Le password sono una rottura di balle, specialmente per chi non è sensibile al problema della sicurezza.
Molte realtà hanno una rete wireless, sia essa collegata alla LAN interna oppure direttamente ad Internet per gli ospiti.
In moltissimi di questi casi le password sono scritte in maniera visibile, specialmente quelle degli ospiti perché sembra che la cosa dia un senso di buona ospitalità e non debba costringere l’ospite a chiedere di poter usare la rete.
Bella idea, finché non arriva una troupe televisiva a fare delle riprese in HD:
Le installazioni di PHP che utilizzano l’interprete in modalità CGI (ma non in modalità FastCGI) sono esposte ad una possibile vulnerabilità.
Lo sfruttamento di questo baco è già in giro per Internet; se nei log http vi trovate qualcosa tipo
GET /index.php?-s HTTP/1.1
POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1
è qualche simpaticone che sta tentando di vedere se il vostro server è vulnerabile.
Per dissuadere gli attaccanti su un server Apche, indipendentemente dalla modalità con cui lavora PHP, basta aggiungere questi parametri nel file .htaccess o in un posto analogo
Si tratta di un sito che ospita un’applicazione (i cui sorgenti sono disponibili) per verificare quando un client di posta elettronica riveli a terzi.
Un normale messaggio di posta elettronica senza oggetti incorporati o richieste di conferme non può rivelare molto perché l’azione di apertura del messaggio da parte del client di posta elettronica (Outlook, Thunderbird, un webmail o altro) non comporta alcuna interazione aggiuntive con Internet che non sia l’atto di scaricare il messaggio stesso, azione che avviene con il proprio mail server, senza che il mittente abbia traccia di alcunché.
Oltre 100.000 router Speedport modello W921V, W504V e W723V hanno una backdoor attiva sul wi-fi.
La funzione WPS del router ha un PIN 12345670 cablato e utilizzabile anche senza la pressione di alcun tasto sull’apparecchio.
Come se non bastasse, il pin è attivo anche se la funzione WPS viene disattivata. L’unico modo, per ora, per impedire lo sfruttamento della backdoor è di disabilitare il wi-fi sui modelli interessati.
Gli Speedport sono i router forniti da Deutsche Telekom ai suoi clienti ADSL. (via The Hacker News)
Analizzare i tentativi di attacco dei server è sempre un’esperienza istruttiva per il SysAdmin.
Questa notte ho analizzato il tentativo di attacco, abortito per varie ragioni tra cui avere il sistema aggiornato, al server web di un cliente.
L’attaccante ha sfruttato una vulnerabilità di un vecchio script dimenticato per caricare alcuni file, ma poi non è riuscito ad andare molto più in là.
Uno di questi file è uno script shell bash che fa una cosa interessante:
In un articolo del blog, Iain Mulholland, il direttore del Security Response Center, ha comunicato che è stato pubblicato su Internet il contenuto di un file dei sorgenti di ESX.
Dalle analisi del file, risulta che il file faccia parte dei sorgenti di ESX del 2003 o del 2004, non sono state fornite altre informazioni in merito al tipo di file o al suo ruolo all’interno della struttura dei sorgenti del software.
Dal momento che VMware condivide parte del codice sorgente con partner industriali, la parte pubblicata potrebbe essere stata trafugata sfruttando una vulnerabilità nella sicurezza di uno dei partner, sono in corso le indagini per tentare di individuare la fonte esatta.
ESX è la versione dell’hypervisor abbandonata a partire dalla versione 5.0, che utilizza solamente la versione ESXi, ma non è ancora stato chiarito se il sorgente pubblicato si riferisca all’interfaccia ESX oppure al core del kernel di virtualizzazione, nel qual caso il problema potrebbe interessare anche ESXi. (via CRN)
Spammer e assimilati devono inventarsi ogni tipo di trucco per fare in modo che il social engineering funzioni nei confronti delle loro vittime.
Tra i trucchi utilizzati di recente c’è lo sfruttamento dei nomi a dominio che fanno riferimento a dei ccTLD non ASCII.
Una ricerca mirata su Google permette di vedere alcuni esempi dello sfruttamento di questa tecnica, in questo caso con il ccTLD non ASCII dello Sri Lanka .இலங்கை scritto in singalese tamil.
L’utilizzo di questo tipo di ccTLD potrebbe mettere in crisi alcuni filtri di posta elettronica o accesso al web se questi non sono opportunamente aggiornati o il loro funzionamento con questo tipo di TLD non è stato verificato opportunamente.
In questo quadro si inserisce la prossima approvazione dei gTLD, che non farà altro che complicare la vita a chi utilizza software non aggiornato o con delle regex di validazione limitate o antiquate. (via Mikko Hypponen)
La nota tecnica di Samba CVE-2012-1182 segnala un problema piuttosto serio del software che richiede attenzione immediata.
Le versione 3.x fino alla 3.6.3 inclusa presentano una vulnerabilità che consente ad un utente remoto di guadagnare i privilegi di root.
Sono state rilasciate le versioni 3.6.4, 3.5.14 e 3.4.16 che correggono il problema. Vista la serietà del problema sono state rilasciate anche delle patch per le versioni non piu supportate dalla 3.0.37 in avanti.
Se non è possibile patchare immediatamente la propria installazione di Samba è consigliabile limitare l’accesso tramite un firewall o utilizzando il parametro hosts allow, tenendo presente che il rimedio non risolve il problema. (via ISC SANS)
Dalla versione 11.2, la versione del player per Windows contiene un sistema di aggiornamento automatico. La prima volta che si installa una versione del software che include questa feature appare una schermata come questa:
Per default viene attivato l’aggiornamento automatico del player.
Chi non ha problemi di altro tipo dovrebbe lasciare il default e permettere al software di aggiornarsi automaticamente, in quanto le vulnerabilità di Flash sono sfruttate da molti malware.
Questo protocollo era già stato oggetto di precedenti attacchi, ora Microsoft sembra che sia arrivata per tempo per scongiurare problemi, posto che vengano installati gli aggiornamenti di questo patch tuesday.
I computer con il protocollo RDP esposto direttamente a Internet sono più di quelli che si possa pensare, la maggior parte sono PC di privati o di piccole organizzazioni.
Anche chi ha attivato il RDP all’interno dell’azienda dovrebbe applicare le patch quanto prima per evitare problemi.
Ogni compilatore, infatti, lascia una sorta di impronta di riconoscimento nel codice binario che crea e una parte di Duqu sembra essere stata realizzata con un compilatore diverso da quelli noti.
La parte esterna della DLL è un normale eseguibile PE realizzato con Visual Studio 2008, ma il modulo di connessione al C&C e di download di eventuali altre parti del malware non presenta i tratti tipici dei compilatori noti.
Dalle analisi di Kaspersky il linguaggio sorgente è con ogni probabilità un linguaggio ad oggetti che comunicano tra loro attraverso metodi, code di chiamate differite e callback; inoltre non sembrano esserci chiamate a librerie di runtime, ma vengono invocate direttamente le API di Windows.
Ulteriori e più tecnici dettagli sono qui, se qualcuno vuole contribuire può farlo lasciando un commento alla pagina.
Aggiornamento del 19/3/2012 – Il problema è stato risolto: quella parte è stata scritta utilizzando un’estensione custom a oggetti del C chiamata “OO C” e compilata con Microsoft Visual Studio Compiler 2008 utilizzando particolari opzioni di ottimizzazione.
La fase iniziale di setup è praticamente uguale a Windows 7, ma alla fine iniziano le sorprese che fanno capire il taglio di questa nuova release.
Quando viene richiesto il nome dell’utente del computer, l’opzione predefinita è quella di utilizzare un account Microsoft; si può, ovviamente, scegliere di utilizzare un account locale, ma alcune funzioni, non fondamentali specialmente in contesti aziendali, richiedono un account Microsoft per poter essere utilizzate. Si può comunque creare o collegare un account Microsoft anche dopo l’installazione.
