Конец года ознаменовался обнаружением уязвимости нулевого дня (т.е. патча ещё нет, т.н. 0day) в браузере Internet Explorer версий с 6 по 8 включительно (CVE-2012-4792). Microsoft выпустило бюллетень по безопасности в котором описывается какие системы подвержены риску. Судя по этому описанию, пользователям IE 9-10 повезло и там уязвимости нет.

Как сообщается, уязвимость была обнаружена в результате расследования факта взлома сайта Совета по международным отношениям США, на котором злоумышленники и разместили зловредный код к уязвимости. Анализ зловредного кода, использующего описанную уязвимость, доступен здесь.

Хабрапользователь 0xA0 нашёл 0-day в Windows XP\Vista\7 (в Windows 8 не работает).
Данная статья написана с позволения 0xA0, т.к. в силу низкой кармы на тот момент он не мог её здесь написать.
Судя по всему, это отзвуки отгремевшей в далёком 2010 году уязвимости CVE-2010-2568 (писали об этом и на хабре), которую активно использовал небезызвестный StuxNet. Суть баги в том, что при обращении к DLL-файлу операционная система вместо ресурсов из этой библиотеки выполняет код из самой библиотеки. В общем-то, по описанию действительно очень схожа с названной CVE-2010-2568.

Ранее я уже заявлял об этом и даже делился видео-демонстрацией, но не раскрывая подробности. К сожалению, Разработчик забил болт так и не отреагировал на моё письмо о проблеме (моё обращение было зарегистрировано 2.10.2012 под номером sb-ru-02-121000048-t). Поэтому я решил показать все технические подробности. Приводимая далее видео демонстрация была впервые показана на ZeroNights 2012 в рамках zeroday show.

Предыстория

Подобные уязвимости часто находятся случайным образом. Мой случай — не исключение. Как-то раз в 12 часов ночи, в полнолуние поставил себе Outpost Security Suite и настроил проактивку на максимальный режим. При этом режиме даже вставленная новая флешка в систему не примонтируется, пока не разрешить несколько действий во всплывающих окнах антивируса. Однажды при вставке новой флешки как обычно появилось всплывающее окно от антивируса, но я не давал согласия на установку. А привычным образом заблокировал компьютер (клавиш Win+L), покинув его на несколько минут. Каково же было моё удивление, когда вернувшись я выяснил, что флешка-таки примонтировалась в систему! Вот тут и началось самое интересное…

Специалисты компании Group-IB недавно сообщили об обнаружении уязвимости «нулевого дня» в Adobe Reader X/XI

Технических деталей практически нет. Сообщается, что:

Для успешной эксплуатации этой уязвимости необходимы специальные условия: к примеру, чтобы осуществилось неавторизированное исполнение произвольного кода необходимо закрытие интернет-браузера либо его перезагрузка. Другим вариантом эксплуатации уязвимости является инициализация интерактивного взаимодействия с пользователем, согласно которому жертве потребуется подтвердить какое-либо действие в контексте открытого документа, после чего выполнится вредоносный код

Ещё одна цитата из статьи:

Одной из существенных особенностей является тот факт, что ранее не было афишировано ни одного эксплойта под указанную версию Adobe Reader по причине наличия встроенной «песочницы» (Sandbox, Protected View — blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html), которая ограничивает возможности выполнения произвольного кода за счет внутренних инструкций и специальной среды исполнения.

Однако, на приводимой демонстрации можно увидеть Windows XP. А т.к. «песочница» задействует механизмы UAC, доступные начиная с Windows Vista, остаётся открытым вопрос: действительно ли обнаруженный код способен обойти «песочницу», используемую в Adobe Reader?

Как сообщает Брюс Шнаер в своём блоге Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) собирается в скором времени представить новый хеш-алгоритм, который будет называться SHA-3.

За право бороться в финале на звание нового SHA-3 NIST выбрало 5 финалистов: BLAKE, Grøstl, JH, Keccak, и Skein. Последний является детищем самого Брюса Шнаера.

