Информационная безопасность → Повышение привилегий в Linux >=2.6.39
После того, как Линус запатчил ядро 17 января, опубликовано подробное описание уязвимости с повышением привилегий через
Автор описания уязвимости первоначально не выкладывал готовый код, но поскольку на основе его поста в блоге такие эксплойты всё-таки появились в открытом доступе, то он тоже выложил свой эксплойт Mempodipper. Вот также шелл-код для 32-битной и 64-битной версий. Здесь видео с демонстрацией хака.
Появление уязвимости стало возможным благодаря тому, что в ядре 2.6.39 было решено убрать «избыточную» защиту
/proc/pid/mem в suid. Это довольно умный хак, который применим для всех версий ядра >=2.6.39. Можете проверить у себя или на каком-нибудь непропатченном удалённом сервере.Автор описания уязвимости первоначально не выкладывал готовый код, но поскольку на основе его поста в блоге такие эксплойты всё-таки появились в открытом доступе, то он тоже выложил свой эксплойт Mempodipper. Вот также шелл-код для 32-битной и 64-битной версий. Здесь видео с демонстрацией хака.
Появление уязвимости стало возможным благодаря тому, что в ядре 2.6.39 было решено убрать «избыточную» защиту
#ifdef.
Python → Gray Hat Python — Immunity Debugger
Intro
Рассмотрев создание и использования отладчика на чистом Python’е в виде PyDbg, пришло время изучить Immunity Debugger, который состоит из полноценного пользовательского интерфейса и наимощнейшей Python-библиотекой, на сегодняшний день, для разработки эксплойтов, обнаружения уязвимостей и анализа вредоносного кода. Выпущенный в 2007 году, Immunity Debugger имеет хорошее сочетание возможностей как динамической отладки, так и статического анализа. Помимо этого он имеет полностью настраиваемый графический интерфейс, реализованный на чистом Питоне. В начале этой главы мы кратко познакомимся с отладчиком Immunity Debugger и его пользовательским интерфейсом. Затем начнем постепенное углубление в разработку эксплойта и некоторых методов, для автоматического обхода анти-отладочных приемов, применяемых в вредоносном ПО. Давайте начнем с загрузки Immunity Debugger и его запуска.
Блог компании Sprinthost.Ru → Через какую дыру взломали сайт?
Если сайт взломан, мало удалить с него вирус и загруженный PHP Shell. Нужно еще найти причину, по которой произошел взлом, иначе через день-два на сайте снова будет под бодрую музыку развеваться красивый Имея некоторый опыт в этой сфере (в среднем наша техподдержка занимается поиском причины взлома сайта раз в неделю), мы систематизировали накопившуюся информацию.
Итак, зачем вообще взламывают сайты? И что делать, если сайт взломан, как найти причину и защититься от последующих атак?
Веб-разработка → Свежий эксплойт для IE9: подробности
От переводчика
В недавнем посте об ошибках IE9 умпоминается 0-day уязвимость. Меня заинтересовала эта информация, и я попробовал выяснить кое-какие подробности. Результатом стал следующей перевод. Я затрудняюсь дать точную ссылку на описание конкретной уязвимости, желающие получить более подробную информацию могут найти её на сайте компании Vupen.
Новый эксплойт IE9
Новый эксплойт IE9 обходит все средства обеспечения безопасности даже в последней версии Windows 7 со всеми обновлениями, сообщает французская компания Vupen, специализирующаяся на информационной безопасности.
Информационная безопасность → Критическая уязвимость в 40 Windows-приложениях
Оказывается, баг в Apple iTunes под Windows, закрытый в версии 9.1, оказался гораздо серьёзнее, чем предполагалось. По словам Эйч Ди Мура (автор известной программы Metasploit), он не исключителен для iTunes, а присутствует ещё примерно в 40 программах Windows, включая Windows-шелл, и Microsoft никак не сможет его закрыть одним патчем. Для каждого приложения придётся выпустить отдельное обновление.
Названия приложений не сообщаются, чтобы не выдать механизм создания эксплойта. Однако Эйч Ди Мур заметил, что этот баг похож на недавно обнаруженную белорусами уязвимость с ярлыками Windows, которая была закрыта внеочередным патчем Microsoft от 2 августа. Эйч Ди Мур обнаружил новую уязвимость как раз тогда, когда изучал баг с ярлыками. Здесь злоумышленник может подгрузить на машину жертвы .dll после того как пользователь откроет «безопасный» файл с сетевого диска. Атака возможна через браузер или другую программу, например, офисные приложения с внедрённым контентом.
Рекомендации по защите аналогичны тем, что были в прошлый раз: блокировка исходящего SMB (порты TCP 139 и 445) и отключение клиента WebDAV.
Названия приложений не сообщаются, чтобы не выдать механизм создания эксплойта. Однако Эйч Ди Мур заметил, что этот баг похож на недавно обнаруженную белорусами уязвимость с ярлыками Windows, которая была закрыта внеочередным патчем Microsoft от 2 августа. Эйч Ди Мур обнаружил новую уязвимость как раз тогда, когда изучал баг с ярлыками. Здесь злоумышленник может подгрузить на машину жертвы .dll после того как пользователь откроет «безопасный» файл с сетевого диска. Атака возможна через браузер или другую программу, например, офисные приложения с внедрённым контентом.
Рекомендации по защите аналогичны тем, что были в прошлый раз: блокировка исходящего SMB (порты TCP 139 и 445) и отключение клиента WebDAV.
Вирусы (и антивирусы) → Сайт auto.ru заражен
На странице http_//auto.ru/tagaz/ грузится скрипт
Вызывается iframe
Адрес известный: safeweb.norton.com/report/show?name=hjessc.info
script type="text/javascript" src="http_//dmdfty.info/show-banner.php?kod=681458&site=www.auto.ru"
Вызывается iframe
http_//hjessc.info/cgi-bin/qp
Адрес известный: safeweb.norton.com/report/show?name=hjessc.info
Персональные блоги → Новая напасть. Хардварные эксплойты
Добрый день всем. Работа ИТ-команды нашей компании сегодня была практически остановлена — причина тому, новый хардварный эксплойт, который обнаружился на нескольких серверах.
Подробности под катом
Подробности под катом
Информационная безопасность → Критическая уязвимость в продуктах Apple не закрыта 7 месяцев
Опубликован эксплойт критической уязвимости для большинства продуктов Apple: компьютеров, ноутбуков, iPhone и даже Apple TV. Информация об уязвимости была известна с июня прошлого года, но Apple проигнорировала ее.
Уязвимость позволяет удаленному злоумышленнику выполнить произволный код на устройстве жертвы, которая посетила вредносный сайт в интернете.
Сообщается, что подобная уязвимость была обнаружена в системах OpenBSD, NetBSD, FreeBSD, но там она была закрыта.
via www.theregister.co.uk/2010/01/12/critical_osx_security_bug/
Уязвимость позволяет удаленному злоумышленнику выполнить произволный код на устройстве жертвы, которая посетила вредносный сайт в интернете.
Сообщается, что подобная уязвимость была обнаружена в системах OpenBSD, NetBSD, FreeBSD, но там она была закрыта.
via www.theregister.co.uk/2010/01/12/critical_osx_security_bug/
Информационная безопасность → Появился патч для Internet Explorer (Операция «Аврора»)
Как и обещал, читатели хабра первыми узнают о появлении обновления:)
Буквально пару минут назад мы опубликовали обновление, закрывающее уязвимость во всех версиях Internet Explorer. Скачать можно обновление можно через Центр обновления Microsoft (Microsoft Update) или загрузить его вручную через Центр загрузки
Напоминаем, чтобы для повышения безопасности компьютера мы рекомендуем обновить ваш браузер до Internet Explorer 8.
ЗЫ И не отключайте автообновление в Windows, это позволит вам регулярно получать последние обновления безопасности
Узнать техническую информацию об узвимости можно здесь: www.microsoft.com/rus/technet/security/advisory/979352.mspx + информация на английском здесь: www.microsoft.com/technet/security/bulletin/ms10-002.mspx
Буквально пару минут назад мы опубликовали обновление, закрывающее уязвимость во всех версиях Internet Explorer. Скачать можно обновление можно через Центр обновления Microsoft (Microsoft Update) или загрузить его вручную через Центр загрузки
Напоминаем, чтобы для повышения безопасности компьютера мы рекомендуем обновить ваш браузер до Internet Explorer 8.
ЗЫ И не отключайте автообновление в Windows, это позволит вам регулярно получать последние обновления безопасности
Узнать техническую информацию об узвимости можно здесь: www.microsoft.com/rus/technet/security/advisory/979352.mspx + информация на английском здесь: www.microsoft.com/technet/security/bulletin/ms10-002.mspx
Информационная безопасность → Патч для Internet Explorer появится 21-го января(Операция «Аврора»)
Многие уже написали об уязвимости, наденной в большинстве версий Internet Explorer (раз пост на хабре, два пост).
Буквально пару минут назад мне пришла коммуникация из корпорации, в которой коллеги анонсируют выпуск обновления завтра в 21-00 по Москве (10 часов утра в Редмонде). Кроме закрытия уязвимости(о ней можно больше прочитать тут), о которой все так много говорят, в него войдут и другие важные обновления, касающиеся Internet Explorer.
О появлении заплатки можно будет узнать на хабре, в блоге корповой команды или же у меня в блоге.
Не забудьте загрузить обновления завтра!
И не забывайте, что атаки не затронули пользователей Internet Explorer 8, так что обновляйте ваши браузеры:)
Буквально пару минут назад мне пришла коммуникация из корпорации, в которой коллеги анонсируют выпуск обновления завтра в 21-00 по Москве (10 часов утра в Редмонде). Кроме закрытия уязвимости(о ней можно больше прочитать тут), о которой все так много говорят, в него войдут и другие важные обновления, касающиеся Internet Explorer.
О появлении заплатки можно будет узнать на хабре, в блоге корповой команды или же у меня в блоге.
Не забудьте загрузить обновления завтра!
И не забывайте, что атаки не затронули пользователей Internet Explorer 8, так что обновляйте ваши браузеры:)