Patch per il software di telefonia IP di Cisco

Cisco ha segnalato alcune vulnerabilità nel software di telefonia IP di alcuni suoi prodotti, che possono portare a malfunzionamenti dei devices.
I componenti interessati dai problemi sono il Cisco Unified CallManager (CUCM) e il Cisco Unified Presence Server (CUPS).
Il servizio Skinny Call Control Protocol (SCCP) può essere mandato in crash inviando una serie di pacchetti “modificati”; lo stesso di casi per Secure SCCP.
Il bug è stato riscontrato in CUCM 3.x, 4.x e 5.0 ma non in CUPS.
Tuttavia sia i sistemi CUCM 5.0 che CUPS 1.0 possono essere mandati in crash attraverso l’invio di un numeroso eccessivo di pacchetti di PING.
In più un bug nell’IPSec Manager può portare ad un crash del servizio quando un particolare pacchetto UDP viene inviato alla porta 8500.
Questo problema influisce sul forwarding delle chiamate ma non sulle normali operazioni di telefonia.
Anche qui i prodotti vulnerabili sono CUPS 1.0 e CUCM 5.0.
Non c’è alcun tipo di workaround per evitare i problemi in questioni, tuttavia resta una buona idea limitare e filtrare gli accessi al sistema.
Sono comunque disponibili gli updates per risolvere le vulnerabilità sopra descritte.

Altri riferimenti:
Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities, Cisco security advisory

Code injection per Internet Explorer

Nel blog di sicurezza di McAfee è stat riportata una vulnerabilità per Internet Explorer 6 e 7 funzionante su un sistema Windows XP SP2 regolarmente aggiornato.
Questo problema consente ad un attaccante di iniettare codice malevole nel sistema di un utente attraverso mails o pagine web appositamente preparate.
Manipolando i file dei cursori animati (.ani) è possibile eseguire codice iniettato in un sistema in maniera completamente silenziosa, senza per esempio, causare il crash del browser.

Inizialmente i ricercatori McAfee hanno scoperto il proof of concept su una messagge board, e di là a poco è comparso il primo esempio di codice malevole.
McAfee lo identifica come Exploit-ANIfile.c, TrendMicro come TROJ_ANICMOO.AX.
Stando alla descrizione McAfee una volta che l’exploit è all’interno del sistema, consente il caricamento di altro software malware.
Nonostante apparentemente questo tipo di exploit non sia molto diffuso, sicuramente molti virus writers sfrutteranno la falla per generare nuovi exploits.
Il malware è particolarmente subdolo in quanto non causa nemmeno il crash del browser: in questo modo un utente è completamente ignaro di essere sotto attacco.
McAfee sta ancora esaminando la vulnerabilità.
Poichè una vera soluzione non è ancora stata trovata il consiglio è quello di utilizzare browser alternativi come Opera o Firefox, almeno fino a quando Microsoft non rilascierà una patch.
Poichè McAfee ha identificato come altro metodo d’attacco le emails, per gli utenti di Outlook e Outlook Express vale il classico suggerimento di aprire le email in formato testo e non HTML.
Microsoft non ha ancora confermato il problema e non è chiaro quando McAfee abbia avvisato la casa di Redmond del problema.
Un problema di sicurezza simile era già stato patchato agli inizi del 2005.

ALTRI RIFERIMENTI:
* Unpatched Drive-By Exploit Found On The Web, security advisory in McAfee’s blog
* Exploit-ANIfile.c, McAfee’s exploit description

