Aggiornamento di sicurezza per VMware ESX Server

VMware ha rilasciato un aggiornamento per la versione 3.5.x del suo ESX Server: chiuse alcune vulnerabilità riguardanti Samba, VMkernel, Service Console e hostd.
Il bug di Samba è noto al pubblico da almeno 3 mesi e consenti ad un attaccante di prendere completo controllo del server.
Le altre falle sono conosciute da piu’ di un anno alcune anche dal 2006. Il motivo per cui VMware ci abbia messo cosi’ tanto per rilasciare una patch di sicurezza è sconosciuto.
Le versioni ESX 3.0.2, 3.0.1, 2.5.5 e 2.5.4 sono anch’esse affette dal problema di sicurezza di Samba, tuttavia non c’è ancora nessun aggiornamento.

RIFERIMENTI:
* Security update for VMware’s ESX Server, by Heise Security
* VMSA-2008-00011 Updated ESX service console packages for Samba and vmnix, VMware bug report

ISR-Evilgrade 1.0: toolkit che sfrutta il recente bug dei DNS

Un security researcher argentino ha pubblicato un toolkit in grado di colpire i meccanismi di aggiornamento di Java, Mac OS X, Openoffice e altri software, il tutto sfruttando tecniche di man-in-the-middle come quelle recentemente scoperte e rese pubbliche circa il bug del sistema DNS.

Il toolkit ISR-Evilgrade 1.0, rilasciato da Francisco Amato, un ricercatore di Infobyte Security Research, nella sua versione iniziale include moduli in grado di colpire Java, Winzip, WinAmp, Mac OS X, Openoffice.org, iTunes, LinkedIn Toolbar, il download accelerator DAP, Notepad++ e Speedbit.
Amato scrive nel Readme file che ogni modulo del toolkit implementa dei meccanismi per l’emulazione di “falsi update” per la specifica applicazione o sistema operativo.

Disponibile un video dimostrativo in cui il toolkit sfrutta l’exploit DNS, recentemente rilasciato da H.D. Moore di Metasploit Project, per colpire il meccanismo di aggiornamento di Java e eseguire un attacco ad un sistema Windows perfettamente aggiornato.
Amato fa notare come il framework sia multi-piattaforma: la chiave sta nel disporre del payload giusto per la piattaforma bersaglio. I vari tipi di vettori di attacco includono ARP spoofing, DNS cache poisoning, DHCP spoofing e accesso DNS interno.
Rilasciate anche una serie di slides esplicative del sistema.

La scorsa settimana sono stati rilasciati svariati exploit che sfruttavano i recenti problemi di sicurezza del DNS messi in evidenza in primis da Dan Kaminsky.
Uno degli exploit è in grado, non solo manipolare i record risorsa di un particolare indirizzo, ma anche sostituire l’entry completa relativa ad uno specifico dominio.
Questo da’ l’opportunità ad un attaccante non solo di redirezionare un particolare indirizzo, come per esempio www.sito.it, al proprio server, ma anche tutti quanti gli altri sistemi che risiedono nel dominio sito.it.
Gli exploits sono stati testati con successo contro le versioni di BIND 9.4.1 e 9.4.2.
Dietro agli exploits c’è l’autore del framework Metasploit H.D. Moore, il quale ha dichiarato che perchè il poisoning della cache DNS avvenga con successo sono necessari 1 o 2 minuti.
Kaminski, che è stato il primo a scoprire la falla, è convinto che il tutto possa essere fatto in una manciata di secondi.

RIFERIMENTO:
Security researcher publishes exploit toolkit, by Heise Security

Antivirus Rescue CDs: Avira, Kaspersky, BitDefender e F-Secure

Quella che vado a segnalare oggi è una lista di 4 rescue disk rilasciati gratuitamente da alcune delle piu’ famose firme nel campo degli Antivirus: per l’appunto Kaspersky, BitDefender, F-Secure e Avira.
Questi tipo di cd possono tornare decisamente utile nel caso ci si trovi di fronte a un sistema non piu’ bootabile o cmq altamente instabile (esempio continui crash del processo explorer.exe, la shell di windows).
La procedura è abbastanza semplice:
1. Download della .iso dal sito del produttore
2. Masterizzazione su supporto CD-R o CD-RW
3. Boot da CD
4. Eventuale update online con le ultime firme se previsto dalla versione (non tutti supportano questa features)
5. Scansione e rimozione di antivirus e malware vari

