Vulnerabilità per il Dns Server di Microsoft

Una falla nel servizio Microsoft DNS Server consente ad un ipotetico attaccante, in particolari condizioni, di ottenere in maniera remota il controllo completo del sistema.
Stando ad un advisory Microsoft, alcuni tipi di pacchetti RPC modificati “ad arte” causano un buffer overrrun nel servizio DNS, che può consentire di fare injection di codice malevole, poi eseguito dal servizio con i privilegi SYSTEM.
Sempre secondo Microsoft, questo buco è già sfruttato in maniera attiva e nessuna patch non è stata ancora approntata per fixare il bug.
Il DNS Server di Microsoft è una componente di Windows 2000 SP4 e Windows Server 2003 con SP1 e SP2, ma non è attivato di default.
Microsoft avverte gli utenti di disabilitare l’RPC remote management per il servizio DNS Server.
Per fare questo, gli utenti devono creare una nuova entry DWORD con nome RpcProtoocol e assegnarle il valore 4 all’interno di HKLMSYSTEMCurrentControlSetServicesDNSParameters.
Altra raccomandazione è quella di registringere l’accesso di rete dei pacchetti RPC al range di porte TCP 1024-5000 e unicamente da indirizzi IP fidati.

VEDI ANCHE:
Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution (935964), Microsoft advisory

Cracking WEP in 60 secondi

Alcuni ricercatori della Technical University of Darmstadt hanno raggiunto un nuovo traguardo per quanto riguarda il cracking di rete wireless protette da WEP.
Erik Tews, Andrei Pychkine e Ralf-Philipp Weinmann hanno descritto nel loro paper come siano stati in grado di ridurre il numero di pacchetti catturati necessari per un attacco valido.
Una rete wireless protetta con chiave 128-bit WEP può ora essere compromessa in meno di un minuto sfruttando la loro nuova metodologia di attacco.
Dal loro sito web è possibile scaricare un archivio compresso contenente il necessario per aggiungere il nuovo metodo al noto programma di cracking WEP Aircrack.
Fino ad adesso gli attacchi WEP più efficienti richiedevano per lo meno 500.000 pacchetti WEP utili per calcolare la chiave 104-bit usata dal sistema di protezione WEP 128-bit.
Una maniera molto semplice per collezionare pacchetti dati è quello di usare la tecnica dell’ARP reinjection, injection forzata di query ARP crittate.
In questo modo anche una rete wireless poco trafficata può essere compromessa in un tempo variabile dai 10 ai 40 minuti.

I ricercatori sono stati in grado di migliorare l’attacco sviluppato da Klein contro l’algoritmo RC4 usata dal WEP, in maniera che i singoli bytes della chiave possano essere calcolati in maniera indipendente.
Il risultato è che con 40.000 pacchetti WEP c’è il 50% di possibilità di calcolare la chiave corretta.
Con 85.000 pacchetti la percentuale sale al 95%.
Il loro attacco stando a quanto dichiarato dovrebbe funzionare anche con WEPPlus, visto che la loro metodologia non è diretta verso la debolezza degli IVs, cosa che appunto WEPPlus nel tentativo di migliorare la sicurezza evita di utilizzare.

Gemtek P-560 default username and password

Ricordate il mio post sull’hotspot/access-point Gemtek P-560?
Qualche tempo fa avevo indicato dove trovare online il manuale utente.
Ho notato ora che il link diretto che avevo lasciato al pdf “non funziona”.
Digitate piuttosto questo indirizzo:
http://www.weber-wireless.com/index/Downloads
e poi scaricate direttamente.
In questo post segnalo quali sono username e password di default per questo dispositivo, visto che un utente straniero mi ha chiesto quali fossero.

ENGLISH:
You can access the configuration panel by entering these information into the browser:
- http://192.168.3.1/a.rg
or
- http://192.168.2.66/a.rg
- Enter the default username and password
USER: admin
PASSWORD: admin01

ITALIANO:
Potete accedere al pannello di configurazione inserendo queste informazioni nel vostro browser:
- http://192.168.3.1/a.rg
o
- http://192.168.2.66/a.rg
- Digitate i seguenti username e password.
USER: admin
PASSWORD: admin01

Bluetooth Sniffing… qualcosa si muove

Sul fatto che la sicurezza bluetooth stia diventando uno dei principali target di studio di ricercatori di sicurezza e di white/black hat, non c’è dubbio.
Al 23esimo Chaos Communication Congress (23C3) a Berlino tenutosi lo scorso dicembre 2006 erano stati presentati due nuovi tool per attacchi bluetooth.
I software in questione BTCrack e Hidattack, permettevano rispettivamente l’hacking della fase di pairing di due dispositivi bluetooth e il controllo remoto di una tastiera bluetooth.
Uno dei ricercatori autori della presentazione ha ribadito pero’ come questo tipo di attacchi non fosse alla portata di tutti vista la necessità di apparecchiature particolari per lo sniffing e software relativo, il cui costo commerciale è decisamente elevato.
Un esempio commerciale di piattaforma dedicata allo scopo è FTS4BT di FrontLine.
Una interessante discussione sul perchè i normalissimi dongle usb che utilizziamo per il bluetooth di tutti i giorni non possono essere utilizzati per il cosiddetto sniffing potete leggerla qui.
E’ tutto qui? Certo che no.
Max Moser, già ideatore della famosa distrubuzione linux per il penetration-testing BackTrack, ha pubblicato recentemente i risultati di una ricerca personale sulla questione.
Stando a quanto scritto da Moser sarebbe possibile trasformare alcuni tipi particolari di dongle Bluetooth dal costo commerciale di una 30 di dollari in dispositivi per lo sniffing.
E’ chiaro che questo apre nuove frontiere per l’hacking, visto che comunque con tool come BTCrack sarebbe possibile craccare il PIN di pairing tra due dispositivi. L’attacante potrebbe cosi’ avere accesso ai dispositivi.
In fondo a ripensarci una cosa molto simile successe con le WLAN considerate sicure fino all’avvento di firmware in grado di supportare il monitor mode e di dar in pasto pacchetti dati a tool come Airsnort, Kismet e compagnia bella.
La modalità RAW mode, per dispositivi bluetooth è un qualcosa di simile alla monitor mode per il wireless.
Il fatto che mettere in atto del bluetooth sniffing richieda dispositivi molto costosi (corredati da apposito software), è molto probabile sia legato anche a limitazioni firmware oltre che a questioni puramente legate all’hardware.
E Moser si è accorto proprio di questo analizzando un software commerciale: ha notato che erano previsti drivers per il chip di tipo Cambridge Silicon Radio. Uno dei pacchetti includeva il firmware col quale Moser è riuscito a flashare un normale stick USB (con chip CSR) e abilitare il RAW mode.
Dai successivi test effettuati con il software commerciale è riuscito a leggere il traffico Bluetooth con il “dispositivo rigenerato”.
Dalle parole dello stesso Max Moser appare chiaro che ora l’unico ostacolo è la disponibilità di uno sniffer gratuito che possa funzionare magari sotto Linux.
Dopo questo studio di Moser sarà interessante vedere quanti altri si cimenteranno nel tentativo di trasformare il proprio dongle in una “vera arma” per la sicurezza Bluetooth.
Non ci sarebbe da stupirsi se quest’anno ci trovassimo a parlare del nuovo fenomeno di “Bluedriving”.

RIFERIMENTI UTILI:
Busting The Bluetooth Myth, Paper di Max Moser
Promiscuous mode for HCI Devices
BTCrack in action, video-sample dell’utilizzo di BTCrack
Bluetooth Hacking Revisited, la registrazione video della presentazione tenuta da Kevin Finistere e Thierry Zoller al 23C3 dello scorso dicembre

