Articoli

Tutto quello che devi sapere su ShellShock

Bash

La recente vulnerabilità ShellShock (CVE-2014-6271) sta scatenando il putiferio su Web, si il putiferio, perchè si legge ogni genere di informazioni! I terroristi, gli hacker, gli smanettoni e chi più ne ha più ne metta potrebbero sfruttare questa vulnerabilità per far esplodere testati nucleari o qualsiasi altra cosa peggiore che possa esistere! Balle! 😀

ShellShock è una vulnerabilità e come tutte deve essere presa in considerazione e valutata, a volte le vulnerabilità vengono sottovalutate mentre in questa caso è stata soppravalutata! Ma guardiamo questa recente scoperta da un lato tecnico e speriamo di fare un po’ di chiarezza sperando poi di vedere meno disinformazione sulla rete!

ShellShock o Bash Bug come voi vogliate chiamarlo è identificato con il codice CVE-2014-6271 e CVE-2014-7169 ed affiggle un tipo di shell denominata appunto Bash, shell molto usata all’interno dei sistei Unix e Linux. La shell, in informatica, è la parte di un sistema operativo che permette agli utenti di interagire con il sistema stesso, impartendo comandi e richiedendo l’avvio di altri programmi. Insieme al kernel costituisce una delle componenti principali di un sistema operativo. Il suo nome (dall’inglese shell, guscio) deriva dal fatto che questa componente viene considerata l’involucro, la parte visibile del sistema ed è dunque definibile come l’interfaccia utente o il programma software che la rende possibile.

La Bash Shell in questione è tra quelle più datate ed installata ormai di default sulle principali distribuzioni GNU/Linux, la vulnerabilità scoperta dal ricercatore Stéphane Shazelas potrebbe dare la possibilità di attaccare un sistema basato su Linux e Unix (pertanto anche i sistemi Mac OS X).

In un caso reale la vulnerabilità può essere sfruttata tramite un attacco remoto attraverso i Siti/Server Web che utilizzano CGI, un sistema ormai in disuso per eseguire script che generano una risposta all’utente che sta visualizzando il sito internet. È uno standard che venne implentato nel 1993 e che oggi vede uno scarso utilizzo nei siti web, CGI è attualmente più diffuso nel mondo Embedded come i Router di casa, elettrodomestici 2.0, ecc ecc. I dispositivi Embedded che sfruttano BusyBox non sono vulnerabili.

Un attaccante potrebbe quindi attaccare un sito web che ancora oggi sfrutta lo standard CGI, ottenere una shell remota sul server e quindi sfuttare la macchina a proprio piacimento? Ni, se il server web è ben configurato l’attaccante può certamente ottenere una shell remota ma con i soli permessi di un utente guest e non con i permessi di un amministratore di sistema, certamente se poi il server in questione ha altre vulnerabilità attraverso uno o pù exploit è possibile fare un escalation ed ottenere i permessi di amministratore e quindi il controllo completo della macchina.

Se invece la macchina è esclusivamente afflitta dall’exploit Bash un utente malintenzionato potrebbe sfruttarla per lanciare attacchi DDoS, questo a mio avviso è il vero caso reale! E siccome ad oggi vi è un consistente mercato nero alle spalle degli attacchi DDoS è probabile che questo exploit venga sfruttato principalmente per lanciare DDoS, ma è indubbiamente più difficile che venga usato per sottrarre informazioni confidenziali o riservate dai siti web vulnerabili!

In definitiva la vulnerabilità ShellShock è importante e consiglio a tutti di aggiornare il pacchetto Bash quanto prima sui propri server, ma non allarmiamoci leggendo certi articoli dei quotidiani Italiani! Non rischiamo l’esplosione di una testata nucleare per colpa di ShellShock!

Android Jelly Bean integra il supporto ASLR

Ci sono tanti vantaggi ad essere il più diffuso sistema operativo mobile ma altrettanti negativi, uno di questi è la sicurezza della piattaforma.

Android è costantemente preso di mira da malintenzionati utenti che tentano di accedere illecitamente negli Smartphone alla ricerca di informazioni personali, per contrastare gli attacchi Google ha introdotto il supporto alla tecnologia ASLR dell’ultima versione del suo sistema operativo v4.1 nome in codice Jelly Bean.

La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) è una misura di protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice malevolo su un computer è costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare, provocando una serie di crash del programma vettore (infettato o apertamente malevolo).

Normalmente, se durante l’esecuzione di codice si accede a una struttura dati con l’indirizzo sbagliato si ottengono dati errati, e se si chiama una funzione con l’indirizzo errato si provoca una eccezione, che porta alla terminazione del programma da parte del sistema operativo; un programma malevolo sfrutterà però l’eccezione generata (legittimamente: non è possibile né consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di quale tentativo è fallito, raccogliendo così sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima o poi con precisione l’indirizzo di memoria delle risorse che gli servono. Questa attività di raccolta di informazioni genera però una serie ripetuta di crash del programma in questione, che è quindi ben visibile all’utente o ai programmi antivirus. {Wikipedia}

Via | MobileBlog

Hotmail, Yahoo e AOL – Vulnerabilità 0Day nel Reset delle Password

Ieri The Hacker News aveva segnalato una vulnerabilità nella funzione di recupero/reset della password dell’account di Hotmail, che permette di reimpostare le password degli account e bloccare l’accesso ai veri proprietari. La vulnerabilità è stata prontamente corretta da Microsfoft la quale ha anche confermato l’esistenza della falla.

