Qualche tempo fa si diffusero addirittura voci (false) secondo le quali str0ke, il responsabile del sito, era morto.

Il 16 Novembre l’attesa è finita:  è ora online un sito che ha ereditato la funzione e tutto l’archivio di milw0rm. Il sito in questione è explo.it che di fatto reindirizza su http://exploits.offensive-security.com/.

Explo.it si candida ad essere non “un”, ma “IL” repository di exploit dedicato a ricercatori, professionisti e appassionati di computer security. La struttura è la stessa di milw0rm. Ci sono le sezioni remote,local,web,dos.

E’ disponibile un completo modulo di ricerca e l’intero database di exploit è downloadabile. Non manca la possibilità di iscriversi al feed rss. Il sito sta già accettando nuovi exploit ed è probabile che la base di exploit verrà aggiornata quotidianamenete.

Grazie milw0rm e auguri a explo.it.

Segnala presso:

Lo fa pubblicando due mini-programmi che permettono di disabilitare e abilitare il supporto SMB2 su Vista in modo semplice, questo in attesa della soluzione definitiva, ovvero il rilascio di una patch.

Come si evince da questo post pubblicato sul blog Security Research & Defense di Microsoft, a spingere i tecnici a stringere i tempi sono stati due eventi: il primo, la pubblicazione dell’exploit che trasforma l’attacco da DoS ad accesso remoto; il secondo, la presa d’atto che la patch è ancora in fase di test, cosa che sposta in avanti la data di rilascio, lasciando quindi aperta la porta dello zero day troppo tempo.

Per chi trovasse troppo macchinosa l’operazione manuale di disabilitazione d SMB2 può dunque utilizzare gli strumenti messi a disposizione da Microsoft a questo indirizzo: http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx.

Segnala presso:

Ma andiamo con ordine. Una decina di giorni fa è stata resa pubblica una vulnerabilità che colpisce Vista, Windows 7 RC (non RTM) e  Server 2008. La vulnerabilità risiede nel componente SMB2 e permette ad un hacker di mandare in crash il PC da remoto con un solo pacchetto (che deve avere delle caratteristiche particolari ovviamente). L’effetto ottenuto è piuttosto spettacolare, manifestandosi attraverso un leggendario BSoD (Blue Screen of Death).

Ieri Immunity ha comunicato l’esistenza di un exploit in grado di sfruttare il bug per ottenere l’accesso remoto. Si verificano dunque le condizioni ideali per la diffusione di un worm basato su questa vulnerabilità, lo vedremo nelle prossime settimane. In particolare l’exploit fa parte degli aggiornamenti dello strumento commerciale Canvas, strumento per i professionisti del penetration test. A giorni dovrebbe essere disponibile un modulo anche per Metasploit.

In attesa della patch Microsoft (e del worm), chi se lo può permettere può mitigare la minaccia filtrando le port 139 e 445 tramite personal firewall, o disabilitando SMB2.

Segnala presso:

Il 31 Agosto è apparso su Milw0rm, noto portale dell’underground digitale, un exploit zero day per l’Ftp di IIS. Il bug permette l’accesso remoto con privilegi Local System.
Per poter sfruttare questo bug l’hacker deve avere accesso anonimo e la possibilità di creare directory. Se si verificano queste condizioni l’attacco può andare a buon fine.

In realtà Microsoft parla di diverse vulnerabilità. L’esecuzione di codice da remoto (rce) dovrebbe affliggere solo la versione 5.0; nelle altre si dovrebbe presentare “solo” una condizione di DoS (Denial of Service).

Ecco le versioni colpite da queste vulnerabilità:

IIS 5.0,5.1,6.0 e 7.0 con la versione 6.0 dell’Ftp service. Le versioni 7.0 e 7.5 di IIS con Ftp service 7.5 sono immuni.

Le (ovvie) contromisure sono le seguenti:

• Disabilitare l’Ftp se non è fondamentale
• Altrimenti disabilitare l’acceso anonimo se non necessario
• Se l’accesso anonimo è necessario impedire la creazione di file e directory all’utente

Segnala presso:

Poi improvvisamente su Twitter mi è arrivato un aggiornamento da milw0rm: Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit (win2k), che tradotto significa “accesso remoto”.

Non ci sono molte informazioni al momento, ma anche gli utenti della mailing list Full Disclosure hanno cofermato la vulnerabilità. Microsoft per ora non commenta.

