Nel dettaglio si tratta di due scoperte distinte, che se usate in accoppiata permettono di fare truncation del path in modo da aprire un file arbitrario presente sul filesystem del sistema o all’interno della open_basedir se configurata.

Consiglio di leggere l’advisory completa e magari il thread dedicato su Full Disclosure.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Causa di tutto questo gli impegni che, dalla fine dell’estate, hanno avuto un impennata esponenziale. Solo ultimamente riesco ad organizzare il (poco) tempo libero in maniera ottimale.

Nel frattempo si è svolto anche l’ESC e l’hackit_07.
Andiamo con ordine: all’ESC ho parlato di “GoogleTistic e WordPressTistic” insieme a Matteo Flora, non posso negare che è stata una bella esperienza e spero che abbia seguito a prossime manifestazioni: stay tuned. Le slides verranno pubblicate a breve.
Essendo la mia prima presenza a questa manifestazione non posso fare considerazioni, ma per quel poco che sono stato ho apprezzato l’atmosfera dell’hackIT_07: organizzazione, voglia di sperimentare e sopratutto non mi sembra di aver notato dei montati. Stando alle cronache dell’anno passato, quest’anno direi che, fortunatamente, i connotati filo-politici erano meno marcati. Vado a questo genere di eventi per parlare con amici, tecnici, smanettoni, ecc.. e la politica è bene lasciarla a casa.

Parlando invece di eventi futuri ricordo a tutti che tra poco più di una settimana si terrà il Linux Day 2007. Sabato 27 Ottobre si svolgerà in contemporanea in 106 città italiane la manifestazione nazionale articolata in eventi locali che ha lo scopo di promuovere Linux e il software libero. Il Linux Day è promosso da ILS (Italian Linux Society) e organizzato localmente dai LUG italiani e dagli altri gruppi che condividono le finalità della manifestazione.
Per il terzo anno consecutivo sto aiutando il LUG ACROS nell’organizzazione dell’evento che si svolgerà a Querceta (LU). In quella giornata terrò un seminario su Drupal: un CMS scritto in PHP rilasciato con GNU GPL.

Passando a tutt’altro argomento va un particolare ringraziamento a Feliciano Intini e Mario Fontana, che mi hanno fatto una gradita sorpresa: da pochi giorni appaio nella lista dei security blog italiani creata da Feliciano, grazie per la fiducia!

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Dal comunicato ufficiale (disponibile anche in italiano) si apprende come:

The disruption was triggered by a massive restart of our users’ computers across the globe within a very short timeframe as they re-booted after receiving a routine set of patches through Windows Update.

The high number of restarts affected Skype’s network resources. This caused a flood of log-in requests, which, combined with the lack of peer-to-peer network resources, prompted a chain reaction that had a critical impact.

Questo è il grafico creato con l’aggregazione dei dati ufficiali rilasciati da Skype:

Come si può vedere la discesa del numero di utenti connessi alla rete P2P (che forse non è così tanto P2P) è iniziata intorno alle 9:30AM (GMT) di Giovedì 16 Agosto.
Microsoft ha rilasciato le patch Martedì 14 Agosto, ben due giorni prima del down dei server di Skype. Mi verrebbe da pensare che essendo vicino a Ferragosto molti utenti (casalinghi per la maggior parte) abbiano installato le patch solamente il 16 Agosto scorso, ma dalle statistiche Skype si vede come il 15 Agosto erano circa 700.000 gli utenti in meno in confronto al giorno precedente. Ciò, secondo me, non può giustificare un calo improvviso di “supernodi” imputabile al riavvio dopo l’installazione delle patch. In più come fa notare un post su Security Team solo una patch, tra quelle rilasciate da Microsoft, potrebbe richiedere il riavvio del sistema.

Il 17 Agosto è comparso su un sito di sicurezza Russo (http://en.securitylab.ru/poc/extra/301419.php) un exploit che prometteva un DoS verso i server di Skype passando da riga di comando un numero di telefono arbitrario direttamente al client. Grazie anche all’ottima analisi di ascii si è capito che tale codice non era altro che un fake.
Ciò non significa che l’exploit non esista proprio, magari era stato rilasciato da qualcuno che ne aveva sentito parlare “nell’ambiente” ma che non ha avuto le capacità per riprodurlo.

Guarda caso, sempre il 17 Agosto, è stata rilasciata anche una nuova versione di Skype: 3.5.0.214.

Nel primo comunicato, Skype, ha ammesso che oltre ad essersi presentata una situazione particolare nella propria rete P2P, era emerso un bug finora non conosciuto:

Normally Skype’s peer-to-peer network has an inbuilt ability to self-heal, however, this event revealed a previously unseen software bug within the network resource allocation algorithm which prevented the self-healing function from working quickly.

Nel secondo comunicato è stato chiarito che è stata migliorata la resilienza del software stesso:

The parameters of the P2P network have been tuned to be smarter about how similar situations should be handled. Once we found the algorithmic fix to ensure continued operation in the face of high numbers of client reboots, the efforts focused squarely on stabilising the P2P core.