Ogni rescue cd ha i suoi pro e i suoi contro. Il fatto poi di essere “affezzionato utente” dell’uno o dell’altro puo’ sicuramente portare a scegliere su basi personali.
E’ bene quindi chiarire alcune cose fondamentali:
– Kaspersky è sicuramente uno dei migliori antivirus sul mercato (personalmente utilizzo KIS 2009) tuttavia gli aggiornamenti del rescue cd non sono cosi’ frequenti e non c’è un sistema di update automatico
– Avira in base alle classifiche dei vari test antivirus (es: AV-Comparatives) risulta essere da un po’ di tempo a questa parte sempre tra le prime posizioni, molto spesso poco prima o poco dopo Kaspersky in fatto a percentuale di rilevamento. Vengono rilasciate versioni sempre aggiornate (anche su base giornaliera) del del rescue cd tuttavia non è pensabile masterizzare ogni volta un nuovo cd.
– Le soluzioni di BitDefender e F-Secure invece utilizzano un ottimo sistema di update che all’avvio tenta di recuperare basi aggiornate dal sito produttore sfruttando la presenza di una connessione di rete. Le nuove firme eventualmente scaricate vengono salvate in RAMDISK.

E’ abbastanza evidente che i piu’ “completi” risultano essere proprio i rescue disk di BitDefender e F-Secure. A voi comunque la scelta e come si suol dire la “prova su strada”! 😀

Questi i link per scaricare le immagini dei rispettivi CD:
– Avira AntiVir Rescue System: download iso
– BitDefender RescueCD v2: download iso
– F-Secure Rescue CD 3.00: download iso
– Kaspersky KAV Rescue 2008: download iso

AVG Free 8.0 italiano: un milione di download in un solo mese!

AVG Technologies, produttore dell’omonimo software per la sicurezza su internet, annuncia che il suo prodotto, AVG Free 8.0, è stato scaricato da più di un milioni di utenti italiani attraverso www.html.it nel giro di un solo mese, dal 14 giugno al 14 luglio 2008.

AVG Free risulta così l’applicazione più scaricata in assoluto in un periodo di tempo così breve (v. http://download.html.it). Da aprile, quando è stato lanciato il prodotto in inglese sul mercato, gli italiani che lo hanno scaricato da html.it sono circa 3.300.000.

L’altissimo numero di download raggiunto conferma quanto AVG sia davvero apprezzato dagli utenti. AVG Free è il software più scaricato su html.it tra il 14 Giugno e il 14 Luglio 2008. Solo un altro anti-virus è presente nella top-ten del sito. Si tratta di Avast, che occupa la nona posizione e che raggiunge solamente il 20 per cento dei download registrati da AVG nello stesso periodo.

AVG Free offre protezione di base contro virus e spyware, insieme alla componente di navigazione sicura fornita dalla tecnologia brevettata da AVG LinkScanner®. La versione free non include la componente di navigazione sicura proattiva, che fa parte del modulo completo di LinkScanner® e si può trovare invece inclusa nei prodotti AVG destinati al commercio. AVG Free non fornisce inoltre protezione contro hackers, keyloggers, spam, attacchi di phishing e download di file infetti.

Ulteriori dettagli e informazioni sui prodotti AVG sono reperibili sul sito www.avg.it.

AVG Free 8.0 è realizzato per l’utilizzo personale e non commerciale su singoli computer che supportano Windows 2000, XP o Vista ed è attualmente disponibile in inglese, giapponese e italiano. Sebbene AVG Technologies non offra supporto per l’utilizzo di AVG Free 8.0, l’azienda ospita un sito web e un forum per favorire la diffusione del supporto fornito da parte degli utenti, all’indirizzo http://free.avg.it (che è assimilabile a free.avg.com per questioni di corporate appearance).

FONTE: Comunicato stampa di AVG Technologies

Allerta virus per i fan di Homer Simpson

Alcuni anni fa (nel 2003) molti fans dei Simpons alla loro lista dei contatti AIM aggiunsero “Chunkylover53” dopo aver saputo che il produttore dello show rispondeva online alle domande degli spettatori facendo le veci di Homer e usando l’account “Chunkylover53@aol.com”.
Lo screen name è rimasto inattivo sin da allora, fino a quando qualche giorno fa il messaggio “away” (non al computer) di Chunkylover53 è apparso indicando la possibilità di vedere in anteprima su Internet una nuova puntata dei Simpsons.
Naturalmente non esiste alcun video. Si tratta chiaramente di un file .exe infetto che una volta eseguito installa un Trojan trasformando la macchina in uno zombie pc appartenente ad una botnet turca, stando a quanto dichiarato da FaceTime.

AIM Virus Homer Simpson

AIM Virus Homer Simpson

FONTE:
Homer Simpson and the Kimya Botnet, by FaceTime Security Labs Blog

Check Point corregge il problema causato dalla patch di Microsoft

Check Point ha rilasciato degli aggiornamenti che correggono i problemi di compatibilità rilevati a seguito di uno degli ultimi aggiornamenti rilasciati da Microsoft nel Patch Tuesday dell’8 luglio.
In particolare sono state messe a disposizione le nuove versioni di ZoneAlarm Internet Security Suite, Pro, Antivirus, Anti-Spyware e Basic Firewall.

Uno dei quattro bullettin di sicurezza di Microsoft riguardava una potenziale falla nel componente DNS di Windows: la patch tuttavia ha causato conflitti col software ZoneAlarm che impediva l’accesso ad Internet dei propri utenti.
La soluzione temporanea adottata è stata quella o di disinstallare la patch o abbassare il livello di sicurezza di ZoneAlarm.
A seguito delle numerose lamentale da parte dei propri utenti Check Point ha rilasciato nella serata di giovedi’ le versioni aggiornate delle proprie applicazioni scaricabili direttamente dal sito.
Da notare che sulla home page principale del sito ancora campeggia l’avviso relativo ai problemi riscontrati.

ZoneAlarm problems with Microsoft DNS Patch

Rete degli ATM Citibank crackata

L’edizione online del New York Times ha segnalato che alcuni sconosciuti avrebbero ottenuto l’accesso alla rete interna degli ATM Citibank e catturato dati relativi ai PIN dei clienti. Il “punto d’ingresso” dell’attacco a quanto pare è stato individuato in alcuni degli sportelli automatici Citibank installati nella catena di negozi americani di 7-Eleven.
I ladri si dice abbiano ottenuto i PINs mediante un attacco ai terminali remoti che autenticano/validano i PIN inseriti dai bancomat.
Il risultato: un furto per parecchi milioni di dollari. Ad oggi il numero di clienti vittime dell’attacco è sconosciuto.

Il New York Times punta l’attenzione anche sul fatto che la trasmissione attraverso la rete di dati cosi’ sensibili come i PINs non sia adeguatamente protetta, citando l’esperto di sicurezza Avivah Litan della società di consulenza Gartner, che afferma come non sempre i PINs vengono crittati come dovrebbe essere.
Questo episidio ricorda il lavoro dei ricercatori Omer Berkmann e Odelia Moshe Ostrovsky, che hanno pubblicato informazioni circa le possibilità di intercettare i PIN una volta ottenuto accesso alle reti degli ATM.
In generale infatti gli standard di sicurezza imposti su queste reti sono meno “rigidi” di quelli adottati nei terminali remoti e negli sportelli automatici stessi.
Questo lo dovrebbe sarebbe bene una persona che ha un master nell'amministrazione di reti. APPROFONDIMENTI E LINKS:
Citibank ATM network hacked, by Heise-Security
PIN transmission at automated tellers less safe than expected, by Heise-Security
The Unbearable Lightness of PIN Cracking, paper di Omer Berkman e Odelia Moshe Ostrovsky
Attacking Bank-Card PINs, dal blog di Bruce Schneier