In pratica si tratta di un attacco remoto ai server ftp Windows su cui gira Internet Information Server, versioni 5.0 e 6.0. L’exploit pubblicato colpisce Windows 2000 sp4, ma HD Moore si è già messo al lavoro per creare un modulo Metasploit.

Vedremo nelle prossime ore/giorni le reazioni e gli effetti di questa vulnerabilità. Non essendoci per ora contromisure note conviene chiudere gli accessi ftp non indispensabili e prepararsi a fronteggiare un recovery del sistema.

Worm in agguato?

Segnala presso:

DigiFolio è un componente per Joomla che permette di inserire progetti, gestirli e organizzarli in categorie. Il bug, scoperto da v3n0m risiede nel parametro ‘id’ della funzione ‘view’ del componente.

Di questo parametro non viene effettuato un appropriato controllo in input. Questa lacuna permette all’hacker di inserire codice SQL. Nell’esempio riportato da v3n0m l’exploit è in grado di recuperare gli username e i relativi hash delle password; ma un attacco di SQL-Injection in determinate circostanze può portare anche ad un accesso remoto e al successivo innalzamento di privilegi dell’hacker da utente normale a root.

Il problema è stato risolto con la versione 1.53 del componente, rilasciata ieri e disponibile presso questo link. Chi vuole evitare spiacevoli sorprese aggiorni subito.

Segnala presso:

WordPress è il più diffuso CMS (Content Management System) dedicato allo sviluppo di blog. La forza di WordPress è la possibilità di estenderne le funzionalità e l’aspetto tramite plugin e temi di terze parti.

WP-Syntax è un plugin che permette di evidenziare codice sorgente mettendo in risalto le parole chiave di svariati linguaggi di programmazione. E’ possibile anche inserire i numeri di linea per semplificare la leggibilità del listato. Si tratta di un plugin utilizzato soprattutto da blog di programmazione dove è frequente la necessità di presentare codici sorgenti.

La descrizione dell’exploit da alcuni giorni è disponibile su milw0rm. La vulnerabilità, che si avvale della mancata inizializzazione di una variabile e si manifesta in presenza dell’impostazione ‘register_globals = on’, è stata scoperta da raz0r e presentata su di un forum russo il 26/12/2008,  ma solo recentemente un individuo noto come Inj3ct0r l’ha divulgata, rivendicandone anche la paternità.

Superfluo dire che l’aggiornamento all’ultima versione di WP-Syntax è d’obbligo per evitare brutte sorprese.

Segnala presso:

Il bug risiede nel sistema WINS (Windows Internet Name Service). WINS è un servizio di risoluzione di nomi di host per NetBios. Ha più o meno la stessa funzione del DNS, però invece di risolvere nomi di host in Internet risolve i nomi di host in una rete locale.

Il bug, scoperto da Zero Day Initiztive è attivamente sfruttato, come dimostra il grafico dell’Internet Storm Center che evidenzia l’aumento degli attacchi rivolti alla porta Tcp 42, ovvero la porta del sistema WINS:

Le versioni di Windows affette da questa vulnerabilità sono: Windows2000 Sp4, Windows 2003 Sp2 e Windows 2003 x64 Sp2. Questa bug affligge in modo particolare i sistemi server. Per una volta gli utenti domestici che usano Xp e Vista possono stare attenti. Chi invece impiega le versioni affette aggiorni al più presto il sistema, per evitare la solita proliferazione di worm.

Segnala presso:

Sono già disponibili online divesi exploit in grado di sfruttare questa vulnerabilità. Quale può essere l’impatto di questo bug? Il fatto che si tratti di un attacco locale, non direttamente sfruttabile da remoto, non deve trarre in inganno, si tratta di un problema grave.

Intanto perchè qualsiasi utente, anche con privilegi minimi, sfruttando questo bug può diventare “root” (super-utente) ed ottenere il controllo totale del sistema. Inoltre un attacco locale può essere anche sferrato in seguito ad un attacco remoto. Questo significa che attaccando un banale bug di una applicazione web come un forum o un cms, l’hacker può ottenere l’accesso al sistema, seppur con privilegi bassi; ma sfruttando il bug nel kernel di Linux i “super-poteri” sono assicuarti;   dilagare prima nel sistema e poi eventualmente nell’intero network sarà un gioco da ragazzi.

Uno scenario particolarmente realistico è quello del mass-defacement. Chi offre servizi di hosting, in particolare lo shared-hosting, dove diversi siti risiedono su di una stessa macchina, soffrirà in modo particolare di questo problema. Basterà un Joomla non patchato per consegnare tutti i siti ospitati sulla macchina vulnerabile ai pirati.