Ognuno tragga le proprie conclusioni, perchè dalle spiegazioni generiche che ha dato Skype, si capisce solo che non gradiscono la full-disclosure. Vedo che anche zen la pensa come me.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

@Systemgroup

Nell’ambito del convegno si terra’ la seconda edizione del Call For Paper, per cui sono previste due categorie di partecipazione; “Professional” e “Student”.

Tutti i paper selezionati saranno inseriti negli atti del convegno ed avranno il valore di una pubblicazione scientifica. Inoltre, agli autori dei migliori elaborati sara’ data la possibilità di presentarli durante l’evento.

Al vincitore di ogni categoria sarà assegnato il riconoscimento come “Best Paper Award”, e per l’autore dell’elaborato piu’ meritevole della categoria “Student” è prevista l’assegnazione di un celluare Linux-Based “Neo1973 Advanced Edition” .

La partecipazione al CfP è gratuita. Maggiori informazioni sono disponibili alla sezione dedicata presente sulla pagina web del convegno.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Sono sicuro che gli investimenti di Microsoft, fatti negli utlimi anni, abbiano contribuito a rendere più sicuri prodotti come Windows XP (SP2) e Windows Vista.
Da una ricerca fatta da Jeff Jones, rilasciata il giorno dopo quella di Symantec, Vista si è dimostrato più sicuro nei 90 giorni successivi al lancio sul mercato rispetto a XP.
Anche in questo documento viene messo a confronto Windows con sistemi come Red Hat Linux (Workstation 4), Ububtu (6.06 TLS), SUSE (Desktop 10) e altri.
Le ricerche di Symantec e di Jones non riportano la lista delle vulnerabilità prese in esame per le loro statistiche, così ho deciso di percorrere a ritroso la lista su Secunia, per Ubuntu le parti interessate sono: mono, gdm, kernel, ruby, gpg, ecc…
Nella lista di Windows XP Pro si trovano (sempre in ordine cronologico inverso): CSRSS (kernel), NetrWkstaUserEnum (kernel), CSRSS (kernel), Outlook Expres, CSRSS (kernel), ecc…

Non ci vuole molte a capire che il tipo di vulnerabilità dei due sistemi operativi sono completamente differenti; nella prima lista sono presenti maggiormente funzionalità non facenti parte del Kernel essendo applicazioni di terze parti, la seconda lista invece riporta problemi relativi al kernel di Windows.
Com’è possibile mettere a confronto un sistema operativo, come Ubuntu, che fornisce nativamente circa 10.000 pacchetti con uno come Windows che ne fornisce si e no 20?

In questa gara non ci sono vincitori, ma solo vinti.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Gli attacker prendendo le e-mail di contatto specificate nei WHOIS dei domini spediscono una richiesta, in inglese, che inivta ad caricare sul proprio spazio uno script in php (offuscato) che, secondo quanto scoperto dalle prime indagini, raccoglie informazioni sul sistema, apre una shell e installa un bot IRC scritto in Perl.

Solitamente il mittente, falsificato, è il proprio ISP, ma sono state rilevate anche varianti con mittente lo US FDIC (Federal Deposit Insurance Corporation).

I file php allegati che sono stati rilevati fin ora sono:

• webguard.php, size 130990 bytes, MD5: 1071956063131f0fd178ace92ab526bb e SHA1: c47dd28e336030e3d940b66e2884aba91124a831
• vprotect.php, size: 156686 bytes, MD5: 43f3c330f6e85943fd4a60c3b89787e2 e SHA1: d58bcb698417cbcf005a0e26e9e962a5097892d9

Quello che segue è una delle varianti della mail:

Dear #Nome dell’ISP# valued Members

Regarding our new security regulations, as a part of our yearly maintenance we have provided a security guard script in the attachment.

So, to secure your websites, please use the attached file and (for UNIX/Linux Based servers) upload the file “guard.php” in: “./public_html”

or (for Windows Based servers which use ASP) upload the file “guard.asp” in: “./wwwroot” in your site.

If you do not know how to use it, you can use the following instruction:

For Unix/Linux based websites that use PHP/CGI/PERL:
1) Download the attachment named “guard.zip”
2) Extract file “guard.php”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “Public_html” or “htdocs”
6) Choose “Upload Files”
7) Upload the file “guard.php”
Check its URL too “http://www.yoursite.com/guard.php”, if it is ok

For Windows based websites that use ASP:
1) Download the attachment named “guard.zip”
2) Extract file “guard.asp”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “wwwroot” directory
6) Choose “Upload Files”
7) Upload the file “guard.asp”
Check its URL too “http://www.yoursite.com/guard.asp”, if it is ok

Thank you for using our services and products. We look forward to providing you with a unique and high quality service.

Best Regards

#Nome dell’ISP#

L’attacco è stato rilevato per la prima volta l’8 Febbraio 2007 (Solid Space – Bluehost) mentre i principali blog ne stanno parlando solo negli utlimi giorni.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Aprendo con Firefox il link, passato dall’amico, mi si è presentata la pagina che invita ad installare la toolbar di MegaUpload la quale informa che:

Tutti gli slot di download assegnati al tuo paese ([PAESE]) sono attualmente in uso. Riprova tra qualche ora o installa la Megaupload Toolbar per l’accesso immeditato – con la toolbar installata non sussistono limitazioni di slot.

Poco più sotto sono elencati i requisiti minimi:

• Microsoft Windows (98, ME, NT, 2000, XP or Vista)
• Microsoft Internet Explorer version 5.0 or greater

Non volendo, sin da subito, pensare che le slot sono solamente un pretesto per far installare la toolbar, ho cercato di scaricare il file in due momenti diversi della giornata, ma evidentemente le slot, previste da MegaUpload, sono uguali a 0.
Non avendo Windows sulla mia macchina principale ho aperto la macchina virtuale con Windows 2000 Server che utilizzo per i test e ho deciso di installare la toolbar per capirne il comportamento.

Ho aperto il link del file su MegaUpload mentre uno sniffer salvava tutte le richieste HTTP inviate.
Header delle richieste inviate:

User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727; MEGAUPLOAD 1.0)

Capito che l’User-Agent era l’unica cosa che la toolbar personalizzava in IE non è stato difficile, tramite il plug-in Agent Switcher di Firefox crearne una ad hoc. Si noti che l’applicazione di MegaUpload controlla solamente che la stringa “MEGAUPLOAD” si trovi all’interno dell’header User-Agent pertanto è possibile utilizzarne anche uno di questo tipo:

Mozilla/5.0 (X11; U; Linux i686; it; rv:1.8.1.1) Gecko/20061228 Firefox/2.0.0.1 MEGAUPLOAD

Mi rendo conto che ciò che ho spiegato non rappresenta niente di innovativo o particolarmente tecnico, ma ciò che voglio far capire è che soprattutto nelle Web-Apps tutti i dati che arrivano dall’utente, compresi gli header HTTP, non devono mai essere considerati validi di default.
A riguardo si vedano casi di SQL-injection tramite header User-Agent e Referer.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Google, dopo la segnalazione di Finjan a Gennaio, ha provveduto ad eliminare (non poteva togliere la query string?) dal proprio database antiphishing tutti gli URL contenenti dati che potevano essere utilizati per scopi non leciti.
E’ stata anche rilasciata una nuova versione della toolbar in grado di togliere dall’url eventuali query string.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Il problema deriva da un buffer overflow nel JRE causato da una errata gestisce delle immagini GIF. Attraverso la creazione di una speciale immagine malformata, un aggressore può riuscire ad eseguire una applet Java con i massimi privilegi, inclusa, quindi, anche la manipolazione di file locali.

Per riuscire nell’attacco però deve essere l’utente a vistare un sito appositamente creato; ma oramai non è difficile nascondere iframe creati appositamente.
Sebbene la falla sia stata resa pubblica solo di recente da Zero Day Initiative, la sua correzione risale allo scorso dicembre: le versioni non vulnerabili di JRE sono la 5.0 Update 10, la 1.4.2_13, e la 1.3.1_19 e l’ultima versione 6. Per verificare quale versione di JRE sia installata nel proprio sistema, è possibile seguire le istruzioni, contenute nella parte finale, dell’advisory di Sun.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

All’interno del documento è stata presentata al pubblico la vulnerabilità, scoperta da Stefano, sul plugin Acrobat Reader che porta ad attacchi UXSS (Universal XSS), UCSRF (Universal CSRF) e CE (code execution).

Tutti i documenti pdf aperti con il plugin di Adobe all’interno di Firefox (versione 1.* e 2.*) o Internet Explorer (solo versione 6) sono vulnerabili agli attacchi sopra riportati. Tutte le piattaforme dove è disponibile Adobe Acrobat reader plugin sembrano interessate dal problema.

L’attacco con impatto più ampio è l’injection di JavaScript:

http://path/pdffile.pdf#UXSS=javascript:alert(�UXSS�);

Non sono il JavaScript può essere iniettato su host remoti ma anche su documenti locali:

file:///C:/Program%20Files/Adobe/Acrobat%207.0/
Resource/ENUtxt.pdf#UXSS=javascript:alert(“XSS”);
file:///C:/Programmi/Adobe/Acrobat%207.0/Resource/
ENUtxt.pdf#UXSS=javascript:alert(“XSS”);

(le  URI sono state spezzate per problemi di spazio)
mettendo così a repentaglio anche la sicurezza locale della macchina. I due esempi riportati sono abbastanza banali ma basta pensare ad un uso malizioso di JavaScript in locale per capire che non sarebbe difficile leggere o scrivere file.

Molte banche che offrono il controllo del proprio conto online hanno dei PDF (sul medesimo dominio) su statistiche o note informativi sui prodotti offerti. Per un attacker non sarebbe difficile tramite document.cookie rubare i cookie di ignari utenti.
Per risolvere il problema lato utente finale è necessario aggiornare alla versione 8 il plugin oppure, con Firefox, impostare il donwload dei file PDF.
Lato webmaster invece è consigliabile ospitare i file PDF su un dominio diverso dal quello principale oppure forgiare ad arte gli header HTTP in modo che venga forzato il download del PDF.

Maggiori informazioni si trovano sul sito dell’autore e su GnuCitizen.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)