Patch per il software di telefonia IP di Cisco

Cisco ha segnalato alcune vulnerabilità nel software di telefonia IP di alcuni suoi prodotti, che possono portare a malfunzionamenti dei devices.
I componenti interessati dai problemi sono il Cisco Unified CallManager (CUCM) e il Cisco Unified Presence Server (CUPS).
Il servizio Skinny Call Control Protocol (SCCP) può essere mandato in crash inviando una serie di pacchetti “modificati”; lo stesso di casi per Secure SCCP.
Il bug è stato riscontrato in CUCM 3.x, 4.x e 5.0 ma non in CUPS.
Tuttavia sia i sistemi CUCM 5.0 che CUPS 1.0 possono essere mandati in crash attraverso l’invio di un numeroso eccessivo di pacchetti di PING.
In più un bug nell’IPSec Manager può portare ad un crash del servizio quando un particolare pacchetto UDP viene inviato alla porta 8500.
Questo problema influisce sul forwarding delle chiamate ma non sulle normali operazioni di telefonia.
Anche qui i prodotti vulnerabili sono CUPS 1.0 e CUCM 5.0.
Non c’è alcun tipo di workaround per evitare i problemi in questioni, tuttavia resta una buona idea limitare e filtrare gli accessi al sistema.
Sono comunque disponibili gli updates per risolvere le vulnerabilità sopra descritte.

Altri riferimenti:
Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities, Cisco security advisory

Vulnerabilità DoS per alcuni telefoni SIP di Cisco

Stando ad un advisory di sicurezza apparso su Full Disclosure, i telefoni Cisco 7940 e 7960 possono essere riavviati con un particolare messaggio INVITE preparato ad arte.
La vulnerabilità è alquanto fastidiosa specialmente se l’attaccante la utilizza durante una chiamata da parte dell’ignaro utente.
Il problema sembra legato all’analisi di un campo sipURI nell’INVITE message da parte di un altro utente.
I devices che utilizzano il firmware P0S3-07-4-00 sono interessati dal problema: la vulnerabilità è stata rimossa con la versione POS8-6-0.
A questa pagina trovate il security advisory in cui è contenuto anche un esempio pratico di exploit costituito da poche righe di codice scritte in linguaggio Perl.

MadWifi v0.9.3

E’ uscita la nuova versione dei drivers MadWifi, la 0.9.3 appunto.
MadWifi è il diminutivo per Multiband Atheros Driver for Wifi. In altre parole si tratta del progetto che fornisce i device driver per far funzionare schede wireless basate su chipset Atheros.
Il driver funziona in maniera tale da far risultare la scheda WLAN come una normale interfaccia di rete del sistema.
Questo consente di configurare il dispositivo usando i tools più comuni come: ifconfig, iwconfig e similia.

L’HOME PAGE del progetto dove reperire i drivers.

Le caratteristiche principali:
- Operational Modes:
- sta -- Station, a.k.a. infrastructure or managed. This device acting as typical WLAN client station. This is the default mode if not otherwise specified.
- ap -- Access Point, a.k.a. master. This device acts as the Access Point for other WLAN client stations.
- adhoc -- Ad-hoc. a.k.a. IBSS mode. This device is in a peer-to-peer(s) WLAN without the need for an Access Point.
- ahdemo -- Ad-hoc Demo. This is an older, non-802.11 compliant, proprietary ad-hoc mode.
- monitor -- Monitor. This device can be used to "sniff" raw 802.11 frames.
- wds -- Wireless Distribution System. This device can be used to create large wireless networks by linking several Access Points together.
- WDS support for transparent bridging over WLAN links.
- Supports Wireless Extensions API.
- One driver for miniPCI and cardbus devices. USB devices are not yet supported.
- Most of the current Atheros WLAN chipsets are supported.
- Supports WEP and WPA/802.11i.
- Support for 802.1x authentication in AP mode.

Requisiti:
- Linux Kernel 2.4.23+ and 2.6.x series (Others may work, but are unsupported)
- Crypto AP support in kernel (option CONFIG_CRYPTO)
- Sysctl support in kernel (option CONFIG_SYSCTL)
- Wireless Extensions support in kernel (v14+ required, v17+ recommended; option CONFIG_NET_RADIO)
- Same GCC version used to compile the kernel (otherwise, "Invalid module format" errors may occur)

Gemtek P-560 User's Guide

Se per caso vi capita tra le mani questo gioiellino di dispositivo e state cercando il manuale utente, allora forse posso darvi qualche indicazione.
Il Gemtek P-560 Plus è un hotspot access-point dalle eccellenti caratteristiche.
A riprova di ciò, qualche tempo fa Telecom Italia per ampliare la propria rete wireless ha stipulato un contratto con Urmet TLC per la fornitura di centinaia di questi dipositivi, proprio per piazzare in luoghi pubblici queste soluzioni “hotspot-in-a-box”.