Oggi l’hacker diversi hacker hanno svelato invece un’altra vulnerabilità che affligge i servizi di Hotmail, Yahoo e AOL.

La nuova vulnerabilità individuata sfrutta il plug-in Tamper Data di Fifefox in grado di vedere ed editare le richieste HTTP/HTTPS degli Header e Post in tempo reale.

Sono state dimostrate le vulnerabilità attraverso due video che vi riportiamo assieme a una breve guida per ogni servizio:

Hotmail

  1. Vai a questa pagina https://maccount.live.com/ac/resetpwdmain.aspx;
  2. Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
  3. Avvia Tamper Data;
  4. Elimina elemento “SendEmail_ContinueCmd”;
  5. Editare l’elemento “__V_previousForm” con il valore “ResetOptionForm”;
  6. Editare l’elemento “__viewstate” con il valore “%%% 2FwEXAQUDX19QDwUPTmV3UGFzc3dvcmRGb3JtZMw 2Fak6gMIVsxSlDMZxkMkI 2BEPFW”;
  7. Fare clic su OK e digitare la nuova password;
  8. Avviare Tamper Data e aggiungere l’elemento “__V_SecretAnswerProf”
  9. Fatto.

Video

Yahoo

  1. Vai a questa pagina https://edit.yahoo.com/forgot.
  2. Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
  3. Avvia Tamper Data;
  4. Cambiare l’elemento “Stage” con il valore “fe200”
  5. Fare clic su OK e digitare la nuova passwor;
  6. Fatto.

Video

AOL

  1. Vai alla pagina di ripristino password;
  2. Inserisci l’indirizzo email e inserire i caratteri che vedi;
  3. Avvia Tamper Data;
  4. Cambiare l’elemento “Action” con il valore “pwdReset”;
  5. Cambiare l’elemento “isSiteStateEncoded” con il valore “false”;
  6. Fare clic su OK e digita la nuova password;
  7. Fatto.

Via | The Hacker News

 

Vulnerabilità MS12-020 – Desktop Remoto & Esecuzione Codice Remoto

Microsoft ha oggi rilasciato un bollettino critico (MS12-020), sulla sicurezza del suo protocollo RDP per l’accesso remoto ad un terminale equipaggiato del sistema operativo Windows.

Questa vulnerabilità può consentire l’esecuzione di codice in modalità remota se un utente malintenzionato invia al sistema interessato una sequenza di pacchetti RDP appositamente predisposti. Per impostazione predefinita, il protocollo RDP (Remote Desktop Protocol) è disabilitato in tutti i sistemi operativi Windows. I sistemi che non hanno il protocollo RDP attivato non sono a rischio.

Questo aggiornamento per la protezione è considerato di livello critico per tutte le versioni supportate di Microsoft Windows.

L’aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui il protocollo RDP elabora i pacchetti nella memoria e il modo in cui il servizio RDP elabora i pacchetti.

I sistemi operativi interessati rappresentano più del 50% del portfolio OS di Microsoft, si parte infatti dal più storico Windows XP fino a raggiungere l’attuale Windows 7 SP1 e anche le piattaforme Server come Windows Server 2003 e 2008 R2. E probabilmente anche precedenti OS non più supportati sono afflitti da questa vulnerabilità.

La vulnerabilità è stata divulgata privatamente a Microsoft e pertanto non sono disponibili ulteriori dettagli tecnici.

Pwn2Own 2012 – Due 0Day Exploit in IE 9!

Non solo Google Chrome è “caduto”, anche Internet Explorer 9 è stato una vittima alla gara internazionale Pwn2Own 2012. È sempre il team Vupen a scovare due differenti vulnerabilità zero-day per superare le difese di Internet Explorer 9 su Windows 7 (SP1), ma sembra che l’hack funzioni anche sulla beta di Internet Explorer 10 contenuta nella versione trial di Windows 8.

L’exploit in questione ha richiesto circa sei settimane di lavoro ma per l’attacco vero e proprio è bastato inserire il codice preparato all’interno di una pagina web. Una volta che IE9 ha caricato la pagina, le protezioni ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) di Seven sono state immediatamente aggirate, senza nessun altro intervento dal lato utente.

Fonte | Punto Informatico

Pwn2Own 2012 – Google Chrome crollato al primo giorno!

Il Pwn2Own è una competizione tra Hacker che si svolge ogni anno in Canada, lo scopo di questa competizione è di trovare exploit all’interno di applicazioni in particolar modo i Browser e gli strumenti di uso quotidiano come gli Smartphone.