Problemi di sicurezza per IBM Lotus Domino

IBM ha notificato la presenza di alcune falle nel proprio prodotto Lotus Domino che consentono ad un attaccante remoto di mandare in crash il server o di fare injection di codice malevole nel browser utente.
Il produttore ha comunque già reso disponibili delle patches che chiudono le vulnerabilità.
Un problema di tipo cross-site scripting è localizzato nell’Active Content Filter del componente Lotus Domino WebMail.
Non filtrando correttamente il codice di scripting, consente di eseguire script malevoli nel browser utente all’interno della security zone Webmail.
Con servers LDAP, un attaccante remoto può usare richieste manipolate per causare un buffer overflow, portando al crash del server. Sembra che per questo tipo di operazione non sia necessaria alcun tipo di autenticazione.
Anche gli IMAP server hanno problemi a gestire richieste manipolate “ad arte” provenienti dalla rete locale e che possono portare ad un crash in caso di buffer overflow.
I bugs interessano le versioni di Lotus Dominio precedenti alla 6.5.6 e 7.0.2 Fix Pack 1 (FP1).
Gli amministratori dei server Lotus Dominio possono tranquillamente scaricare gl updates direttamente dal sito IBM e patchare le vulnerabilità.

LINKS:
Lotus Domino Web Access Cross-Site Scripting Vulnerability, IBM’s security advisory
IBM Lotus Domino Buffer Overflow Vulnerability in LDAP Server Task, IBM’s security advisory
IBM Lotus Domino IMAP Server Buffer Overflow Vulnerability, IBM’s security advisory
Download updates per le versioni di Lotus Domino interessate

Prima vulnerabilità per Windows Vista Mail

Il successore di Outlook Express sembra non sia molto diverso dal predecessore in termini di sicurezza.
Alcuni mesi dopo il rilascio ufficiale, ed è stato scoperto il primo problema serio: in particolari circostanze, semplicemente cliccando su un link contenuto all’interno di una mail è possibile lanciare un programma presente sul computer locale.
Un hacker con lo pseudonimo di Kingcope ha pubblicato su una mailing list dedicata alla sicurezza, che questo può essere fatto semplicemente incorporando il link ad un programma locale all’interno di una mail.
Se esiste una directory con lo stesso nome del programma eseguibile, questi sarà eseguito da Windows Mail quando l’utente clicca sul link, senza bisogno di alcun tipo di conferma.
Creando per esempio una directory calc all’interno di C:WindowsSystem32 e cliccando su un link che punta a C:/windows/system32/calc? viene lanciato il programma calc.exe.

Nonostante questa falla, non c’è stato alcun scenario reale in cui questo attacco sia stato sfruttato: il rischio quindi resta dunque abbastanza limitato.
Kingcope ha fatto notare come esistano già due programmi Windows, winrm e migwiz, per i quali una cartella con nome corrispondente esistono già. Tuttavia fa notare come non sia possibile passare parametri al programma e questo di fatto riduce di molto il rischio di potenziali attività malevoli.
Questa falla tuttavia non sminuisce che si tratti di un potenziale problema che potrebbe venire sfruttato in qualche maniera in futuro.
Ancora una volta Microsoft e la tanto decantata sicurezza di Windows Vista sono stati smentiti.

LINK: Microsoft Windows Vista – Windows Mail Client Side Code Execution Vulnerability, security bulletin from Kingcope

Tweaking: NVIDIA BIOS Editor (NiBiTor) 3.3

NVIDIA BIOS Editor (NiBiTor) consente di cambiare il colore e il testo del sign-on message, i clock di GPU e memorie, configurare features nascoste con SBA (Side Band Addressing) e molto altro ancora.
Non richiede alcun tipo di .dll particolare e funziona sotto qualsiasi versione di Windows 9x/ME/NT/2000/XP.
Un must per tutti gli overclockers e gli appassionati di tweaking.

NVIDIA BIOS Editor (NiBiTor) 3.3 Screenshot

Per il download clicca qui.

Lista completa dei Bios supportati:

6800/U/GT/LE
6800 Go
6600GT
6600
6200
5950U
5900/U/XT/ZT
5800/U
5700/U/LE/VE
5600/U/XT
5500
5200/U

Quadro FX4000
Quadro FX3400
Quadro FX3000
Quadro FX2000
Quadro FX1400 Go
Quadro FX1100
Quadro FX1000
Quadro FX700

PCI-E 7800GTX
PCI-E 6800U
PCI-E 6800
PCI-E 6600GT
PCI-E 6600
PCI-E 6200 TC
PCI-E FX5900
PCI-E FX5750
PCI-E FX5300

PCI-E Quadro FX1300
PCI-E Quadro FX540

IE7pro 0.9.12

Se vi interessa aggiungere features al vostro browser Internet Explorer 7, per renderlo più facile da usare e più customizzabile, allora quello che fa per voi è IE7pro.