Tempo fa per l’appunto mi è capitato sotto mano uno di questi P-560 e dovevo riconfigurarlo dopo un reset completo.
Non avendo gran che voglia di registrarmi sul sito Gemtek unicamente per sapere user e pass di default mi sono messo a googlare un po’ e dopo qualche tentativo ho recuperato on-line un manuale in pdf per il dispositivo.
Si tratta della revision 1.2 datata dicembre 2005.
Per poter scaricare il pdf cliccate qui: Gemtek P-560 User’s Guide.

Qui di seguito invece trovate alcune delle principali features del Gemtek P-560 Plus:

- Support up to 16 BSSID - "Virtual AP"
- Wi-Fi Protected Access (WPA and WPA2) with TKIP or AES
- Wired Equivalent Privacy (WEP) using static or dynamic key of 64 or 128 bits
- Support up to 16 VLAN ID
- User authentication with UAM (Universal Access Method), 802.1x/EAPoLAN, MAC Address,
- AAA Radius client and proxy server with EAP support
- Build-in AAA server with e-Billing up to 500 user accounts
- Support up to 100 simultaneous users.
- Universal Address Translation (UAT), web proxy support
- WISPr compatible log-on via web browser with SSL/TLS, iPass client support
- Unlimited White List (walled garden area, free web sites)
- Customizable welcome, log-on, and log-off pages, XML support (internal, external) and HTML support
- E-mail redirection
- IP routing with IPsec and PPTP pass-through, NAT/NAPT, Port-forwarding
- Per-user bandwidth management via RADIUS
- WAN protocols: PPPoE, PPTP, DHCP client
- DHCP server/relay/Client
- VPN Client!GPPTP/MPPE/GRE
- NTP for clock Synchronization
- Remote management via SNMP v1, 2c, 3, SNMP proxy, https, SSH, telnet, console
- Management subnet for remote AP management

Sotto la lente le funzionalità di rete di Vista

Symantec ha presentato un’analisi approfondita delle funzioni di rete di Vista: in particolare viene preso in esame lo stack TCP/IP, che è stato in gran parte riscritto.
Gli esperti di sicurezza hanno guardato anche ai nuovi protocolli e hanno tentato di stilare una lista delle implicazioni di queste nuove soluzioni.
Una prima analisi basata sulla beta di Windows Vista Beta era già stata presentata da Symantec a metà dello scorso anno.
Stando a Symantec, il protocollo Teredo per il tunneling IPv6 attraverso reti IPv4 è potenzialmente vulnerabile.
Il protocollo Teredo descrive un metodo per accedere ad una rete IPv6 dietro a un NAT router che non supporta IPv6.
Visto che attualmente non c’è virtualmente alcun firewall o IDS che supporti Teredo, questo consentirebbe di aggirare le misure di sicurezza.
In aggiunta Vista possiede protocolli come Link Layer Topology Discovery Protocol (LLTD), Web Service Discovery, Link-Local Multicast Name Resolution (LLMNR), Peer Name Resolution Protocol (PNRP) e altri, che non sono stati studiati in dettaglio e che potrebbero far trapelare informazioni sulla topologia di rete interna all’esterno.

Il link al paper di 116 pagine è qui: scarica documento.
LINK LOCALE: document repository.

Routers default passwords collection

Linko una manciata di siti che possono tornare comodi qualora ci si trovi a dover mettere mano a degli apparati e non si abbiano sottomano pdf o manuale utente in cui sono specificate user e pass di default.
Situazione classica che si presenta magari dopo un reset alle impostazioni di fabbrica, necessario visto che l’amico o cliente di turno ha dimenticato la password impostata al momento della prima configurazione.
I dispositivi sono delle marche tra le più disparate: Dlink, Zyxel, Lucent, Cisco, Alcatel, 3Com, Linksys, Netgear etc.etc.

Phenoelit Default Password List
Virus.org Default Password Database
CyberPunkCafe Password List
Cirt.net Password List
Default Router Passwords