Собственно, сабж. В интернете непросто найти форум с грамотными специалистами, а на Хабре их достаточно. Поэтому я часто и с удовольствием пользуюсь разделом q&a. Наверняка многие пользователи из «Read Only» тоже хотели бы им воспользоваться. Мы могли бы быть полезны друг другу. И вот почему:

1. Возможно, некий пользователь из «Read Only» не умеет составлять статьи и не может пройти через «Песочницу». Но он спец в своём деле, и мог бы поделиться своим опытом в ответе на вопрос.
2. Для привлечения дополнительного внимания к Хабру и усиления популяризации, позволить пользователям задавать вопросы здесь, а не искать где бы зарегаться чтоб получить ответ там.

Конечно, стоило бы продумать всю эту идею в деталях. С одной стороны, никому не нужны куча «левых» вопросов, которые зафлудят Хабр. С другой, реально грамотных людей, которые уже поделились своим опытом, можно было бы наградить за их старания.

Как следует из официального блога Metasploit, последний апдейт данного продукта имеет в своём арсенале эксплоит под уязвимость нулевого дня (0day) для Java run-time environments (JRE).

Эксплоит кросплатформенный и был успешно протестирован на следующих платформах:

• Windows 7 SP1 с установленной Java 7 Update 6
• Mozilla Firefox под Ubuntu Linux 10.04
• Internet Explorer / Mozilla Firefox / Chrome on Windows XP
• Internet Explorer / Mozilla Firefox on Windows Vista
• Internet Explorer / Mozilla Firefox on Windows 7
• Safar под OS X 10.7.4

UPD_2
Как сообщается, уязвимости подвержены следующие продукты:

JDK и JRE 7 Update 6 и более ранние
JDK и JRE 6 Update 34 и более ранние
end of UPD_2

Как можно догадаться, раз это 0day, то на настоящий момент патча не существуетОбновление Java 7 update 7 устраняет уязвимость (спасибо Gregy за наводку). Уязвимости также пока что не присвоен номер CVE. Уязвимости присвоен CVE-2012-4681

Довольно давно обнаружил возможность обойти проактивную защиту в продуктах лаборатории Касперского. Наконец, дошли руки сделать демку.

Последовательность действий:

1. Проверяем, что драйвера в системном каталоге нету (пытаемся его открыть через notepad)
2. Запускаем эксплоит, появляется запрос от Касперского об установке драйвера. Ничего не нажимаем (т.е. не даём согласия на установку)
3. Снова обращаемся к драйверу через notepad и вуаля: драйвер установлен!

Узявимые версии: Kaspersky Crystal 12.0.1.228, KIS/KAV 2012, KIS/KAV 2011. Возможно, и другие тоже.

Технических подробностей пока не раскрываю до связи с представителями лаборатории Касперского. Сообщу лишь, что уязвимость не связана с переполнением буфера и прочими похожими типами уязвимостей, и носит архитектурный характер. Стабильно воспроизводится на ОС Win (x32 и x64) XP, Vista, 7.

В популярных почтовых сервисах Yahoo, AOL и Hotmail недавно были найдены уязвимости, позволяющие получить доступ к чужим аккаунтам.

Суть уязвимостей везде одинаковая: использовалась логическая ошибка при восстановлении пароля, в результате которой можно было задать новый пароль в обход проверки легитимности пользователя (ответа на контрольный вопрос и т.д.)

Видео демонстрация для Hotmail:

Не так давно я проводил сравнительный тест программ под Android, предотвращающих атаку на ARP-таблицу. Тогда некоторые пользователи пожелали, чтобы я провёл тестирование программы Wifi Protector, не попавшей в мой обзор.
Наконец, у меня дошли руки и до неё.



Об успешности атаки можно было судить через саму программку.



Тестирование происходило абсолютно также, как и в предыдущем случае

Летом прошлого года прошла информация, что Avast выпустит версию под Android.

Признаюсь, я несколько скептически относился к этой информации. Т.к. был опыт установки антивирусов под Linux Desktop системы для защиты именно самих этих систем. И так и не увидел от этого всего толка. Поведенческого анализатора не было. Тестируемые руткиты свободно устанавливались в систему и т.д. В общем, одно разочарование. Но моя врождённая любознательность не давали мне покоя и я решился установить сие чудо на свой планшетник. Результат меня порадовал. Особенно учитывая, что приложение бесплатное. А самое интересное доступно для владельцев root-доступа к своим android-устройствам.

Вот как выглядит главное окно программы.

Не так давно большой интерес (1, 2) вызвала программа DroidSheep, перехватывающая аккаунты пользователей он-лайн сервисов, которые пользуются ими через общедоступный Wi-Fi. На исконно русский вопрос: «что делать?» кто-то предложит воспользоваться программами для защиты от подобного рода атак, написанными под Андроид. Вот их я и решил протестировать.

А тестировал я её давно (ещё в 2008 году) написанной мною программкой ARPBuilder, которая создавалась для проверки уязвимости различных МСЭ к ARP-спуфинг атакам (подробнее):



Собственно, мне удалось разыскать всего 2-х кандидатов на тесты: DroidSheepGuard и shARPWatcher (обе программы для полноценной работы требуют наличие root-доступа).

Об удачности атаки я судил по показаниям ARP-таблицы моего подопытного Android-устройства. Показания снимал через программку Net Status:

Уважаемые Хабровчане! Вчерашний вариант статьи я полагал, что находится в черновиках. И посему отобразился недописанным. Предлагаю полную, дописанную версию



Многие он-лайн сервисы стремятся обезопасить аккаунты своих пользователей самыми различными способами. Кто-то отслеживает IP-адрес, сбрасывая кукисы при его изменении (так происходит на Секлабе; вКонтакте просто просит подтвердить последние 4 цифры мобильника). У кого-то сессия живёт ограниченное время, заставляя пользователя авторизоваться снова и снова. У этих способов есть свои достоинства и недостатки. Но какой бы из механизмов не использовался, отслеживание параметров браузера и ОС пользователя придаст дополнительную защиту от угона аккаунтов (как дополнительная защита, но ни в коем случае не основная). И очень странно, что я до сих пор не смог встретить ни одного сервиса, поддерживающего этот механизм защиты.

Задайтесь вопросом: в каких случаях при очередном посещении ресурса у пользователя кукисы будут аналогичны прошлому посещению, но изменятся данные браузера и используемой ОС (которые можно выцепить из User-Agent)? Только в 3-х случаях:

1. Пользователь авторизовался с разных компьютеров (например, дома и на работе) и по некоторым причинам использует разные браузеры.
2. Пользователь авторизовался с 1 компьютера в разных браузерах (этим будут страдать, пожалуй, только веб-разработчики и особо любопытные). Либо те, кто загаживает ОС непонятными фенечками (привет любителям vkSaver)
3. У пользователя угнали сессию.

Детектить предлагается не весь параметр User-Agent, а тип браузера (IE, FF, Chrome, Safari и т.д.) и операционную систему (Windows, Linux, MacOS). Это решит проблемы ложного срабатывания при обновлении ПО на компе пользователя.

Да, User-Agent можно подменять. Но:
1. Довольно часто с этим никто из угонщиков сессии не парится.
2. Подмену User-Agent можно определить (читайте ниже как).

Рассмотрим предлагаемый метод защиты в дополнение к имеющимся. В совокупности с классическими случаями угона сессии.

На хабре уже была статья о Перехвате аккаунтов пользователей в Wi-Fi-сетях с Android используя утилитку DroidSheep (небольшой русский howto для ленивых).

Используя эту программу, я столкнулся с вопросом: как бы мне сохранить перехваченные сессии? DroidSheep позволяет отправлять на почту перехваченные сессии. Но это очень неудобно для меня. Я бы хотел сохранять сессии в привычном для меня pcap формате для дальнейшего анализа на стационарном компьютере через WireShark (или через его аналог на андроиде SharkReader ).

Фактически, задачу можно переформулировать: нам нужен arp-spoofing с возможностью логирования всех перехваченных пакетов в формат pcap. Предлагаемый вариант не претендует на оптимизированный в каком-либо виде. Но вполне работоспособен.

Подготовил видео демонстрацию возможности раскрытия IP-адреса собеседника через Skype.


UPD: много вопросов на тему чем отличается данная статья от этой или вот этой.

Отвечаю:
1. Там речь шла только о звонке. Я показал, что в определённой ситуации можно раскрыть и без звонка, через чат.
2. Там была только теория. А здесь видео демонстрация.

Предыстория

А началось всё с прочтения вот этой статьи.

