Togliete QuickTime da Windows ADESSO

Se avete QuickTime installato su Windows rimuovetelo adesso.

Zero Day Initiative ha pubblicato due articoli (qui e qui) riguardanti due diverse vulnerabilità che permettono ad un attaccante di sfruttare QuickTime per Windows per eseguire codice arbitrario.

Apple ha deciso di non supportare più la versione di Windows di QuickTime anche se, secondo Bleeping Computer, Apple continua ad offrire il download attraverso il programma che aggiorna i suoi software per Windows. Leggi tutto “Togliete QuickTime da Windows ADESSO”

Prodotti Microsoft vulnerabili ai file TIFF

TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

I programmi interessati sono:

  • Office 2003
  • Office 2007
  • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
  • Lync

Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

…e se non posso?

Struttura / FrameNegli ultimi giorni è stata scoperta e risolta una vulnerabilità di Java e il DHS americano è arrivato a consigliare di disabilitare Java.

Il mese scorso è stata resa nota una vulnerabilità di Internet Explorer fino alla versione 8 e il consiglio è stato di utilizzare altri browser.

Questi consigli sono ovvi, ma spesso impraticabili perché ci possono essere applicazioni aziendali che richiedono quella specifica versione di Java o di Explorer. In questi casi bisogna risolvere il problema dall’esterno.

Leggi tutto “…e se non posso?”

Pubblicate alcune vulnerabilità di MySQL

Controllo siluri / Torpedo consoleL’articolo è stato aggiornato dopo la pubblicazione iniziale man mano che sono arrivati ulteriori dettagli sui problemi indicati.

Sono stati pubblicati su Full Disclosure i metodi (exploit) per attaccare i database server MySQL sfruttandone alcune vulnerabilità.

Non ho potuto verificare tutti gli exploit pubblicati in quanto non dispongo delle installazioni a cui fanno riferimento alcuni di questi metodi.

Le prove sono state fatte utilizzando come vittima un MySQL 5.1.66 a 64 bit installato dai pacchetti standard di CentOS 6, il computer attaccante è un Linux Ubuntu 12.10 collegato in LAN. Entrambi i sistemi sono aggiornati con le ultime patch disponibili. Nessuna modifica particolare è stata fatta a my.cnf sul server.

Leggi tutto “Pubblicate alcune vulnerabilità di MySQL”

Pericolosa vulnerabilità di Internet Explorer

Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

Vulnerabilità critica nel remote desktop

Microsoft ha rilasciato una patch che interessa tutti i sistemi operativi supportati per correggere un problema grave del protocollo RDP.

Questo protocollo era già stato oggetto di precedenti attacchi, ora Microsoft sembra che sia arrivata per tempo per scongiurare problemi, posto che vengano installati gli aggiornamenti di questo patch tuesday.

I computer con il protocollo RDP esposto direttamente a Internet sono più di quelli che si possa pensare, la maggior parte sono PC di privati o di piccole organizzazioni.

Anche chi ha attivato il RDP all’interno dell’azienda dovrebbe applicare le patch quanto prima per evitare problemi.

L’importanza di rendere pubbliche le vulnerabilità

Pescatore / FishermanUno dei temi più dibattuti nel campo della sicurezza è l’opportunità, dopo un ragionevole periodo di tempo non negoziabile da chi è oggetto del problema, di pubblicare le vulnerabilità dei software.

Come in altre situazioni, ci sono argomenti e singole casistiche pro e contro, ma nella lunga distanza la ragionevolezza suggerisce che sia opportuno pubblicare le vulnerabilità per evitare che chi le debba correggere decida di risparmiare sui costi di correzione, a danno dell’utilizzatore finale.

Se queste argomentazioni non sono sufficienti, ne espongo di seguito un’altra.

Ricordate FinFisher?

Secondo il Telegraph, la Gamma International avrebbe sfruttato una vulnerabilità di iTunes per inviare degli aggiornamenti fasulli alle vittime. Gli aggiornamenti altri non erano che FinFisher in uno dei suoi migliori travestimenti.

Leggi tutto “L’importanza di rendere pubbliche le vulnerabilità”

Non è colpa degli hacker

Ultimamente ci sono stati molti episodi di attacchi informatici a vari siti, a partire dal noto caso di Sony, di cui credo si sia perso il conto dei siti compromessi.

The Hacker News segnala un errore nel sito di CNN che sono riuscito a riprodurre senza problemi.

Se si visita l’URL http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966 (notare l’apicino) esce il bel messaggio d’errore

ERROR!
SELECT G.NAME, G.STATE_CODE, G.CITY, E.TUIT_OVERALL_FT_D, E.TUIT_AREA_FT_D, E.TUIT_STATE_FT_D, E.TUIT_NRES_FT_D, E.FEES_FT_D, E.RM_BD_D, E.RM_ONLY_D FROM COLLEGE_EXPENSES E, COLLEGE_GENERAL G WHERE G.INUN_ID = '7966 AND G.INUN_ID = E.INUN_ID (+) ORDER BY E.ACAD_YR DESC
java.sql.SQLException: ORA-01756: quoted string not properly terminated

e la videata riprodotta a qui sopra.

Questo non è un sofisticato attacco di un esperto programmatore contro un sito dotato di tutte le normali difese che il buon senso richiede.

Si tratta, invece, del più banale degli esempi di SQL Injection, così ovvio che è citato nella Wikipedia.

Come narra la cronaca, la maggior parte degli attacchi contro vari siti ha avuto successo non perché portati da gente esperta, ma perché c’era una porta lasciata colpevolmente aperta che attendeva solamente che qualcuno entrasse.

Un’ultima cosa:  visualizzare all’utente trace e dettaglio degli errori in un ambiente di produzione non è la più furba delle idee.

mysql.com e sun.com attaccati con una MySQL injection

Gli host mysql.com, www.reman.sun.com e www.ibb.sun.com sono stati attaccati con successo con una blind SQL injection.

Un post sulla lista Full Disclosure rivela l’elenco delle tabelle di alcuni database e il dump di mysql.user di mysql.com

Una pagina su BayWorlds rivela alcuni dati estratti attraverso l’attacco agli host di sun.com.

Full path disclosure

Sentiero verde / Green pathFull path disclosure (letteralmente divulgazione del percorso completo) è una vulnerabilità di un sito tale per cui, in particolari condizioni di errore, viene rivelato il percorso completo della directory del server in cui si trovano i file di un sito.

Apparentemente potrebbe essere un problema minimale, ma è un dato che facilita molto la vita a chi vuole penetrare nel sistema utilizzando altri punti deboli di un sito.

Leggi tutto “Full path disclosure”

ASP.NET: la cosa si fa seria (aggiornamento)

Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

Ma chi vuoi che…

«Sicurezza» sulla rampa di Malpensa / «Safety at Malpensa ramp»«Ma chi vuoi che venga ad hackerare proprio il nostro sito?»

Questa è la reazione di molte persone (indifferentemente singoli cittadini e responsabili di aziende o enti pubblici) che hanno o gestiscono un sito web  quando viene segnalata loro l’importanza della sicurezza. Leggi tutto “Ma chi vuoi che…”