Articoli

FaceNiff è una applicazione per Android che ricorda l’ormai famoso Plugin Firesheep per Firefox, l’applicato sfrutta il cookie snatching (scippo dei cookie) per catturare i dati login di un utente permettendo successivamente ad un malintenzionato di accedere alla sessione internet dell’ignara vittima.

FaceNiff opera su reti Wireless e le sessioni di autenticazione devono avvenire attraverso il protocollo HTTP,  permettendo di catturare i Cookie di:

  • Facebook
  • Twitter
  • Youtube
  • Amazon
  • Nasza-Klasa

la versione Demo permette di catturare dati esclusivamente di Facebook, invece a seguito di un pagamento di 4$ è possibile avere l’abilitazione anche agli altri portali.

FaceNiff necessita dei permessi di Root e lo potete scaricare sul sito ufficiale mentre dopo il salto trovate una breve video recensione.

Infine vi ricordo, per la vostra sicurezza, che è sempre meglio abilitare l’autenticazione tramite il protocollo HTTPS se supporta dal portale al quale volete accedere.

Continua a leggere

Lo scorso Agosto vi avevo introdotto la nuova tecnica di DLL Hikacking in questo articolo, ma stanotte mi sono imbattuto in un interessante articolo di Bruno Filipe che dimostra come può essere sfruttata tale tecnica nella realtà!

Utilizzando una cartella condivisa su un server SMB / WebDav

Questa è forse la tecnica più comune di come il dll hijack  viene sfruttato, sicuramente perché può essere sfruttata da remoto.  Esiste già un modulo per Metasploit che utilizza questa tecnica. Esso prevede l’inserimento in una cartella condivisa di una DLL infetta e di un file pulito con l’obbiettivo di far aprire al target il file pulito. All’appertura del file pulito realmente viene caricata la DLL infetta che procede ad installare un malware/trojan sul PC della vittima.

Un archivio compresso (. zip, . tar.gz, . rar, ecc ecc)

Questa tecnica prevede l’inserimento in un archivio di un gruppo di file più una DLL, l’obbiettivo sarà quello di far estrarre l’intero contenuto dell’archivio e procedere all’appertura di un file “pulito” che provvederà a richiamare la DLL infetta contenuta nell’archivio.

Torrent

Sicuramentr questa tecnica ha il vantaggio di avere una diffusione su grande scala pertanto è da considerarsi veramente dannosa, il principio si basa sulla precedente tecnica dell’archivio ma grazie alla difffusione dei Torrent e di un minimo di Social Engineering sarà possibile ottenere un grande numero di bersagli.

Ipotizziamo di distribuire sul canale Torrent l’ultimo album di Shakira (sicuramente richiestissimo), ovviamente l’archivio non conterrà esclusivamente l’album ma anche la DLL infetta. L’utente una volta completato il download dell’ablum provvederà ad estrarlo ed ad ascoltare l’album…ed ecco che viene caricata la DLL.

Multi Exploiting DLL Hijack

Questa tecnica prevede l’inserimento di più DLL infette all’interno di una risorsa condivisa, un archivio o un torrent in modo da aumentare notevolmente le possibilità di attaccare la vittima.

Prendendo spunto dal precedente esempio dell’album di Shakira non possiamo avere una certezza di quale player multimediale utilizza la vittima per riprodurre gli mp3 per cui inseriremo all’interno dell’archivio contenente l’album più DLL infette (ognuna per ogni lettore multimediale) dandoci così la possibilità di incrementare il buon esito dell’attacco.

Questo post ha l’intenzione di spiegare ed illustrare la vulnerabilità del DLL Load Hijacking scoperta la scorsa settimana dalla società di sicurezza Acros che imputava la falla esclusivamente ad iTunes ma poi si è scoperto essere un problema nettamente più diffuso a tutti i software che hanno interazioni con le libreria dinamiche DLL.

Microsoft ha rilasciato il Security Advisory (2269637) lo scorso 23 Agosto 2010 e conferma l’esistenza della vulnerabilità e specifica che sono soggette esclusivamente le applicazioni che non caricano le librerie esterne in modo sicuro secondo le loro linee guide disponibili in questo articolo di MSDN, Dynamic-Link Library Security.

La vulnerabilità viene attivata quando viene aperto un determinato tipo di file all’interno di una directory gestita dall’attaccante, la directory può essere su un chiavetta USB, all’interno di un archivio oppure in una condivisione di rete (SMB). Per far attivare l’exploit l’utente, nella maggior parte dei casi, dovrà accedere alla directory e quindi aprire il file. Il file aperto dall’utente sarà sicuramente innocuo ma avrà il compito di avviare l’applicazione “difettosa” che andrà a recuperare dal percorso remoto le DLL malevoli contenenti malware, trojan, ecc ecc.

In pratica, questa falla può essere sfruttata inviando all’utente bersaglio un link ad una condivisione remota contenente uno o più file innocui, ma realmente l’apertura di essi porterà al caricamento di DLL infette a causa di una errata gestione delle DLL del programma associato al file.

Prendendo in esame iTunes, che si associa automaticamente a diversi file multimediali (mp3,waw, ecc ecc), e ciascuno di questi comporta l’esistenza di una DLL all’interno della directory dell’applicazione l”utente potrebbe essere tratto in inganno fornendogli una directory remota piena di contenuti multimediali, del tipo \…\server\film\.

Se l’utente tenta di aprire qualsiasi file contenuto nella directory \film\, iTunes caricherà sicuramente il film ma cercherà nella medesima directory una eventuale DLL per il caricamento del video senza considerare le DLL originali contenute nella cartella di installazione “\iTunes”. Se l’attaccante ha fornito una DLL compatibile per il caricamento del film iTunes provvederà ad aprirla ed automaticamente infetterà il PC dell’utente se quest’ultima contiene codice malevolo.

Il team di metasploit ha già sviluppato il kit DLLHijackAuditKit in grado di analizzare ogni applicazione e determinare se è afflitta da tale vulnerabilità, ed in pochi giorni ha già raggiunto la seconda versione, tale applicativo può essere scaricamento tramite questo collegamento.

Il funzionamento di tale KIT è spiegato sul blog ufficiale di MetaSploit ma contiamo di crearvi una guida in Italiano a breve.

Fonti: