markasblog

Miesiące w tym roku upływają w zastraszającym tempie. Niedawno mieliśmy styczniowe biuletyny bezpieczeństwa, teraz przyszedł czas na lutową edycję łat bezpieczeństwa do Microsoftu. Dwa dni temu ujrzało światło dzienne 9 łat dla produktów Microsoftu, które łatają 21 błędów. 4 z tych biuletynów otrzymały najwyższy – krytyczny – stopień ważności, a pozostałe 5, oznaczono jako ważne.

MS12-008 (krytyczny) – dotyczy luki w zabezpieczeniach sterowników jądra systemu Windows umożliwiającej zdalne wykonanie kodu

MS12-010 (krytyczny) – zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer, która między innymi eliminuje możliwość zdalnego wykonania kodu

MS12-013 (krytyczny) – dotyczy luki w zabezpieczeniach biblioteki wykonawczej dla języka C umożliwiającej zdalne wykonanie kodu

MS12-016 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework i programu Microsoft Silverlight umożliwiającej zdalne wykonanie kodu

MS12-011 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft SharePoint umożliwiającej podniesienie poziomu uprawnień

MS12-012 (ważny) – dotyczy luki w zabezpieczeniach apletu Panel sterowania kolorami umożliwiającej zdalne wykonanie kodu

MS12-014 (ważny) – dotyczy luki w zabezpieczeniach kodera-dekodera Indeo umożliwiającej zdalne wykonanie kodu

MS12-015 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu

Aktualizacja jest wysoce zalecana.

Pwn2Own 2012 zapasem. Tradycyjnie turniej hakerów odbędzie się w ramach konferencji poświęconej bezpieczeństwu sieci komputerowych w Vancouver o nazwie CanSecWest. Tym razem zawody będą rozgrywane na przestrzeni trzech dni, między 7 i 9 marca. Ten rok będzie przełomowy, jeżeli chodzi o zasady przeprowadzania konkursu. O ile w latach poprzednich Pwn2Own był zorganizowany tak, aby wzbudzał sensację wśród obserwujących (konkurs był nastawiony na szybkość łamania zabezpieczeń i zdolność wykorzystywania znanych luk bezpieczeństwa), tak teraz zawodnicy będą oceniani za pomocą skali punktowej, co spowoduje, że faktycznie zawodnicy będą zmuszeni do rywalizacji. Wycofano zasadę ograniczająca ilość luk 0-day wykorzystanych do skutecznego ataku do jednej. Według nowych zasad ilość luk znalezionych i wykorzystanych będzie dowolna i za każdą lukę znalezioną w przeglądarce, zawodnik otrzyma punkty. Celem organizatorów jest przede wszystkim wykazanie maksymalne dużej liczby uchybień w temacie zabezpieczeń, a także zwrócenie uwagi producentów na konieczność starannego przygotowania łat dla swoich produktów, ponieważ w tym momencie często jest tak, że pomimo wydania łaty bezpieczeństwa, podatność na ataki danego produktu wcale się nie zmniejsza. Nowe zasady mają za zadanie dać równe szanse wszystkim startującym w konkursie. Nie będzie losowania kolejności podejścia do konkretnego zadania. Zawodnicy będą zmuszeni opracować exploity wykorzystujące luki w zabezpieczeniach w czasie trwania rywalizacji. Dzięki temu konkurs będzie trzymał w napięciu od początku do końca.

Dodatkowo atmosferę podgrzewa Google, które oferuje 20 000 dolarów za każdą lukę wskazaną i wykorzystaną do skutecznego ataku w przeglądarce Google Chrome. Stawka więc wyraźnie rośnie, ponieważ przy założeniu, że limit luk znalezionych w przeglądarkach został zdjęty, można dorobić się pokaźnego bonusu od samego wydawcy Chrome. Oczywiście gigant z Mountain View jest pewny swego i zakłada, że ich mechanizm sandbox jest na tyle skuteczny, że raczej przeglądarka obroni się przed atakami. Pytanie tylko, co się stanie jeżeli haker skorzysta z dwóch exploitów, z których pierwszy złamie zabezpieczenia sandboxa, a drugi uderzy już bezpośrednio w jądro przeglądarki?