Per concludere voglio segnalare che qualche mese fa Microsoft sistemò un bug di Windows vecchio di 7 anni: questo bug di Linux è vecchio di 8 anni. In questo caso Microsoft non ha il monopolio.

Segnala presso:

Al momento attuale non esistono patch per chiudere la falla ma Microsoft, che ha confermato il problema, nel security advisory 971492 fornisce alcune contromisure per mitigare la minaccia.

Il bug colpisce il sistema di autenticazione del componente WebDAV (Web-based Distributed Authoring and Versioning), un sistema (non attivo di default) per la gestione,la condivisione e il versionamento di documenti tramite web.

Una errore nella logica del controllo di sicurezza in concomitanza di particolari caratteri unicode, permette a un hacker di accedere a directory protette da password e quindi, uploadare, downloadare files; in particolari condizioni è possibile caricare script backdoor scritti in asp ed eseguirli, ottenendo un accesso remoto, seppur con privilegi limitati.

Sono già apparsi diversi exploit. Esiste anche un interessante video che mostra tutti i possibili attacchi, e le relative configurazioni vulnerabili:

Webdav IIS6 bypass and code execution from Thierry Zoller on Vimeo.

Questa vulnerabilità ha una natura assai curiosa. Si tratta di un errore di programmazione clamoroso, errore che non ci aspetteremmo di trovare in un software di questa portata: eppure c’è. La spiegazione del bug è abbastanza semplice: se nell’url passato al server è presente la sequenza unicode “%c0%af” l’autenticazione viene semplicemente ignorata e l’utente può tranquillamente procedere verso l’area protetta senza necessità di inserire credenziali!

Per quale motivo? Vediamo in sequenza come agisce l’autenticazione:

1. Esiste un file “protected.zip” in un’area del server accessibile tramite password
2. Il percorso completo è /protected/protected.zip
3. Il server analizza il percorso e si accorge che la cartella è protetta
4. Viene richiesta la password

Questa è la procedura normale. Se fossimo in grado di alterare la logica del punto 3, facendo credere al server che vogliamo accedere ad una risorsa pubblica, quando in realtà la risorsa è protetta avremmo accesso all’area riservata. Ma come?

Se mettessimo dei caratteri arbitrari aggiuntivi all’url con lo scopo di ingannare il server le cose funzionerebbero solo a metà:

1. Esiste un file “protected.zip” in un’area del server accessibile tramite password
2. Il percorso completo è /protected/protected.zip
3. Noi passiamo un url leggermente modificato per aggirare il controllo: /protected@@/protected.zip
4. Il server analizza il percorso e si accorge che la cartella non è protetta
5. Viene effettuata la decodifica unicode. Non ci sono caratteri unicode
6. Il server si accorge che l’indirizzo /protected@@/protected.zip non esiste

Evidentemente non funziona, otteniamo semplicemente un file not found. Ma se invece inserissimo dei caratteri che confondo il server nella prima fase, ma che vengono rimossi prima che venga effettuato l’effettivo recupero della risorsa richiesta avremmo ottenuto l’obiettivo:

1. Esiste un file “protected.zip” in un’area del server accessibile tramite password
2. Il percorso completo è /protected/protected.zip
3. Noi passiamo un url leggermente modificato per aggirare il controllo, utilizzando i caratteri unicode: /protected%c0%afprotected.zip
4. Il server analizza il percorso e si accorge che la cartella non è protetta(!)
5. Viene effettuata la decodifica unicode, “%c0%af” diventa “/”, ovvero “/protected%c0%afprotected.zip” diventa “/protected/protected.zip”
6. Il server recupera la risorsa e ce la consegna senza tante storie

Insomma, il controllo di sicurezza viene effettuato prima della conversione unicode. La codifica unicode maschera il vero url alla funzione di verifica, ma prima del recupero della risorsa l’url viene modificato e riportato all’originale. A questo punto è troppo tardi, la strada è già spianata.

Questo bug ricorda un bug molto più grave che tra il 2000 e il 2001 fece strage tra i server IIS4 e IIS5. Quella volta l’impatto fu molto più grande perché il bug aprì le porte all’esecuzione di comandi da remoto in modo estremamente semplice. Chi all’epoca si occupava di hacking se lo ricorderà molto bene. Questa volta l’impatto dovrebbe essere molto più limitato, considerando che WebDAV deve essere esplicitamente attivato, e per ottenere gli effetti più nefasti si devono verificare diverse condizioni.

Segnala presso: