DLL Vulnerability 2269637 – Individuare le Applicazioni Vulnerabili

Pubblicato il 30 agosto 2010 da guelfoweb

Sulla vulnerabilità ho accennato qualcosa su questo post, se vi interessano i dettagli tecnici, oltre al Security Advisory di Microsoft, vi consiglio di dare un’occhiata al post di Roberto Scaccia.

Il numero delle applicazioni affette da questa vulnerabilità (KB 2269639) è ancora indefinito, e – come è ovvio che sia – tale resterà. Niente di ufficiale, ma se siete desiderosi di sapere quali tra le applicazioni più note risulta essere vulnerabile potete consultare la lista creata da Peter Van Eeckhoutte basata sulle segnalazioni degli utenti. Nel mio piccolo anch’io sto cercando di dare il mio contributo.

Nel caso voleste contribuire anche voi ad arricchire la lista ho preparato questo kit, abbastanza semplice da utilizzare, per individuare velocemente le applicazioni potenzialmente vulnerabili.

Come funziona?

Ripropongo di seguito un esempio Step-by -Step per comprendere meglio le dinamiche.

Step 1: Il kit DynamicLoadLibraryTest.zip va estratto nella directory DynamicLoadLibraryTest.

NB: se utilizzate il wizard per l’estrazione del file compresso, il percorso ottenuto sarà errato:

C:\Documents and Settings\Administrator\Desktop\DynamicLoadLibraryTest\DynamicLoadLibraryTest

Per ottenere il percorso corretto aprite il file .zip e trascinate la cartella sul desktop:

C:\Documents and Settings\Administrator\Desktop\DynamicLoadLibraryTest

Step 2: Il file da eseguire è start.bat, un piccolo script batch che mette in ascolto Procmon, secondo le direttive impartite dal file di configurazione creato ad hoc, e resta in attesa finche’ non viene lanciata una applicazione.

Step 3: L’applicazione deve essere eseguita dalla cartella DynamicLoadLibraryTest. Quindi copiare l’applicazione all’interno della cartella DynamicLoadLibraryTest ed eseguirla.

NB: In questo esempio è stato utilizzato un semplice file .html con scritto “Test!” eseguito con Firefox 3.6.8 su Windows XP SP3.

Step 4: Una volta aperto il file .html con firefox dobbiamo avvisare lo script (start.bat), ancora in esecuzione sulla shell, che l’applicazione è stata lanciata. Bastera’ premere un tasto per lasciarlo proseguire e qualche secondo di attesa per conoscere l’esito.

Have fun :-)

Pubblicato in tool, vulnerability | Contrassegnato | 1 commento

Questa volta Tophost l’ha combinata grossa

Pubblicato il 27 agosto 2010 da guelfoweb

Per tutta la giornata di ieri anche il mio blog è stato giu’ a causa dei casini di Tophost (che preferisco non commentare).

L’impaziente attesa, nella speranza del ripristino totale del mio db, termina poco dopo le 19:00 quando sul sito di Tophost appare una brillante notizia

Ci spiace veramente per i dati che non siamo riusciti a recuperare.  In questi due giorni di fuoco abbiamo lavorato alacremente fino a tarda notte, perché ci teniamo a risolvere nel miglior modo possibile ogni problema e questo anche se potevamo nasconderci dietro le norme di fornitura dove è detto che l’integrità dei dati non è garantita e rendere a tutti i clienti semplicemente spazi resettati.

Con un po’ di pazienza sono riuscito a ripristinare da un recente backup le tabelle mancanti del mio database, a tanti altri purtroppo è andata diversamente.

Pubblicato in blog | Contrassegnato | 7 commenti

DLL, vecchie vulnerabilita’ nuovi 0-day, prime mitigazioni

Pubblicato il 24 agosto 2010 da guelfoweb

In questi giorni HD Moore ha accennato qualcosa su una interessante vulnerabilità che coinvolge diverse applicazioni Windows, e apparentemente quasi tutti i sistemi operativi Microsoft. In realtà la vulnerabilità oggetto di discussione è stata messa in luce circa dieci anni fa da Georgi Guninski.

Di cosa si tratta? Quando viene invocato un modulo DLL senza utilizzare correttamente le Windows API LoadLibrary, ovvero senza indicare un percorso assoluto, il sistema procede con la ricerca della libreria partendo dal percorso in cui viene eseguita l’applicazione. Quindi, se il modulo è presente nella directory di lavoro a quest’ultimo viene assegnata la priorità.

In particolare è vivamente sconsigliato (agli gli sviluppatori) utilizzare la funzione SearchPath:

If an attacker has copied a malicious version of a DLL into the current working directory, the path retrieved by SearchPath will point to the malicious DLL, which LoadLibrary will then load.

Al momento il numero di applicazioni Windows vulnerabili non è ben definito, ma da alcuni test che ho eseguito personalmente grazie ai suggerimenti di HD Moore risulta che la vulnerabilità può essere sfruttata attraverso applicazioni presenti di default nel sistema o mediante pacchetti ad esso correlati.

A riguardo Microsoft ha appena rilasciato un Security Advisory, le istruzioni per mitigare il problema e un tool che introduce una nuova chiave di registro (CWDIllegalInDllSearch) per controllare l’algoritmo di ricerca delle DLL.

Pubblicato in security, tool | Contrassegnato | Lascia un commento

Stuxnet e i sistemi SCADA

Pubblicato il 19 agosto 2010 da guelfoweb

Claudio Telmon ha appena pubblicato un interessante post con ottimi spunti di riflessione sulla situazione attuale delle PMI in relazione al recente malware Stuxnet, il cui bersaglio sono le reti SCADA, e al valore delle informazioni nei sistemi industriali.

Un articolo che vale la pena leggere.

Pubblicato in malware | Contrassegnato , , | 1 commento

Squalo nel Tevere

Pubblicato il 19 luglio 2010 da guelfoweb

Aggiornamento: su malainformazione.it è disponibile un approfondimento di Marco Reis.

Un turista irlandese, William McGill, afferma di aver visto nel Tevere la pinna di uno squalo e ha mandato via e-mail la foto scattata con il cellulare. [Fonte Corriere]

Ne parlano in tanti (AGI, Corriere, Il Messaggero) e a tutti sorge il sospetto che potrebbe trattarsi di una bufala.

Tralasciando per un attimo le questioni ambientali, ovvero se uno squalo d’acqua dolce può vivere o meno nelle acque del Tevere, ma limitandoci ad analizzare la foto a disposizione, sorgono immediatamente seri dubbi sull’attendibilità della notizia e anche sul fatto che la foto mostrata non è esattamente quella originale.

(Il Messaggero)

L’autore della foto sostiene di averla scattata con un cellulare (non è stato specificato il modello); dai metadati emergono interessanti informazioni:

Marca fotocamera: LEICA

Modello fotocamera: D-LUX3

LEICA D-LUX3 è una fotocamera digitale compatta e non un telefonino cellulare.

Sempre dai metadati si evince che la foto è stata editata con un programma di fotoritocco, “Adobe Photoshop CS3 Windows” nello specifico “Photoshop 3.0.8″. Su questo punto però potrebbe sorgere il dubbio che la foto fosse stata editata dalla redazione per adattarla all’articolo.

Analizzando bene la “sporcizia” contenuta nella foto viene fuori anche questa informazione scritta dalla redazione

GTEVERE,SQUALO IN ACQUE FIUME?FOTO VIA E-MAIL TRA GIALLO E BUFALA – FOTO
%La fotografia arrivata alle redazioni

il che avvalora l’ipotesi che comunque la redazione abbia, anche se in minima parte, alterato la foto originale.

Pubblicato in forensics, foto | 5 commenti

ÜberTwitter….

Pubblicato il 17 luglio 2010 da guelfoweb

…e ancora una volta la privacy va a farsi benedire.

Francisco Amato (non fatevi illudere dal cognome, non è un mio parente ma un amico argentino), CEO di Infobyte Security Research, ha pubblicato una breve analisi sul comportamento alquanto anomalo di ÜberTwitter, uno dei più noti client twitter per blackberry.

In breve, tutte le volte che l’applicazione viene avviata, prima di ogni altra cosa, la stessa provvede a far recapitare al proprio server le seguenti informazioni estirpate dal vostro blackberry:

  • Personal Identification Number BlackBerry (PIN)
  • Phone Number
  • e-mail
  • Physical Location of equipment

Se tenete minimamente alla vostra privacy disinstallate l’applicazione. Se siete interessati ai dettagli e all’analisi del traffico vi consiglio di fare un salto sul blog e leggere per intero sul post di Francisco.

Pubblicato in privacy | Contrassegnato | Lascia un commento

knock 1.4.2b

Pubblicato il 10 luglio 2010 da guelfoweb

Giorno 5 di questo mese ho rilasciato la versione 1.4.2b di knock.

Rispetto alle versioni precedenti, tralasciando l’ottimizzazione del codice necessaria per migliorarne le prestazioni, sono state implementate nuove feature utili per discovery e testing ed è stata integrata una wordlist di 1900 possibili sottodomini.

Dunque, se non viene specificata una wordlist come argomento opzionale knock provvederà ad utilizzare la sua wordlist interna.

$ python knock.py twitter.com

L’output è disponibile qui.

Se si preferisce escludere la wordlist interna per lavorare su una wordlist personale basta specificarlo come argomento opzionale immediatamente dopo il nome dominio.

$ python knock.py twitter.com wordlist.txt

DNS Zone Transfer

Tra le nuove funzioni di discovery è ora presente l’opzione -zt, sempre utilizzato come parametro opzionale, per eseguire query DNS Zone Transfer. Esclusivamente per questa operazione è necessario predisporre del modulo dnspython.

$ python knock.py punto-informatico.it -zt

L’output è disponibile qui

DNS Resolving

La risoluzione DNS, che normalmente viene eseguita di default durante le altre operazioni, può essere effettuata singolarmente utilizzando l’opzione -dns dopo aver indicato il nome del dominio. In questo caso knock non proseguirà con il discovery dei sottodomini mediante wordlist (interna o esterna).

$ python knock.py chebanca.it -dns

L’output è disponibile qui

Wildcard Testing

Questa è una delle feature essenziali che in realtà doveva essere introdotta già da tempo :-|

Come per il DNS Resolving anche il Wilcard Testing viene eseguito di default durante le operazioni di discovery ma può essere lanciato separatamente utilizzando l’opzione -wc.

$ python knock.py miosito.com -wc

To Do

Anche se le idee non mancano al momento preferisco focalizzare l’attenzione su due punti fondamentali: la gestione dell’output su file e  l’ottimizzazione del codice con l’implementazione del multisocket. Naturalmente qualsiasi suggerimento è sempre ben accetto.

Link: knock.gianniamato.it

Pubblicato in code, tool | Contrassegnato | 3 commenti

Knock e Twitter

Pubblicato il 30 giugno 2010 da guelfoweb

Ecco un report della versione 1.4.2 di knock, ancora in sviluppo, testato su Twitter.

Interessante questo start.twitter.com e questo vpn.twitter.com

Pubblicato in code | Contrassegnato | Commenti disabilitati

Alla ricerca di un tool per l’analisi forense dei Web Server Log

Pubblicato il 14 giugno 2010 da guelfoweb

Robert Hansen, meglio noto come RSnake, è alla ricerca di una applicazione per uso forense in grado di analizzare tipologie diverse di log estratti da web server.

Per esigenze lavorative piu’ volte mi è passato per la mente di scrivere uno strumento che mi aiuti ad automatizzare le operazioni, di volta in volta ho rimandato perchè puntualmente si sono presentate problematiche differenti. I requisiti elencati nel post rendono bene l’idea di quanto possa essere complesso scrivere una applicazione adatta per ogni esigenza, soprattutto quando ci si trova davanti a svariate giga o tera di log da analizzare.

Tralasciando il foglio di calcolo con il quale sarebbe assurdo operare o comode GUI tuttofare che in realtà non soddisfano mai a pieno le esigenze, al momento non vedo soluzioni idonee in grado di soddisfare ogni requisito. Ragione per cui continuo a “zappare” con linux a colpi di cat, cut e grep.

Intanto nei commenti al post saltano fuori una serie di interessanti soluzioni sia open sia free che possono sempre tornare utili.

Pubblicato in forensics | Contrassegnato | 2 commenti

Chi ha caricato questa foto su Facebook?

Pubblicato il 29 maggio 2010 da guelfoweb

Si fa tanto parlare di foto pubblicate su Facebook senza autorizzazione delle persone immortalate. Se è vostra intenzione sporgere denuncia sarebbe utile prendere opportune precauzioni prima che la foto venga rimossa dall’album di chi l’ha caricata.

Per (nostra) fortuna, conoscendo la url, le foto caricate su Facebook possono essere visionate anche senza autenticazione al social network, questo ci consente di utilizzare hashbot per procedere con l’acquisizione.

Nel nostro caso la url è la seguente:

http://sphotos.ak.fbcdn.net/hphotos-ak-ash1/hs513.ash1/30258_1455271299173_1155053171_1346066_2484051_n.jpg

Da bravi investigatori quale siete, in base alle informazioni fornite, riuscite a scoprire chi ha caricato questa foto su facebook?

Premessa:

A pochi minuti dalla pubblicazione del post quella volpe di Soldatino ha postato la soluzione nei commenti su Facebook. Altrettanto bravi sono stati Supsonic e Massimiliano Losego che hanno dato la soluzione nella ML di CFI.

Soluzione:

La foto è una JPEG il cui nome del file è composto da una serie di parametri numerici separati da un underscore “_” e termina con la lettera “n” seguita dall’estensione .jpg

30258_1455271299173_1155053171_1346066_2484051_n.jpg

In totale sono 5 gruppi di numeri, il terzo (1155053171)rappresenta l’id dell’utente che ha caricato la foto, verificabile con questa url

http://www.facebook.com/profile.php?id=1155053171

mentre il quarto gruppo(1346066)sta ad indicare l’id della foto. Assemblando il tutto otteniamo:

http://www.facebook.com/photo.php?pid=1346066&id=1155053171

Dunque, il solo nome del file è sufficiente a dimostrare che il soggetto che ha caricato la foto su facebook è quel criminale di Massimiliano Graziani :-)

Pubblicato in forensics, foto | Contrassegnato , | 3 commenti