Цитата из статьи:

«Skype, оказывается, в большинстве случаев напрямую соединяется с собеседником.»

Но никаких доказательств этого приведено не было. Меня это сильно заинтересовало. И я провёл первые предварительные тестирования.

После чего обнаружилось, что многие люди не владеют достаточными знаниями относительно этой ситуации, но вовсю готовы хвастать своими сомнительными знаниями. Дальнейшие комментарии на эту тему тому подтверждение. Кто-то считал, что нужно смотреть UDP сокеты (хотя в статье автор использовал программу cports для просмотра TCP соединений). Ещё мнения были, что выяснить IP-адрес собеседника можно только в случае, если у него выделенный IP, а в случае использования NAT это невозможно. Третьи говорили, что можно только адрес супернода выявить, поэтому автор статьи злоумышленника не вычислил и т.д.

Поэтому я решил внести ясность в ситуацию.

25 ноября в Петербурге прошла конференция ZeroNights, посвящённая компьютерной безопаности. Один из докладов назывался "root через XSS". Автор Денис Баранов (ведущий эксперт компании Positive Technologies).
Если вкратце:

1. используем XSS уязвимость в Denwer, чтоб вставить свой сценарий в браузер админа
2. используем его браузер чтобы обратиться к phpMyAdmin (БД принимает подключения только локально)
3. получив доступ, заливаем web-шелл, который выполнится с правами локального админа (Denwer с такими правами запускается)

Примечательно, что продемонстрированная XSS имеет очень много общего с обнаруженной мною в далёком 2006 году уязвимостью в Denwer. Но вот в чём фишка: в том 2006 году я писал об этом и на сайт СекЛаба (принадлежит Positive Technologies). Но там заметку об этом не опубликовали. Письма ответного уж не сохранилось, к сожалению. Но примерный текст был такой: «К Denwer по умолчанию запрещены коннекты извне, только локально. Не видим в этом особой опасности». О, времена, о, нравы! Либо действительно время поменяло представление людей на аналогичную ситуацию. Либо, я просто не сумел подать тогда эту новость в нужном соусе.

UPD_2:

15 ноября 2011 Google восстановил статус сайта, предупреждений больше нет.

А вот как было 14 ноября 2011:

При попытке зайти на сайт РЖД через Мозиллу, выскакивает вот такое сообщение.


Отрывок из дополнительной информации, выдаваемой гуглом:

На 1 из 6 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя. Последнее посещение этого сайта системой Google произошло 2011-10-27; последний раз подозрительный контент был обнаружен на этом сайте 2011-10-26.

Вредоносное ПО включает 1 trojan(s). Число новых процессов, создаваемых в результате заражения на целевом компьютере: в среднем 7.

Число доменов, на которых размещается вредоносное ПО: 2 (в том числе svpressa.in/, rzd-rzd.in/).

Число доменов, предположительно используемых в качестве промежуточных звеньев для распространения вредоносного ПО: 1 (в том числе rzd-rzd.ru/).

Сетей, в которых размещался этот сайт: 1 (в том числе AS20702 (CSSMPS)).

SMS-информирование находит широкое применение в нашей жизни. И через него так удобно следить за балансом своих денег на банковской карте. Знать, что деньги пришли, или что снято именно Вами. Но использование этой функции сравни использованию неверно настроенному межсетевому экрану: внушает ложное чувство безопасности.

В марте 2011 года я писал о DLL HiJacking в VirtualBox. Тогда разработчики сообщили, что проблема не в их продукте, а в Qt, на котором основана их продукция.
Наконец, найдя время, я решил проверить так ли это. Оказалось, что так.

Мной были проверены:

• VirtualBox v.4.0.14
• qxml-edit v3.6
• smplayer v0.6.9

И они оказались уязвимы.


Видео демонстрация уязвимости (видео без звука):

Не так давно в Санкт-Петербурге прошёл Chaos Constructions 2011 — фестиваль компьютерного искусства. У фестиваля есть официальный сайт. На этом сайте я обнаружил full path disclosure, а также раскрытие некоторой информации о структуре базы данных. Найдено было за пару дней до самого фестиваля. Но, так как я являлся докладчиком, я не стал публиковать информацию об этом раньше. И делаю это только сейчас.