Nelle prime ore del 22 Dicembre scorso, zone-h.org ha subito un defacement direttamente sulla propria home page.
Stando al resoconto fatto da Zone-H (disponibile anche in italiano) l’attacco iniziato il 17 Dicembre è stato veramente molto articolato: cominciato con un XSS su Hotmail (scoperto lo scorso Agosto) per rubare la password a membro di Zone-h e continuato con l’inclusione di file locali (era stata precedentemente caricata una shell php) tramite un bug del modulo JCE di Joomla. Avuta la possibilità di eseguire una shell in php l’attaccante ha caricato una nuova shell php e ha creato un file .htaccess per disabilitare il mod_security. Con la nuova shell e il mod_security disabilitato è stato in grado, infine, di cambiare la index.php
Non c’è che dire, questa volta, il fattore umano e i soliti moduli per CMS scritti senza pensare alla sicurezza, hanno fatto la differenza.
Non mi è ben chiaro, però, com’è stato possibile all’attancante richiamare la prima versione della shell con il mod_secuirty attivo e un parametro della query string settato in questo modo:
plugin=..<>/<…<///..<////..<////..<////..<////images/stories/food/x
Da ieri risulta impossibile spedire e-mail al mio indirizzo principale su questo dominio.
L’errore è causato dall’MTA di TopHost che non riconoscendo più matteocarli.com come dominio locale rifiutando le email, che gli altri MTA tentano di consegnare, riportando l’errore: Relaying denied.
Chiedo a chi mi voglia contattare di pazientare; sto cercando di tamponare il problema cambiando i server smtp del dominio. Un mio indirizzo e-mail alternativo è swit AT lug-acros.org
Aggiornamento: problema rientrato, il pannello per la configurazione dei record DNS di TopHost ha avuto qualche problema.
Probabilmente tra pochi giorni il link che segue non funzionerà più, ma come annunciato sul sito ufficiale, il 31 Dicembre 2006, l’ORDB chiuderà.
E’ un importante evento che segnerà l’ultimo giorno del 2006. La ragione che porta a questa scelta è dettata dal fatto che i fondatori del progetto hanno altri impegni e che li spammer hanno cambiato le loro tattiche per l’invio di email:
Our volunteer staff has been pre-occupied with other aspects of their lives. In addition, the general consensus within the team is that open relay RBLs are no longer the most effective way of preventing spam from entering your network as spammers have changed tactics in recent years, as have the anti-spam community.
E’ vero sì che gli spammers hanno cambiato le loro tattiche, ma è vero anche che lo hanno fatto perchè anni fa sono nati servizi come questo! Il problema dei server Open Relay non è stato cancellato, è stato solo attenuato grazie all’uso di liste come ORDB nei server smtp: se l’email proviene da un server che risulta positivo alla query effettuata su relays.ordb.org, essa viene scartata direttamente.
Riflettendo con questa ottica, alla chiusura di ORDB, protrebbero accadere alcune cose interessanti:
- un rallentamente nella consegna delle email, a causa del timeout nel lookup DNS di relays.ordb.org, nei server smtp non aggiornati
- un bruso aumento dello spam a causa del ritorno agli Open Relay da parte degli spammer
Aspettando di vedere cosa succederà, consiglio, a tutti quelli che tutt’ora fanno uso di ORDB di toglierlo dal proprio MTA e introdurre filtri “intelligenti” come SpamAssassin o DPSPAM.
La vulnerabilità scoperta è causata da un errore di eleborazione degli HardError inviati al “Windows Client Server Run-Time Server Subsystem” (CSRSS).
Se la funzione MessageBox viene richiamata con il flag MB_SERVICE_NOTIFICATION attivo dalle API di Windows, essa userà la syscall NtRaiseHardError per inviare un HardError al CSRSS. Il messaggio inviato conterrà il titolo e il testo della MessaBox che sarà visualizzata dal CSRSS.
Se il titolo o il testo passati alla funzione inizieranno con “\??\”, la funzione libererà il buffer allocato e ritornerà un puntatore ad esso. Dopo che la Message Box verrà chiusa dall’utente, il solito buffer verrà svuotato nuovamente, attraverso la funzione FreePhi, causando così due vulnerabilità.
I sistemi affetti da questo bug sono:
- Windows 2000 (SP4)
- Windows XP (SP1 e SP2)
- Windows 2003 (SP1)
- Windows Vista
La vulnerabilità è stata scoperta da NULL, il quale ha scritto un post su un forum Russo. Nel thread relativo al bug è stato postato anche un PoC che causa un DoS.
Stando a quanto riportato da Secunia, dal blog MSRC di Microsoft e da Determina il bug permetterebbe anche l’elevazione dei privilegi locali su tutti i sistemi Windows interessati dalla vulnerabilità.
Ecco un estratto dal Blog di Microsoft:
The PoC reportedly allows for local elevation of privilege on Windows 2000 SP4, Windows Server 2003 SP1, Windows XP SP1, Windows XP SP2 and Windows Vista operating systems. Initial indications are that in order for the attack to be successful, the attacker must already have authenticated access to the target system.