IE7pro Screenshot

Alcune delle caratteristiche chiave di IE7pro:
· IE7pro will help you Close/Open tab by double left click
· switch proxy
· set agent identification
· block ads and flash
· open new tab from address bar
· apply super drag-drop
· refresh tab automatically
· recover session crash
· manage tab history
· view page information
· save image files quickly

Link per il download: http://www.ie7pro.com/

Rilasciato Metasploit Framework 3.0

E’ stato annunciato oggi il rilascio di uno dei più utilizzati framework in ambito di security research e penetration testing.
La versione 3.0 del framework Metasploit contiene 177 exploits, 104 payloads, 17 encoders e 3 nop modules.
C’è la possibilità di includere 30 moduli ausiliari che consentono diversi tipi di tasks: dall’host discovery al protocol fuzzing, fino al testing di denial of service.
Ricordiamo che il framework è scritto in Ruby e include componenti scritte in linguaggio C e Assembler.
L’ultima versione del Metasploit Framework, unitamente a documentazione, video dimostrativi e istruzioni di installazione, può essere scaricata direttamente dal sito http://framework.metasploit.com/
Il framework è compatibile con la maggior parte dei sistemi operativi attualmente in circolazione: Linux, Windows, Mac OS X e varie versioni BSD.

Cain & Abel 4.7

A distanza di un mese dal rilascio della versione 4.5 del suo software, Massimiliano Montoro ha reso disponibile la versione 4.7 del suo Cain & Abel.
Le nuove features:
- WPA-PSK (Dictionary and Brute-Force Attacks).
- WPA-PSK Auth (Dictionary and Brute-Force Attacks).
- WPA-PSK Authentications sniffer.
- Added IE7 passwords support in Credential Manager Password Decoder.
- OpenSSL library upgrade to version 0.9.8e.

Per effettuare il download clicca qui.
Manuale online di Cain & Abel disponibile qui.

Cross-site Scripting per Oracle Application Server

Una vulnerabilità scoperta nell’Oracle Application Server consente ad un attaccante di eseguire codice Javascript arbitrario nel browser degli utenti.
Un utente dal nickname Sea Shark ha pubblicato un esempio di indirizzo per dimostrare la falla.
Stando alle analisi condotte dal gruppo di ricerca di FrSIRT, la vulnerabilità è conseguenza di un controllo errato nell’input utente nel Dynamic Monitoring Service (DMS).
All’atto di esaminare la tabella dei parametri, il DMS fallisce, consentendo di iniettare codice Javascript nel sistema dell’utente sfruttando ad esempio links contraffatti nelle e-mails.
Il codice viene poi eseguito nel browser col livello di sicurezza della Web Application.
Gli utenti di portali Oracle devono quindi stare in allerta e non cliccare su links in e-mail o siti di natura dubbia.

Links:
Oracle Portal PORTAL.wwv_main.render_warning_screen XSS, Sea Shark’s security advisory
Oracle Application Server “table” Parameter Handling Cross Site Scripting Vulnerability, FrSIRT’s analysis

Anatomia di un trojan

SecurWorks ha pubblicato una interessantissima analisi di un trojan per Windows.
Il trojan analizzato è in grado di leggere connessioni SSL, e l’analisi mostra anche come vengano sfruttati i dati catturati dal malware.
Il Trojan si connette alle funzioni Winsock2, riuscendo così a monitorare il traffico dati anche se questo viene poi criptato con SSL per essere trasmesso in rete.
I nomi con cui è comparso sono molteplici: Agent.AVV, Small.BS e Ursnif.AG e a quanto pare sembra sfrutti una falla di Internet Explorer per compromettere un computer.
SecurWorks ha stimato che la variante da loro analizzato ha infettato per lo meno 5.200 postazioni e raccolto informazioni di all’incirca 10.000 accounts.
Ecco qui il link, buona lettura!

Analisi SecurWorks: GOZI TROJAN