Il team Italiano di BackTrack ha recentemente trovato un exploit 0Day per Mozilla Firefox, il quale prevede un Remote Denial of Service.

Dopo il salto il codice dell’exploit…

Continua a leggere

Grazie al nostro lettore Frank siamo in grado di dimostrarvi tramite un bellissimo video l’esecuzione dell’exploit DLL Hijack.

Il video si scompone principalmente in due parti, nel primo caso viene eseguito un semplice file .html associato al Browser Mozilla Firefox che al lancio richiama una DLL invisibile contenente un malware che infetterà il pc rendendolo un client e collegandosi al server RAT schwarze sonne, prendendo così pieno possesso del PC della vittima.

Importante notare in questa prima parte del video due dettagli:

  • Viene usata l’ultima versione di Mozilla Firefox (3.6.8); ancora oggi dopo circa 20gg dal ritrovamento di tale falla non è stata rilasciata una versione del Browser che risolva la problematica.
  • La DLL è stata resa invisibile, di default nessun sistema Windows rende visibili i file nascosti; questa caratteristica rende ancora più vulnerabile il pc della vittima.

Nella seconda parte del video viene sfruttata la medesima tecnica però cambiando il software di “lancio” della DLL sfruttando il lettore multimediale VLC.

Lo scorso Agosto vi avevo introdotto la nuova tecnica di DLL Hikacking in questo articolo, ma stanotte mi sono imbattuto in un interessante articolo di Bruno Filipe che dimostra come può essere sfruttata tale tecnica nella realtà!

Utilizzando una cartella condivisa su un server SMB / WebDav

Questa è forse la tecnica più comune di come il dll hijack  viene sfruttato, sicuramente perché può essere sfruttata da remoto.  Esiste già un modulo per Metasploit che utilizza questa tecnica. Esso prevede l’inserimento in una cartella condivisa di una DLL infetta e di un file pulito con l’obbiettivo di far aprire al target il file pulito. All’appertura del file pulito realmente viene caricata la DLL infetta che procede ad installare un malware/trojan sul PC della vittima.

Un archivio compresso (. zip, . tar.gz, . rar, ecc ecc)

Questa tecnica prevede l’inserimento in un archivio di un gruppo di file più una DLL, l’obbiettivo sarà quello di far estrarre l’intero contenuto dell’archivio e procedere all’appertura di un file “pulito” che provvederà a richiamare la DLL infetta contenuta nell’archivio.

Torrent

Sicuramentr questa tecnica ha il vantaggio di avere una diffusione su grande scala pertanto è da considerarsi veramente dannosa, il principio si basa sulla precedente tecnica dell’archivio ma grazie alla difffusione dei Torrent e di un minimo di Social Engineering sarà possibile ottenere un grande numero di bersagli.

Ipotizziamo di distribuire sul canale Torrent l’ultimo album di Shakira (sicuramente richiestissimo), ovviamente l’archivio non conterrà esclusivamente l’album ma anche la DLL infetta. L’utente una volta completato il download dell’ablum provvederà ad estrarlo ed ad ascoltare l’album…ed ecco che viene caricata la DLL.

Multi Exploiting DLL Hijack

Questa tecnica prevede l’inserimento di più DLL infette all’interno di una risorsa condivisa, un archivio o un torrent in modo da aumentare notevolmente le possibilità di attaccare la vittima.

Prendendo spunto dal precedente esempio dell’album di Shakira non possiamo avere una certezza di quale player multimediale utilizza la vittima per riprodurre gli mp3 per cui inseriremo all’interno dell’archivio contenente l’album più DLL infette (ognuna per ogni lettore multimediale) dandoci così la possibilità di incrementare il buon esito dell’attacco.

Questo post ha l’intenzione di spiegare ed illustrare la vulnerabilità del DLL Load Hijacking scoperta la scorsa settimana dalla società di sicurezza Acros che imputava la falla esclusivamente ad iTunes ma poi si è scoperto essere un problema nettamente più diffuso a tutti i software che hanno interazioni con le libreria dinamiche DLL.

Microsoft ha rilasciato il Security Advisory (2269637) lo scorso 23 Agosto 2010 e conferma l’esistenza della vulnerabilità e specifica che sono soggette esclusivamente le applicazioni che non caricano le librerie esterne in modo sicuro secondo le loro linee guide disponibili in questo articolo di MSDN, Dynamic-Link Library Security.

La vulnerabilità viene attivata quando viene aperto un determinato tipo di file all’interno di una directory gestita dall’attaccante, la directory può essere su un chiavetta USB, all’interno di un archivio oppure in una condivisione di rete (SMB). Per far attivare l’exploit l’utente, nella maggior parte dei casi, dovrà accedere alla directory e quindi aprire il file. Il file aperto dall’utente sarà sicuramente innocuo ma avrà il compito di avviare l’applicazione “difettosa” che andrà a recuperare dal percorso remoto le DLL malevoli contenenti malware, trojan, ecc ecc.

In pratica, questa falla può essere sfruttata inviando all’utente bersaglio un link ad una condivisione remota contenente uno o più file innocui, ma realmente l’apertura di essi porterà al caricamento di DLL infette a causa di una errata gestione delle DLL del programma associato al file.

Prendendo in esame iTunes, che si associa automaticamente a diversi file multimediali (mp3,waw, ecc ecc), e ciascuno di questi comporta l’esistenza di una DLL all’interno della directory dell’applicazione l”utente potrebbe essere tratto in inganno fornendogli una directory remota piena di contenuti multimediali, del tipo \…\server\film\.

Se l’utente tenta di aprire qualsiasi file contenuto nella directory \film\, iTunes caricherà sicuramente il film ma cercherà nella medesima directory una eventuale DLL per il caricamento del video senza considerare le DLL originali contenute nella cartella di installazione “\iTunes”. Se l’attaccante ha fornito una DLL compatibile per il caricamento del film iTunes provvederà ad aprirla ed automaticamente infetterà il PC dell’utente se quest’ultima contiene codice malevolo.

Il team di metasploit ha già sviluppato il kit DLLHijackAuditKit in grado di analizzare ogni applicazione e determinare se è afflitta da tale vulnerabilità, ed in pochi giorni ha già raggiunto la seconda versione, tale applicativo può essere scaricamento tramite questo collegamento.

Il funzionamento di tale KIT è spiegato sul blog ufficiale di MetaSploit ma contiamo di crearvi una guida in Italiano a breve.

Fonti:

TheLeader ha recentemente scoperto una vulnerabilità in Windows Live Messenger che permetterebbe la chiusura dell’applicazione a seguito dell’invio di un messaggio contenente un alto numero di Smile!

Probabilmente il “crollo” è dovuto al grande utilizzo da parte di Messenger di memoria e CPU e lo porterebbero a non dare più alcuna risposta, l’exploit infatti prevede l’invidio di almeno 500 smiles in un unico messaggio.

E’ possibile visionare l’exploit sull’ormai famoso Exploit-DB.

THC-IPV6 è un set completo di strumenti in grado di attaccare le debolezze intrinseche del protocollo IPv6 e ICMP6, tale tool nato nel 2007 in relase privata ha raggiunto a Giugno 2010 la versione 1.1 ed è stata ufficializzata dai propri creatori.

Vi sono principalmente due limiti tecnici in quanto viene richiesto Linux 2.6 ed un sistema a 32Bit.

E’ possibile scaricare il tool THC-ipv6-1.2.tar.gz  qui per chi invece fosse interessato a maggiori informazioni può visitare il sito internet del progetto qui.

Dopo il salto tutte le caratteristiche del Tool Kit…

Continua a leggere

Pouya Daneshmand, di Exploit-DB ha reso noto un exploit che affligge il Browser Opera provocando un Denial of Service a seguito del richiamo dell’elemento “canvas”.

Il codice, scritto in HTML, è reperibile dopo il salto…

Continua a leggere

Ubiquiti,

ha recentemente pubblicato in versione Beta il Link Calculator in grado di calcolare la fattibilità di un determinato link a 2,4Ghz o 5Ghz.

Il tool permette di selezionare l’apparato prestabilito per creare il collegamento, la distanza, l’altezza dal suolo e il livello di rumore ed in base a questi dati fornirà il responso se è possibile o meno stabilire il collegamento.

Il risultato viene esposto su tre scale:

  • GOOD
  • MARGINAL
  • OBSTRUCTED

ovviamente il primo risultato (GOOD) rappresentato da una colorazione verde conferma l’affidabilità del link, nel caso del secondo risultato (MARGINAL) rappresentato dalla colorazione arancione ci avvisa che siamo al limite dell’affidabilità e per ultimo (OBSTRUCTED) rappresentato dalla colorazione rossa ci informa che non sarà possibile creare il collegamento richiesto.

E’ possibile accedere al Tool direttamente a questo link.

Un recentissimo exploit divulgato da Soroush Dalili tramite exploit-db permetterebbe di bypassare l’autenticazione di accesso ad un percorso protetto tramite il semplice inserimento della seguente stringa nell’url:

:$i30:$INDEX_ALLOCATION

L’exploit affligge Microsoft Internet Information Services  (IIS) nella versione 5, installata di default sui serve con Windows 2000.

Al seguente indirizzo possiamo trovare un PDF con le complete istruzioni.

Emanuele Gentili, nome in codice emgent,  ha recentemente diffuso un exploit per la piattaforma Air OS installata sui dispositivi Wireless della Ubiquiti il quale permetterebbe la visualizzazione di dati sensibili (password, chiavi wireless, ecc ecc) tramite l’accesso da un semplice utente “ospite”.

Possiamo verificare quanto affermato da emgent dall’immagine sovrastante che impressiona la password admin del dispositivo in uso, la password fortunatamente non è in chiaro ma è il risultato di una funzione interna crittografica.

Dopo il salto troverete l’exploit…

Continua a leggere