L’edizione del 2012 è iniziata il 7 Marzo 2012 e terminerà sabato venerdì 9 Marzo, con un amara sorpresa per l’imbattuto Chrome che aveva spinto Google ad offrire 1 milione di dollari al Team in grado di scovare una vulnerabilità nel Browser di Mountain View.

Dopo soli 5 minuti dall’inizio della competizione la squadra sponsorizzata dalla Vupen ha fatto crollare il Browser, l’infrangibile muro che ha visto sul podio per 3 anni di fila Chrome è così stato scalfito. Il team si poterà a casa una cifra attorno ai 60 mila dollari e accumula 32 punti per la competizione.

I dettagli dell’exploit non sono noti, ma il Team assicura di aver sfruttato esclusivamente vulnerabilità di Chrome senza appoggiarsi a risorse esterne. Le prime indiscrezioni parlano di un exploit nella SandBox che avrebbe consentito al team di eseguire un proprio codice malevolo.

Per qualsiasi altra novità sulla competizione rimanete collegati….

[AGGIORNATO] Exploit in WhatsApp per iPhone

20120119-224241.jpg

Emanuele Gentili e Stefano Fratepietro hanno appena reso disponibile uno script in grado di sfruttare l’exploit scoperto da G. Wagner che affliggeva tutte le versioni di WhatsApp per iPhone antecedenti o medesime alla versione 2.6.7! L’exploit permetterebbe ad un malintenzionato di cambiare a proprio piacimento lo stato di un utente collegato al famoso software di scambio messaggi.

Sarebbe pertanto possibile rendere “Occupato” o “Disponibile” un qualsiasi utente oppure inserire uno stato personalizzato con messaggi offensivi.

Ecco svelato pertanto la misteriosa scomparsa dall’Apple Store di WhatsApp per più di una settimana, l’azienda ha provveduto ad eliminare l’applicativo dal famosissimo store per poter procedere ad un tempestivo Fix attraverso la versione 2.6.9 disponibile dal 17 Gennaio 2012.

Lo script in grado di sfruttare questo exploit è reperibile al seguente link: http://emanuelegentili.eu/WhatsApp-exp.sh

Consigliamo pertanto a tutti gli utenti di aggiornare WhatsApp dal proprio iPhone!

Ubiquiti AirOS 5.x 0day Remote Command Execution

Nella giornata odierna Ubiquiti ha rilasciato sul suo Forum ufficiale un comunicato nel quale annuncia una falla 0Day di tipo Remote Command Execution per tutti i prodotti con il sistema operativo AirOS, più precisamente:

  • 802.11 Products – AirOS v3.6.1/v4.0 (Precedenti versioni non sono affette)
  • AirMax Products – AirOS v5.x (tutte le versioni)

L’exploit permetterebbe ad un malintenzionato di eludere la normale autenticazione HTTP eseguendo script a proprio piacimento attraverso il Common Gatewya Interface (adm.cgi), inoltre sono stati individuati apparati affetti dal virus Skynet.

Ubiquiti è già corsa ai ripari aggiornando il proprio AirOS e rilasciando una guida pubblica per eliminare eventuali virus.

È possibile effettuare il download dell’ultima versione di AirOS dal sito ufficiale, inoltre vi segnalo la discussione del forum nella quale potete leggere il comunicato in lingua originale e la guida per rimuovere eventuali virus.

ExploitHub – Il nuovo Exploit Store

ExploitHub è un nuovo Exploit Store dedicato a tutti i Penetration Tester nel quale è possibile acquistare Exploit non 0Day per piattaforme Unix, Windows, Database e WebServer.

I prezzi variano dai 0$ ai 1000$ in base alla vulnerabilità richiesta, tutti gli exploit vengono forniti con una notevole documentazione e compatibili con Metasploit.

Importante sottolineare la possibilità offerta agli IT Security Researcher indipendenti di vendere la propria ricerca/exploit attraverso ExploitHub.

Il servizio è rivolto alla comunità degli ethical hacker, però nessuno garantisce sul buon uso degli exploit da parte degli acquirenti.

Fonte | Pillolhacking

Più di 100 mila siti osCommerce sotto attacco iFrame!

Nelle ultime ore risulterebbero più di 100 mila sita internet infettati da un iFrame maligno con lo scopo di installare un Malware sul PC dell’ignaro utente.

Il frame conterrebbe un richiamo al seguente indirizzo:

Esso porterà all’esecuzione del seguente Java Script:

Quest’ultimo script sfrutterebbe le seguenti vulnerabilità per installare il malware:

Una volta portato a termine l’exploit lo script provvederà a scaricare il Malware reperibile in questo indirizzo:

Lo script iFrame è stato inserito esclusivamente in siti internet con piattaforma osCommerce probabilmente grazie ad una SQL Injcetion.

Infine vi riporto una completa analisi dell’attacco effettuata dai ricercatori Wayne Huang, Chris Hsiao e NightCola Lin: