoft Office SharePoint Server 2007 SP1
Microsoft Office SharePoint Server 2007 x64
Microsoft Office SharePoint Server 2007 x64 SP1

Microsoft Office 2004 per Mac

Microsoft Office 2008 per Mac

Open XML File Format Converter per Mac

:: Impatto

Esecuzione remota di codice arbritario

:: Soluzioni

Applicare la patch segnalata nel bollettino Microsoft MS08-057
http://www.microsoft.com/technet/security/bulletin/ms08-057.mspx

:: Riferimenti

Microsoft Security Bulletin MS08-057
http://www.microsoft.com/technet/security/bulletin/ms08-059.mspx

FrSirt:
http://www.frsirt.com/english/advisories/2008/2808

Secunia:
http://secunia.com/advisories/32211/

SecurityFocus:
http://www.securityfocus.com/bid/31705

CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3477
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3471
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4019

Categories : Sicurezza Tags : , , , , , , , , , , , , ,

Vulnerabilita’ in Microsoft Excel (MS08-043)

Inserito da 13 Agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

Description:

Sono state riscontrate multiple vulnerabilita’ in Microsoft Excel, che
potrebbero essere sfruttate per ottenere informazioni sensibili o per
compromettere un sistema che ne sia affetto.

La prima vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di valori index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.

La seconda vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di un array index mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.

La terza vulnerabilita’ e’ dovuta ad un errore di corruzione della memoria
durante l’elaborazione di valori record mentre file Excel vengono caricati in
memoria, e potrebbe essere sfruttata per eseguire codice arbitrario.

La quarta vulnerabilita’ e’ dovuta alla non appropriata eliminazione della
stringa password da parte di Excel quando il file “.xlsx” viene configurato
per non registrare le credenziali, e potrebbe essere sfruttata per ottenere
l’accesso a dati protetti da password su una sorgente di dati remota.

:: Impatto

– – accesso ad informazioni sensibili

:: Soluzioni

Applicare le patch

Excel 2000 SP3:
http://www.microsoft.com

Excel 2002 SP3:
http://www.microsoft.com

Excel 2003 SP2:
http://www.microsoft.com

Excel 2003 SP3:
http://www.microsoft.com

Excel 2007:
http://www.microsoft.com

Excel 2007 SP1:
http://www.microsoft.com

Microsoft Office Excel Viewer 2003:
http://www.microsoft.com

Microsoft Office Excel Viewer 2003 SP3:
http://www.microsoft.com

Microsoft Office Excel Viewer:
http://www.microsoft.com

Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats:
http://www.microsoft.com

Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007 File Formats SP1:
http://www.microsoft.com

Microsoft Office 2004 per Mac:
http://www.microsoft.com

Microsoft Office 2008 per Mac:
http://www.microsoft.com

:: Riferimenti

Microsoft:
http://www.microsoft.com

Secunia:
http://secunia.com

FrSirt:
http://www.frsirt.com

CVE Mitre:
CVE-2008-3003
CVE-2008-3004
CVE-2008-3005
CVE-2008-3006

Categories : Exploits,Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Alert GCSA-08023 – MS08-014 Vulnerabilita’ in Microsoft Excel (949029)

Inserito da 12 Marzo, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Sono stati individuati vari bug in Excel che potrebbero causare
errori di corruzione della memoria durante l’elaborazione di
documenti contenenti dati malformati (per esempio Style Record,
Formule, Rich Text, o Macro). Un agressore puo’ sfruttarli
inducendo l’utente ad aprire file artefatti.

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Intrusion Detection System: Honeypot

Inserito da 3 Novembre, 2007 (0) Commenti

Si tratta di :Sicurezza

Intrusion Detection System: Honeypot

di Cristian Ceroni

Gli IDS (Intrusion Detection System) funzionano in rapporto a tre premesse:

-dove controllare
-cosa controllare
-che cosa fare

Un IDS dispone infatti di una speciale implementazione del protocollo TCP/IP, ed è possibile compiere questa operazione in diversi modi:
-ricostruzione del flusso di comunicazione
-analisi del protocollo
-rilevazione delle anomalie
-corrispondenza a signature e schemi
-analisi delle registrazioni (acquisizione dei pacchetti non autorizzati e ricostruzione della sessione)

Se si vuole prendere in considerazione un’azione effettiva contro gli aggressori, l’utilizzo degli honeypot è essenziale.

Un Honeypot è un sistema di computer estremamente flessibile su internet, che viene adattato per fungere da strumento di sicurezza, volutamente configurato per attirare ed intrappolare chi tenta di penetrare nei sistemi attraverso indagini, analisi e intrusioni. I soggetti presi di mira sono gli attacker, cracker e script kiddie.

Ovviamente gli honeypot non risolvono il problema sicurezza. Vengono infatti usati per fuorviare, rilevare attacchi e compromissioni all’interno di un’architettura di rete.

Il loro scopo è di sembrare ciò che in realtà non sono.
Oltre queste caratteristiche, gli HP distraggono gli aggressori da risorse di importanti all’interno del sistema.

Scopo e struttura degli HP rientrano in due categorie:

-HP di ricerca difficili da mantenere, vengono utilizzati prevalentemente per attività di ricerca di organizzazioni militari e governative
-HP di produzione, utilizzate da società che hanno come scopo lo sviluppo della sicurezza delle reti

Identificare le intrusioni permette di individuare i c.d. security incidents, in modo tale da garantire una risposta immediata.

Da ricordare, però, che gli HP non possono svolgere il compito di meccanismo preventivo, in quanto, la sua attività (da cui il nome “vaso di miele”) consiste nell’essere compromessa da intrusi, in modo tale da capire le modalità di attacco, le tipologie di strumenti usati, e le loro finalità.

Tra gli aspetti positivi da ricondurre all’utilizzo di HP come strumento di IDS, sono il basso valore di falsi positivi e falsi negativi (in quanto chi accede ad una honeypot, non lo fa per caso), e la semplicità di utilizzo degli stessi.

Il livello di interazione determina la quantità di funzioni che un honeypot può fornire: più funzioni sono presenti, più informazioni si potranno ottenere da un attacco.

Proporzionalmente però, aumentano anche i rischi derivanti da un ottenimento del controllo root della macchina da parte dell’intruso, e il conseguente invio di attacchi dalla direzione dell’honeypot.

Tra le altre tipologie di applicazione troviamo:

Honeyd.
È un honeypot open source sviluppato da Niels Provos. È in grado di simulare più di 500 s.o. (compresi differenti versioni e s.p.), oltre che servizi TCP piuttosto che scripts in Perl o servizi provati (sebbene però non emuli UDP: la porta resta aperta).
Può simultaneamente assumere indirizzi IP di centinaia di vittime (Honeytokens.
Glil honeypot non debbono essere obbligatoriamente delle macchine.
Un honeytokens può essere un numero di carta di credito, un documento excel, una presentazione in ppt. Come un honeypot non ha un autorizzazione al suo utilizzo, lo stesso vale per gli honeytokens.
Prelevando questi file quindi, permette di individuare accessi non autorizzati al sistema.

Honeynets.
Rappresentano un’estensione di un honeypot, ovvero un’architettura multi-system in grado di emulare un fake network.
La tipologia network permette di ottenere diversi vantaggi rispetto gli honeypot, come il maggiore realismo, i molteplici punti di attacco forniti all’attacker.
Qualora un attacker individui la honeynet, si rende conto di essere entrato in un sistema fittizio.
Ma l’attacker può exploitare l’honeypot, e questo rappresenta un rischio di elevata interazione con il sistema, da cui potrebbero anche partire attacchi verso altre macchine.

Honeypot e sviluppi forensi.
Se il sistema è stato compromesso, si possono individuare:

-chi ha eseguito l’attacco
-cosa ha fatto: individuare il livello di penetrazione
-in che modo lo ha fatto; tools utilizzati
-quando; rilevazione data ora dell’intrusione per incrocio dati
-perché (spesso in questi casi non c’è risposta)

Rilevata un’intrusione cosa occorre fare?

In genere, è opportuno lasciarlo operare, osservandolo con Sebek, sniffers e loggando i suoi movimenti, e freezare la macchina appena ci si rende conto di essere sul punto di perdere il controllo root della macchina.

Se si vuole preservare le prove, bisogna cercare di mantenerle intatte, in ogni modo.

Occorre non modificare il filesystem; lavorare su copie forensicamente sicure (streambit copy, md5), ed utilizzare Linux come supporto per il filesystem.

Usare vmware per bootare altri OS, ma mai lasciare che Windows monti l’immagine (distruggerebbe le timestamps: quindi meglio condividerle con Samba).

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,