Articoli marcati con tag ‘exploit’
giovedì, 12 agosto 2010
Apple ha rilasciato, in via ufficiale, le correzioni al fine di risolvere la vulnerabilità trattata dall’articolo “ Potenziale rischio di compromissione nella vulnerabilità Web identificata negli iOS“. Infatti, in data 11 Agosto Apple ha rilasciato 2 bollettini di sicurezza, uno per iPhone ed iTouch ed uno specifico per iPad:
.
HT4291 – About the security content of the iOS 4.0.2 Update for iPhone and iPod touch
HT4292 – About the security content of the iOS 3.2.2 Update for iPad
ottenibili entrambi via iTunes.
Occorre informare che l’azienda Sunbelt VUPEN, esattamente poche ora fa, ha ufficializzato l’avvenuta “Exploit Code Disclosure” della vulnerabilità impiegata da JailBreakMe.com e dall’attacco perpetrato via PDF maligno. Ciò significa un potenziale aumento nella frequenza di attacchi votati nello sfruttare l’exploit per compromettere i dispositivi affetti dal problema di sicurezza.
Si consiglia pertanto il download TEMPESTIVO degli aggiornamenti, al fine di mitigare eventuali tentativi di hacking.
Tag:agosto, apple, exploit, HT4291, HT4292, iOS, JailBreakMe, malicious, maligno, pdf, Sunbelt, vulnerabilità, vulnerability, VUPEN
Pubblicato in IT Security News, Patch & Service Pack, Smartphone & PDA - News, Security & Threats | I Commenti sono chiusi
giovedì, 6 maggio 2010
Pubblicato nuovo Web Tool “Arbor Networks”. Questo sito racchiude molteplici informazioni raccolte dai sensori dislocati a livello globale e concentrate nel proprio portale, riguardo le minaccie informatiche più attive, con snapshot in tempo reale ed altre statistiche di sicurezza.
Per maggiori informazioni clickare QUI.
Tag:24-hour, activity, arbor, attack, botnet, c&c, command & control, dangerous, DoS, events, exploit, honeypot, ids, logs, malicious, malware, Map, networks, phishing, Real-time, scan, security, snapshot, threat, vulnerabilities
Pubblicato in Web Tools | I Commenti sono chiusi
giovedì, 25 marzo 2010
Nelle ultime ore è stata identificata un’e-Mail sospetta contenente della pubblicità riguardante l’App Store di Apple. Il testo presentato informa l’utente di un’ipotetico acquisto eseguito presso il sito di e-Commerce.
Il soggetto del messaggio inoltre, riporta la dicitura “Apple AppStore Order” ed un numero preceduto dal simbolo cancelletto (#), al fine d’indurre l’utente nel credere con maggior fermezza alla veridicità del messaggio recapitato.
In caso di click nel link presentato nel corpo del messaggio, il browser web predefinito di sistema verrà indirizzato nel visualizzare un sito contenente esclusivamente la parola “Visit”. A tal punto verrà forzato il download di un exploit di nome “Eleonore”, in maniera completamente occulta all’utente. Tale software, una volta nel sistema, procederà nell’attivare un Fraud-AV finora (in data 25/03/2010) non adeguatamente identificato dalla maggior parte delle soluzioni antivirali in commercio, gratuite e dai portali di controllo online.
Inoltre, il link riportato nella parola “Visit” non condurrà l’utente nel sito di e-Commerce della Apple, ma nella home-page di una farmacia online.
Tag:app store, apple, e-Mail, eleonore, exploit, fraud-av, malware, number, order, visit
Pubblicato in Threat News | I Commenti sono chiusi
sabato, 20 marzo 2010
La BotNet “Mariposa”, bloccata dalle autorità spagnole agli inizi di Marzo, conta oltre 13 milioni di computer compromessi, dislocati su 190 paesi. Tra questi, 1000 terminali appartenenti a compagnie d’azienda e 40 istituzioni finanziarie. Le informazioni raccolte trattano di un tracking di ben 800.000 vittime.
Tale ZombieNet (termine alternativo impiegato per questo genere di reti) però, non era stata istituita da grandi menti dell’informatica o dell’hacking. Sean-Paul Correll, ricercatore di Panda Security, nella sua analisi ha sottolineato come i 3 master della rete avessero sfruttato quanto già disponibile in Internet, senza alcun “asso nella manica” particolarmente ingegnoso od originale. Tale precedente però, rappresenta un segnale molto chiaro di come oggigiorno l’esecuzione di attacchi informatici sia divenuta una routine di semplice esecuzione, anche per chi non ha grosse cognizioni informatiche.