Należy pamiętać oczywiście, że podczas dotychczasowych konkursów PWN2OWN, Google Chrome ani razu nie poddał się atakom hakerów. Może jednak było to spowodowane ograniczeniami wynikającymi z regulaminu. Teraz hakerzy mają więcej wolności i mogą puścić wodze fantazji.

Oczywiście oprócz nagrody ufundowanej przez Google, również organizator, którym jest TippingPoint ze swojej strony ufundował nagrody pieniężne dla trzech pierwszych miejsc.

Podstawowe zasady:

Przeglądarki będące celem ataków:

• Microsoft Internet Explorer
• Apple Safari
• Google Chrome
• Mozilla Firefox

Systemy operacyjne:

• Windows 7
• Mac OS X Lion

Oba systemy wyposażone będą w najnowsze łaty bezpieczeństwa.

Punktowanie:

• Każdy zawodnik (lub zespół) który opublikuje działający exploit wykorzystujący lukę 0-day w przeglądarce otrzymuje 32 punkty
• podczas rozpoczęcia konkursu zostaną ogłoszone 2 luki załatane w ostatnich latach , które należy wykorzystać do ataku; pierwszy zawodnik, który stworzy exploit wykorzystujący te luki otrzyma 10, 9 lub 8 punktów w zależności od dnia demostracji
• żaden zespół ani indywidualny zawodnik nie wygra jeżeli nie wykaże chociaż jednej luki 0-day w zabezpieczeniach
• o zaliczeniu punktów za zadanie będzie decydować grupa sędziów, którzy sprawdzą, czy dana luka nie jest wykorzystywana jednocześnie przez kilka zespołów

Nagrody:

• I miejsce: 60 000$
• II miejsce: 30 000$
• III miejsce 15 000$

Zdecydowanie nowa konwencja konkursu PWN2OWN jest ciekawsza nie tylko ze względu na postawienie na większą konkurencję biorących w nim udział hakerów, ale również ze względu na możliwość wykrycia nowych podatności na ataki produktów czołowych firm. Internet Explorer, Safari oraz Firefox co roku poddawały się naporom atakujących . Jedynie Google Chrome opierał się atakom, głownie dzięki mechanizmowi sandbox. Uważam, że teraz może się to zmienić. Nie tylko podbicie stawki przez Google za złamanie ich zabezpieczeń, ale przede wszystkim większa dowolność w podejściu do tematu, może obalić mit bezpiecznego Chrome.

Czekam z niecierpliwością na tegoroczny konkurs. Może będzie mniej spektakularny patrząc od strony mediów, ale według mnie, wniesie więcej w poprawę bezpieczeństwa przeglądarek internetowych, a co za tym idzie, naszych komputerów i danych na nich zgromadzonych.

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

W zeszłym tygodniu na blogu skupiającym się na systemie Android opublikowano informację, że oprogramowanie Skype wyprodukowane dla platformy Android nie blokuje dostępu do wielu poufnych informacji znajdujących się na telefonach.

W niepowołane ręce mogą wpaść takie dane jak nazwa użytkownika, adres e-mail, lista kontaktów oraz logi rozmów z klienta Skype. Sam producent oprogramowania Skype potwierdził zarzuty w piątek.

Problem polega na tym, że Skype nadaje błędne uprawnienia do plików, pozwalając na dostęp do nich każdemu.

Producent oprogramowania Skype obiecał zająć się problemem prywatności, ale działania mające na celu wyeliminowanie problemu nie zostały ujęte w żadnym harmonogramie.

Chet Wiśniewski, specjalista ds. bezpieczeństwa z Sophos powiedział, że problemy z prywatnością oprogramowania Skype dla Androida mogły

powstać z niechlujstwa w kodowaniu w najlepszym razie, lub braku szacunku dla prywatności w najgorszym.

Na chwilę obecną problem z prywatnością oprogramowania Skype dla Androida nie została wyeliminowana.

Tradycyjnie już, w każdy drugi wtorek miesiąca Microsoft publikuje biuletyny zabezpieczeń. Tym razem gigant z Redmond wydał 11 poprawek, z których 5 oznaczono jako krytyczne, kolejne 5 zyskało status ważnych, a 11 określono jako średnio ważną. Poniżej krótki opis każdego z biuletynów.

MS10-019 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Authenticode Verification, pozwalającej na zdalne wykonanie kodu

MS10-020 (krytyczny) – dotyczy luki w zabezpieczeniach w kliencie SMB, pozwalającej na zdalne wykonanie kodu

MS10-025 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Services uruchomionym na systemie Microsoft Windows 2000 Server, pozwalającej na zdalne wykonanie kodu

MS10-026 (krytyczny) – dotyczy luki w zabezpieczeniach w kodekach audio dostarczanych przez Microsoft (Microsoft MPEG Layer-3), pozwalającej na zdalne wykonanie kodu

MS10-027 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Player, pozwalającej na zdalne wykonanie kodu

MS10-021 (ważny) – dotyczy luki w zabezpieczeniach w jądrze systemu Microsoft Windows pozwalającej na podniesienie uprawnień za pośrednictwem odpowiednio przygotowanego kodu

MS10-022 (ważny) – dotyczy luki w zabezpieczeniach w VBScript w systemie Microsoft Windows, pozwalającej na zdalne wykonanie kodu

MS10-023 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Publisher, pozwalającej na zdalne wykonanie kodu

MS10-024 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Exchange i Windows SMTP Service, pozwalającej na przeprowadzenie ataku DoS

MS10-028 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Visio, pozwalającej na zdalne wykonanie kodu

MS10-029 (średni ważny) – dotyczy luki w zabezpieczeniach w pakiecie ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) pozwalającej na spoofing.

Pozostaje nam zaktualizować nasze Windowsy i czekać cierpliwie na kolejne biuletyny, które zostaną wydane 11 maja.

Minął rok od poprzedniego konkursu Pwn2Own. Wczoraj w ramach akcji Zero Day Initiative, specjaliści ds. bezpieczeństwa oraz hakerzy stanęli w szranki, aby pokazać jak dobrzy są, a i przy okazji udowodnić, że przeglądarki, z których korzystamy wcale takie bezpieczne za jakie je uważają ich producenci nie są. Wyjątkiem tutaj jest Opera, która nie wystawiła swojego produktu do konkursu oraz Chrome, do którego w pierwszy dzień konkursu nawet nikt nie podszedł. Okazuje się bowiem, że produkt Google jest najtrudniejszą do złamania przeglądarką wśród tych najpopularniejszych. Konkurs jeszcze się nie skończył. Przed nami jeszcze dwa dni konkursu i może się okazać, że po zmianie platformy i Chrome polegnie.

W skrócie plan tegorocznego konkursu:

Dzień 1.

Hakerzy mieli okazję zmierzyć się z następującymi zestawieniami produktów:

• Microsoft Internet Explorer 8 on Windows 7
• Mozilla Firefox 3 on Windows 7
• Google Chrome 4 on Windows 7
• Apple Safari 4 on MacOS X Snow Leopard

Złamano zabezpieczenia wszystkich przeglądarek za wyjątkiem Google Chrome.

Dzień 2.

• Microsoft Internet Explorer 7 on Windows Vista
• Mozilla Firefox 3 on Windows Vista
• Google Chrome 4 on Windows Vista
• Apple Safari 4 on MacOS X Snow Leopard

Dzień 3.

• Microsoft Internet Explorer 7 on Windows XP
• Mozilla Firefox 3 on Windows XP
• Google Chrome 4 on Windows XP
• Apple Safari 4 on MacOS X Snow Leopard

Jednocześnie n a próbę wystawione są platformy mobilne. W tym roku hakerzy mają do dyspozycji:

• Apple iPhone 3GS
• RIM Blackberry Bold 9700
• Nokia E72 device running Symbian
• HTC Nexus One running Android

Jako pierwszy poległ w tej grupie iPhone, który został złamany z wykorzystaniem luki w mobilnej wersji przeglądarki Safari. Atakującemu udało się skopiować wszystkie wiadomości tekstowe z urządzenia.

Pula nagród przewidziana na ten rok to 40 000 $ dla osób zajmujących się platformami stacjonarnymi oraz 60 000 $ dla osób próbujących złamać zabezpieczenia platform mobilnych. Dodatkowo każdy z uczestników otrzyma sprzęt, na którym pracował podczas przeprowadzenia ataku.

