En PC & Nätverksteknikers tankar

En sårbarhet som kan medföra exekvering av godtycklig kod har upptäckts i Adobe Acrobat Reader.

Genom att skapa en pdf-fil som utnyttjar sårbarheten kan en angripare exekvera godtycklig kod med samma rättigheter som den inloggade användaren har. För närvarande finns det ingen programrättning att tillgå.

För att minska risken att drabbas uppmanas användare av Adobe Acrobat Reader att undvika att öppna pdf-dokument som inte kommer från pålitliga källor.

Sårbarheten upptäcktes av Symantec.

Påverkade versioner:
Adobe Acrobat Reader 9.0.0 och tidigare

Källa: Shadowserver.org / Security Tracker

Adrian Pastor vid Procheckup har upptäckt fyra sårbarheter i Novell Groupwise Webaccess och Nick DeBaggis vid Zero Day Initiative har upptäckt en sårbarhet i Groupwise Internet Agent (GWIA).

1. Webaccess är sårbart för en s.k. "Cross-Site Request Forgery" (CSRF). Sårbarheten medger att en angripare kan ta över en användares Groupwise-konto genom att lura användaren att besöka en riggad webbplats eller klicka på en riggad länk.
2. Webaccess innehåller två s.k. "Cross-Site Scripting"-sårbarheter - en beständig (persistent) och en icke-beständig (non-persistent). Dessa två sårbarheter kan medge exekvering av godtycklig skriptkod i en användares webbläsare.
3. Webaccess innehåller en sårbarhet i hanteringen av HTTP POST-förfrågningar. Sårbarheten kan användas av en angripare för att få Groupwise att läcka information.
4. GWIA är sårbart för en buffertöverflödning. En angripare kan utnyttja sårbarheten för att exekvera godtycklig kod.

• Novell Groupwise 6.5x
• Novell Groupwise 7.0
• Novell Groupwise 7.01
• Novell Groupwise 7.02x
• Novell Groupwise 7.03
• Novell Groupwise 7.03HP1a
• Novell Groupwise 8.0

Det har blivit känt att exploateringskod till en 0-day sårbarhet som påverkar Microsoft Internet Explorer finns att tillgå på Internet. Sårbarheten, som är heap-baserad, orsakas av bristande säkerhet i hanteringen av specialformaterade XML-taggar som refererar till frigjort minne i mshtml.dll.

För att sårbarheten ska kunna utnyttjas så krävs att Internet Explorer 7.x körs på Windows XP eller Window 2003. De bekräftar att sårbarheten har utnyttjats på Internet.

För tillfället finns det inte så mycket information att tillgå kring sårbarheten. Det är viktigt som användare att vara noggrann med vilka sidor man besöker samt vilka länkar man följer.

Microsoft har lagt upp följande säkerhetsråd: Microsoft Security Advisory 961051

Påverkade versioner:

• Microsoft Internet Explorer 7.X

En sårbarhet har rapporterats i Microsoft Internet Information Server, som kan utnyttjas av angripare att kompromettera ett sårbart system.

Sårbarheten orsakas på grund av ett "integer overflow" fel inom IPP (Internet Printing Protocol) ISAPI-tillägg till IIS vid behandling av särskilt utformad IPP svar. Detta kan utnyttjas för att exekvera godtycklig kod genom att lura en påverkas webbserver i anslutning till en skadlig IPP-server via en särskilt utformad HTTP "POST" begäran.

Ett framgångsrikt utnyttjande kräver att IPP är aktiverat i IIS.

Källa: Secunia

Sårbarheter

I likhet med första halvåret 2007 har det efterföljande halvåret innehållit publicerade
sårbarheter i allt från mediaspelare till managementsystem. Klientprogramvaror som
webbläsare och antivirus program samt backupprogramvaror tycks fortfarande vara
under luppen. Inget operativsystem har heller utmärkts sig för att vara särskilt befriat
från säkerhetshål.

Andra halvåret 2007 har i jämförelse med första halvåret skonats från signifikanta
"zero day"-sårbarheter. "Zero day"-sårbarheter av allvarlighets graden som drabbade
Microsoft Office/Word under första halvåret har lyst med sin frånvaro. Förhoppningsvis
är det ett tecken på att programmen blivit betydligt motståndskraftigare efter första
halvårets händelser. Men då dessa sårbarheter figurerade internationellt i riktade
attacker leds pessimisten till att tro att marknaden för dessa sårbarheter snarare gått
under jorden än krympt.

En typ av sårbarheter som fick extra uppmärksamhet förra halvåret var sårbarheter i
hanteringen av URI:er (Uniform Resource Identifier). Uppmärksamheten berodde
delvis på att det uppstått debatt när det skulle avgöras vilken systemkomponent som
felat – URI-protokollhanteraren i operativsystemet1 eller den klientprogramvara som
ofiltrerat skickade förfrågan vidare? Sannolikt ligger felet i såväl operativsystem som
klientprogramvara, men oavsett vem som egentligen bär skulden påvisar det
komplexiteten i frågan.

Skadlig kod
Tiden för massiva utbrott av skadlig kod verkar sedan länge vara förbi. Skadlig kod
som utan användarinteraktion sprider sig mellan publika tjänster är i dag sällsynt.
Primärt destruktiv kod får inte heller det utrymmet den en gång hade. Nu för tiden
används skadlig kod allt oftare i syfte att tjäna pengar. Skadlig kod som inte kan
undvika att bli upptäckt riskerar också att rensas bort av användaren. En rensad
maskin betyder en förlorad potentiell inkomstkälla för busen. En följd av detta är att nu
mer än tidigare har diskretion blivit en dygd.

Sedan januari 2007 har Storm Worm (även känd som W32.Peacomm, Nuwar, Tibs,
CME-711 och Zhelatin) spridits genom e-postbilagor och webbplatser. Storm inledde
sin spridning i anslutning till en period av turbolent väder i Europa. Ämnesraden i
meddelandena var då "230 dead as storm batters Europe", men sedan dess har epostmeddelanden med en mängd olika ämnesrader förekommit. Inte sällan har
ämnesraderna rört vid tillfället aktuella händelser eller andra typer av ämnen som
lyckats locka användare att klicka på bilagor eller länkar i e-postmeddelanden.

Klienter som infekterats har ofrivilligt fått bli del i ett botnet. Under det senaste halvåret
har detta botnet innefattat ett stort antal klienter. Uppskattningarna har skiftat kraftigt
över tid och källa. Allt mellan 160.000 och 50 miljoner har förekommit.

Storm-nätet har bland annat använts för att skicka skräppost eller utföra
tillgänglighetsattacker (DDoS). Som vi noterade i föregående lägesrapport är
användningen av "peer-to-peer"-teknik i botnets ett faktum. Storm-nätverket är ett
exempel på just detta. Genom en decentraliserad struktur blir ett sådant nät mindre
sårbart än ett traditionellt botnet. Förutom användningen av rootkit teknik,
decentraliserad struktur och krypterade kontrollkanaler har Storm-nätverket under
sommaren implementerat ännu en teknik - Fast-flux.

Fast-flux är en teknik som använder DNS för att skydda vissa tillgångar, såsom
nätfiskesidor eller sidor som hyser skadlig kod, bakom ett rörligt mål bestående av ett
stort antal infekterade maskiner. Metoden bygger på att ett domännamn byter IPadress
väldigt frekvent, så ofta som var 3:e minut. Genom att associera ett
domännamn med ett stort antal IP-adresser samt bruka låga TTL:er (Time-To-Live)
och ”round robin” kan denna snabba "flux" åstadkommas. För ytterligare skydd agerar
ofta dessa infekterade maskiner proxyservrar. Istället för att själva bära på den
skadliga koden eller nätfiskesidan förmedlar de istället trafik till och från en
bakomliggande server. Denna bakomliggande server är den som då står för allt det
fula innehållet medan de infekterade maskinerna endast agerar ombud, något som
försvårar en nedsläckning av exempelvis en nätfiskesida.

Händelser
En av förra halvåret mest uppmärksammade händelse i IT-säkerhetsvärlden rörde
anonymiseringsnätverket Tor. Genom att hysa ett antal egna Tor-noder kunde en
svensk hackare samla in en stor mängd inloggningsuppgifter. Uppgifter tillhörande
bland annat anställda på ett stort antal ambassader och utländska myndigheter läckte
ut8. Som bekant kan all trafik som lämnar Tor-nätverket skärskådas av nodägaren
(exit-nod) och okrypterade inloggningsuppgifter till exempelvis e-postkonton är då helt
oskyddade.

I februari 2008 införde den svenska toppdomänen .se DNS Security Extensions
(DNSSec). Under året som gått har ett 80-tal företag valt att signera sina domäner.
Under hösten släppte Krisberedskapsmyndigheten och Stiftelsen för
Internetinfrastruktur undersökningen "Nåbarhet på nätet: Hälsoläget i .se 2007". Den
visade hur myndigheter, börsnoterade företag och andra samhällsviktiga
organisationer använder IT-teknik. Resultatet visade att 64% av
organisationerna hade allvarliga säkerhetsbrister. Detta kommer att följas upp under
det kommande året.

Sedan halvårsskiftet har schweiziska WabiSabiLabi drivit en marknadsplats för
sårbarheter. Genom denna marknadsplats kan säkerhetsforskare sälja
sårbarhetsinformation, med eventuellt tillhörande exempelkod (PoC), till registrerade
köpare. Marknadsplatsen erbjuder bland annat ett traditionellt auktionsförfarande där
sårbarheten under klubban säljs till högstbjudande.

WabiSabiLabi uppger att de kontrollerar giltigheten hos upptäckterna samt att de noggrant granskar såväl säljare som köpare. Marknadsplatsen har sedan lanseringen fått en del uppmärksamhet och diskussioner har uppstått. Vissa hävdar att det är osunt och befarar att värdefull sårbarhetsinformation riskerar att hamna i orätta händer utom räckhåll för berörda
leverantörer. WabiSabiLabi har försvarat sig med att deras verksamhet håller
sårbarhetsinformation borta från den svarta marknaden.

Aktörsperspektiv
Hösten har innehållit en mångfald av aktörer med såväl politiska som religiösa och
ekonomiska motiv. I denna mångfald har vi valt att fokusera på en aktör.
Russian Business Network (RBN) är ansedd som den största kriminella
organisationen på Internet. Vissa hävdar att de är inblandade i så mycket som 60% av
alla Internetbrott. RBN är en Internetleverantör för kriminella vars tjänster lär kostar
10 gånger så mycket som hos en vanlig ISP.

I utbyte får de kriminella så kallad "bulletproof hosting", vilket innebär att servern inte stängs ner trots påtryckningar av polisiära myndigheter i andra länder. Hittills har ryska myndigheter inte visat någon vilja att ta tag i problemet. Från RBN:s servrar sprids skräppost, skadlig kod,
upphovsrättsskyddat material, barnpornografi, nätfiske med mera. Storm har delvis
spridits med hjälp av RBN.

På senare tid har RBN fått mycket publicitet, exempelvis finns en blogg, vilket har
inverkat negativt på deras ljusskygga verksamhet. Vissa företag har blockerat all trafik
som från kommer från RBN:s nät. Det största bakslaget torde vara att två
uppströmsleverantörer, Tiscali.uk och C41, har avslutat kontraktet med RBN som
numera endast har en uppströmsleverantör kvar.

Dessa problem har lett till att RBN stängt ner stora delar av sitt nät i Ryssland. Det finns indikationer att verksamheten har flyttats till andra länder, till exempel Kina och Panama. År 2008 får utvisa ifall RBN dra ner på verksamheten eller om de behåller sin position som Internetbuse nummer ett. Helt klart är att det finns en marknad för de tjänster RBN erbjuder, och det finns många hungriga entreprenörer i exempelvis Kina och forna Sovjetrepubliker
som kan fylla RBN:s tomrum.

Utvecklingsperspektiv
Internationellt sett innehöll 2007 ett antal anmärkningsvärda dataläckage, såsom TJ
Maxx i januari och HM Revenue and Customs i oktober . I Sverige hann den nya
året knappt börja förrän en rad fall av dataintrång och spridning av personuppgifter
uppmärksammades. Svaga lösenord och därtill synkroniserade över flera tjänster
gjorde att den bittra eftersmaken höll i sig. Stark autentisering är som alltid ett aktuellt
ämne.

Det sägs ju att med allt ont kommer något gott. Förhoppningsvis får händelserna
människor i allmänhet att reflektera en eller två gånger över sin lösenordshantering.
Och sedan ta steg för att förbättra den. Huruvida detta leder till en permanent
förbättring är dock långt från självklart. Intressant att se är om även tillhandahållare av
tjänster (som kräver inloggning, såsom webbmail och forum) agerar under 2008. Med
tanke på den bristfälliga hanteringen av inloggningsuppgifter som förekommit ser de
möjligen en öppning för att utveckla eller utnyttja alternativa inloggningsförfaranden.
Något annat som sannolikt kommer aktualiseras av dessa händelser är betydelsen för
en organisation att ha en fungerande hantering av incidenter. En funktion för
incidenthantering ger förutom den reaktiva förmågan även viktig ingångsdata till att
förbättra den proaktiva förmågan. Beroende på en organisations storlek och struktur
kan en sådan funktion se lite olika ut. Den kan vara fast bemannad eller virtuell. Ett
alternativ är också att ha funktionen inhyrd. Oavsett hur funktionen ser ut är det dock
viktigast att den kan agera efter fullgoda premisser. Vilka som har och vilka som inte
har en funktion för hantering av incidenter är något som troligen kommer bli tydligt
under 2008.

Källa: Sitic

Ett allvarligt säkerhetshål i de senaste versionerna av iPhones firmware, både version 2.0.1 och 2.0.2, gör det möjligt för vem som helst att väldigt enkelt komma åt dina kontaktlistor och att läsa din epost, även om du har låst telefonen med säkerhetskod.

Källa: iPhone24

Securefrog har upptäckt en säkerhetsbrist i Ipswitch WS_FTP. Sårbarheten är av typen "buffert-overflow" och går att utnyttja genom att skicka svarspaket i ftp-sessionen som är större än 4100 bytes. En angripare kan alltså på detta sätt kontrollera den minnesbuffert som stackpekaren återvänder till och kan på så sätt maskinen att exekvera godtycklig kod.

Ännu finns ingen uppdatering tillgänglig.


Påverkade versioner:

• Ipswitch, WS_FTP 2007 Professional
• Ipswitch, WS_FTP 2007 Home
• Ipswitch, WS_FTP Pro 5.0
• Ipswitch, WS_FTP Pro 6.0
• Ipswitch, WS_FTP Pro 7.5
• Ipswitch, WS_FTP Pro 8.0 2
• Ipswitch, WS_FTP Pro 8.0 3

Programmet NSlookup.exe för Microsoft Windows innehåller en säkerhetsbrist, som kan tillåta exekvering av skadlig kod på ett sårbart system. Inga detaljer om sårbarheten har publicerats än, men ett "Proof of Concept" har publicerats av Ivan Sanchez. Det finns rapporter på att säkerhetshålet redan utnyttjas men ännu finns det ingen programmrättning hos Microsoft.

Påverkade versioner:
* Windows XP Professional SP2 är sårbar
* Följande Windows versioner kan vara sårbara:
* Microsoft Windows 2000 Professional SP3
* Microsoft Windows 2000 Professional SP2
* Microsoft Windows 2000 Professional SP1
* Microsoft Windows 2000 Professional
* Microsoft Windows 98
* Microsoft Windows 98SE
* Microsoft Windows ME
* Microsoft Windows NT Workstation 4.0 SP6a
* Microsoft Windows NT Workstation 4.0 SP6
* Microsoft Windows NT Workstation 4.0 SP5
* Microsoft Windows NT Workstation 4.0 SP4
* Microsoft Windows NT Workstation 4.0 SP3
* Microsoft Windows NT Workstation 4.0 SP2
* Microsoft Windows NT Workstation 4.0 SP1
* Microsoft Windows NT Workstation 4.0
* Microsoft Windows XP Home SP1
* Microsoft Windows XP Home
* Microsoft Windows XP Professional SP1
* Microsoft Windows XP Professional

Secunia Research har upptäckt vissa svagheter i K9 Web Protection, som kan utnyttjas av hackers för att kompromettera en användares system.

1) Ett gräns fel i filtertjänsten (k9filter.exe) vid behandling av "Referer:" rubriker, under användandet av den webbbaserade "K9 Web Protection Administration" gränssnittet, och kan utnyttjas för att orsaka en "stack-based buffer overflow" via en alltför lång "Referer:"-rubrik.

En framgångsrik exploatering ger möjlighet att köra valfri kod när en användare exempelvis besöker en skadlig webbplats.

2) Två boundary fel i filtertjänsten (k9filter.exe) vid behandling HTTP versions information vid svar från en central server (sp.cwfservice.net) kan utnyttjas för att orsaka "stack-based buffer overflows" via ett särskilt utformat svar, som innehåller alltför lång HTTP-version.

Framgångsrik exploatering ger möjligheten att installera eller köra valfritt program, men det krävs att ansökan är avlyssnade via t.ex. oskyddade DNS servrar eller "Man-in-the-Middle" attacker.

De sårbarheter bekräftas i version 3.2.44 med filter version 3.2.32. Andra versioner kan också påverkas.

Lösning:
Tillverkaren arbetar på en uppdaterad version, som beräknas vara klar i September.

En ny dag, ett nytt gapande hål som påverkar en fullt uppdaterd version av Microsofts Internet Explorer.

Enligt en varning från US-CERT, proof-of-concept utnyttja kod har publicerats för en ny zero-day bugg som kan användas för en mängd angrepp mot Windows-användare som kör IE 6, IE 7, och IE 8 beta 1.

Koden visar hur sårbarheten kan utnyttjas för att kapa en iframe på en legitim plats och fånga upp en persons tangentbords tryckningar. Detta beror på att Internet Explorer inte korrekt begränsar tillgången till en handlings ramar, vilket möjliggör för en angripare att modifiera innehållet i ramar i en annan domän.

Bilden är ett proof-of-concept skapad av forskaren Aviv Raff, som visar Googles startsida i en ram kapad från Microsofts Windows Update. Konsekvensen av säkerhetsbristen är ganska skrämmande...

Ett säkerhetsproblem har rapporterats i Mozilla Firefox, som kan utnyttjas av illasinnade personer att kompromettera ett sårbart system.

Sårbarheten orsakas på grund av ett ospecificerat fel och kan utnyttjas för att exekvera godtycklig kod t.ex. när en användare besöker en speciellt utformad webbsida.

Säkerhetsproblemet är rapporterade i versionerna 2.0.x och 3.0. Andra versioner kan också vara påverkade.

Läs mer på: Secunia