L’evoluzione dell’hacking-software avvenuta negli ultimi anni infatti, ha contribuito alla semplificazione delle procedure necessarie per l’attuazione di attacchi ed intrusioni non autorizzate (es. tramite applicativi dotati di wizard, automatizzatori e guide semi-interattive), comportando un vertiginoso aumento delle ZombieNet.
Nell’intervista, Correll ha specificato come, solo nel 2009, siano stati identificati 25 milioni di nuove specie di malware (rispetto ai 15 milioni degli ultimi 19 anni), cioè il 66% del volume complessivo di software malevoli creati esclusivamente al fine di sottrarre informazioni e bloccare servizi. Molti di questi han presentato dei fattori di somiglianza, elemento che porta le aziende produttrici di software di sicurezza nell’ipotizzare l’uso intensivo di Kit di auto-produzione dei malware (ormai molto diffusi e di facile utilizzo). Inoltre, negli ultimi anni sono stati prodotti nuovi tools Web-Based più sofisticati e semplici nel loro impiego (rispetto alle vecchie versioni basate su protocollo IRC), elemento che ha contribuito ulteriormente alla diffusione di BotNet in Internet.
Ovviamente, non tutto il software creato per il setup di ZombieNet è gratuito. Le community produttrici infatti, sono in costante competizione tra loro nella creazione di strumenti sempre più accattivanti ed improntati alla maggior utilizzabilità da parte dei Bot-Master, giungendo ad innescare un vero e proprio “mercato”. Ciò ha fatto in modo che oggigiorno le attività illecite fossero possibili solamente spendendo poche migliaia di dollari, senza alcuna formazione preventiva riguardante la programmazione o la conoscenza dei rudimenti di networking. Basti pensare che software quali “Fragus” (Web Exploit Kit), forniscono un’interfaccia di facile comprensione ed utilizzo, ove le vulnerabilità da sfruttare durante gli attacchi sono decise via checkbox, oltre alla presentazione dei rapporti d’operazione, in modalità grafica. Certi tool inoltre, vengono venduti con annesso il supporto tecnico 24 ore su 24.
“Il Bot-Master deve solamente individuare la sua vittima, premere alcuni pulsanti e godere dei risultati ottenuti.” (Christopher Elisan, ricercatore dell’azienda Damballa specializzata nella rilevazione delle BotNet).
Ovviamente, attività illegali quali la compra-vendita di ZombieNet, il commercio di dati per Spamrun, i DoS su commissione ecc. sono molto lucrative. Da alcune ricerche condotte dall’FBI in America, solo nel 2009 sono state conteggiati guadagni pari a oltre 500 milioni di dollari (più del doppio dell’ammontare del 2008). Inoltre, anche i produttori dei Crimeware kit (es. Zeus) stanno iniziando ad adottare una politica aggressiva con i loro “clienti”, al fine d’incrementare i profitti. Le ultime versioni dei software rilasciati infatti, introducono dei sistemi anti-pirateria al fine di constatare la validità delle licenze impiegate nella loro convalida.
Tag:2008, 2009, attività, bot-master, botnet, DoS, exploit, fragus, hacking, illegale, irc, kit, malware, mariposa, panda, security, spamrun, vittime, web, web-based, zeus, zombienet
Pubblicato in IT Security News | I Commenti sono chiusi
giovedì, 11 marzo 2010
Negli ultimi mesi è stato registrato un’andamento crescente nei tentativi di sfruttamento delle vulnerabilità insite nei prodotti Adobe più diffusi (Reader gratuito e a pagamento, non che la tecnologia Flash), al fine di avvalersi di nuove tecniche per la diffusione di Trojan presso i sistemi utilizzati dall’utenza.
Secondo i report di Microsoft, la patch di Adobe CVE-2010-0188, corretta meno di un mese fa, è già ampiamente impiegata in molte tipologie di attacco, principalmente votate nel download di software maligno nel box compromesso. Anche in questo caso lo JavaScript viene ampiamente impiegato come parte dell’attività di penetrazione nel sistema.
Finora solo l’utenza Microsoft è più colpita ed esposta ai rischi, ma è bene iniziare ad ipotizzare un sempre maggiore interesse, da parte degli attacchi, anche ad altri tipi di piattaforme quali MacOSX e Linux (Ubuntu e Fedora in particolar modo), tramite l’impiego di applicativi Cross-Platform.
Anche il team di F-Secure, ancora qualche giorno fa ha ufficializzato il trend a danno dell’azienda produttrice di Adobe, sottolineando come, negli ultimi anni (dal 2008 in poi), la crescita di attacchi rivolti ai software prodotti sia aumentata vertiginosamente.
Tag:adobe, CVE-2010-0188, download, exploit, file, javascript, pdf, pro, reader, trojan, vulnerability, windows
Pubblicato in IT Security News | I Commenti sono chiusi
giovedì, 17 dicembre 2009
Stato News: Nuova
OS Coinvolti: Windows, *nix, MacOSX (Tutte le versioni)
Elemento: Adobe Reader & Adobe Acrobat
Effetto: Permette l’esecuzione di attacchi DoS, causando il crash del computer, oppure sfruttando l’errore al fine di permetterne il controllo.
Exploit Status: In The Wild (nessuna correzione disponibile al momento). Sono già diffusi attacchi atti nel sfruttare tale vulnerabilità per compiere danni, tramite file PDF maligni (Symantec: Trojan.Pidief.H).
Consigli
- Si consiglia di disabilitare il funzionamento dei Javascript, durante la visualizzazione dei file PDF, agendo presso Modifica -> Preferenze -> JavaScript e togliendo la spunta alla voce Abilita JavaScript di Acrobat.
- Si consiglia di abilitare il Data Execution Prevention (DEP) nel sistema locale, con copertura non solo dei file di sistema (impostazione predefinita), ma anche di tutti i software eseguiti.
- Per la lettura di PDF, impiegare software alternativi non affetti da questo genere di problema.
- Si consiglia d’impiegare dei user-account non privilegiati (non-Root/Administrator) durante la visualizzazione dei file PDF, tramite i prodotti Adobe.
- Si consiglia d’installare immediatamente gli aggiornamenti non appena questi vengano resi disponibili dalla casa produttrice.
- Si consiglia di non eseguire, o clickare su link URL, recanti file con estensione .pdf, da sorgenti sospette o sconosciute
Tag:0-day, acrobat, adobe, dep, exploit, javascript, malware, reader, threat, trojan
Pubblicato in Threat News | I Commenti sono chiusi
mercoledì, 25 novembre 2009
Stato News: Aggiornata
OS Coinvolti: Microsoft Windows
Elemento: Internet Explorer versioni 6 & 7
Effetto: Principalmente per attacchi DoS o intrusione. L’attacker ottiene gli stessi privilegi dell’account utente locale.
Exploit Status: In The Wild, ma non impiegato in attacchi
Descrizione: Bug presente nel sistema di gestione dei file CSS di Internet Explorer
Consigli
- Aggiornare Internet Explorer alla versione 8
- Attivare la “modalità protetta” in Windows Vista e Seven (riducendo i rischi potenziali)
- Impiegare un Browser alternativo (es. Safari, Firefox, Opera, Chrome)
- Mantenere aggiornato l’antivirus
- Disattivare l’esecuzione automatica di Javascript (es. tramite l’impiego delle Trusted Zone offerte da IE)
- Aumentare il liv. di sicurezza della Trusted Zone “Internet” ad Alto
- Non impiegare account con privilegi amministrativi durante l’uso regolare del sistema operativo
Tag:0-day, antivirus, bloodhound, chrome, css, DoS, exploit, explorer, firefox, in the wild, internet, intrusion, monitored, opera, safari, windows
Pubblicato in Threat News | I Commenti sono chiusi
martedì, 17 novembre 2009
OS Coinvolti: Microsoft Windows 7
Elemento: SMB Client (Componente Interno per la condivisione di risorse in rete).
Effetto: Denial of Service. In caso di attivazione, comporta un loop infinito causando il consumo di tutte le risorse di sistema disponibili. In tal caso, ogni tentativo d’interazione con quest’ultimo risulta in una mancata risposta (System Freeze), fino al riavvio manuale (pulsante Reset).
Exploit Status: L’exploit (cioè il codice per sfruttare tale vulnerabilità) è stato diffuso, ma non sono stati registrati attacchi informatici a riguardo.
Descrizione: E’ stato identificato un problema nel software SMB impiegato da Windows 7 per connettersi ai server relativi. Tale sistema di rete viene impiegato per la condivisione di file e risorse, tipicamente nelle reti aziendali.
Consigli
- Si consiglia il blocco delle porte 139 e 445 TCP (così come di tutte le comunicazioni SMB), allo scopo di evitare l’esposizione ad attacchi informatici, fino al rilascio delle relative patch da parte di Microsoft. Occorre, infatti, fare attenzione riguardo questa vulnerabilità, in quanto può essere perpetrata anche via sito web maligno.
Tag:0-day, 7, client, denial of service, DoS, exploit, loop, manual, microsoft, network, reset, resources, restart, seven, sharing, SMB, system freeze, windows
Pubblicato in Threat News | I Commenti sono chiusi