Tego typu konkursy pokazują jak bardzo w błąd nas wprowadzają producenci przeglądarek internetowych. Bezpieczeństwo to mrzonka. Na tle większości jedynie Chrome wydaje się być ciekawą alternatywą. Mechanizm sandbox najwyraźniej sprawia bardzo dużo problemów hakerom. Jest to kolejny mur na drodze do przejęcia kontroli nad atakowanym środowiskiem. Hakerzy przyznają, że w Chrome są luki, które można by łatwo wykorzystać, gdyby właśnie nie sandbox.

O Operze po tych zawodach prawdy się nie dowiemy. Producent nie wystawia swojego produktu do konkursu. Zastanawiam się czemu. Czy to postępowanie jest związane z obawami przed możliwością obalenia mitu o bezpieczeństwie i stabilności oprogramowania spod znaku Opera Software? Boi się konkurencji? Ma obawy przed negatywną reklamą, której ofiarą może paść szybciej niż Internet Explorer? Szczerze powiem, że nie widzę jakiegoś sensownego wytłumaczenia tej sytuacji. Polityka opery dla mnie jest nie jasna. Pewnie dlatego nigdy nie zagości u mnie jako default browser.

Marzec jest miesiącem ubogim jeżeli chodzi o wydane biuletyny zabezpieczeń przez Microsoft. Poniżej opis biuletynów:

MS10-016 (ważny) – dotyczy luki w zabezpieczeniach w programie Windows Movie Maker i Microsoft Producer 2003, pozwalającej na zdalne wykonanie kodu. Problem dotyczy w szczególności systemów Windows XP i Windows Vista, ponieważ na tych systemach program Windows Movie Maker jest instalowany wraz z systemem. Na systemie Windows 7 program jest instalowany opcjonalnie i w większości przypadków problem tej edycji systemu Windows nie dotyczy.

MS10-017 (ważny) – biuletyn rozwiązuje siedem problemów bezpieczeństwa w programie Microsoft Office Excel, pozwalających na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku. Problem dotyczy przede wszystkim: Microsoft Office Excel 2002, Microsoft Office Excel 2003, Microsoft Office Excel 2007, Microsoft Office 2004 for Mac, and Microsoft Office 2008 for Mac, Open XML File Format Converter for Mac oraz wszystkich wspieranych wersji Microsoft Office Excel Viewer i  Microsoft Office Compatibility Pack.

Essential Business Server był propozycją dla firm małej wielkości, w których pracowało do 300 stacji roboczych. W skład EBS wchodzi Windows Server 2008, System Center Essentials 2007, Exchange Server 2007, Forefront Threat Management Gateway, Forefront Security for Exchange, Windows Server Update Services 3.0 oraz Windows SharePoint Services 3.0 dla wersji Standard, a dodatkowo dla wersji Premium: SQL Server 2008 Standard Edition. Całe środowisko opiera się na trzech serwerach dla edycji Standard oraz na czterech serwerach dla edycji Premium (dodatkowy serwer jest odpowiedzialny za obsługę baz danych).

Microsoft podjął w dniu dzisiejszym decyzję, 0 zawieszeniu dalszych prac nad rozwojem EBS z zastrzegając, że pakiet EBS 2008 będzie wciąż sprzedawany, aż do momentu wygaśnięcia wsparcia dla jego poszczególnych składników.

Swoją decyzję Microsoft argumentuje tym, że wiele małych i średnich firm zwróciło się w kierunku zarządzania, wirtualizacji oraz przetwarzania danych cloud computing, dostrzegając w takim modelu możliwość zwiększenia oszczędności, efektywności oraz konkurencyjności.

Klienci, którzy będą zainteresowani przedłużaniem licencji dla poszczególnych części składowych produktu, będą mogli to zrobić za darmo pomiędzy 30 czerwca i 31 grudnia 2010.

W niedzielę Microsoft potwierdził istnienie luki zero-day w przeglądarce Internet Explorer, którą odkrył Maurycy Prodeus. Problem dotyczy sytemu Windows XP z zainstalowaną przeglądarką IE 6, 7 lub 8. Luka wykorzystuje VBScript oraz mechanizm pomocy wbudowanej w system Windows. Atak wykorzystuje odpowiednio spreparowany plik *.hlp, a w jego wyniku atakujący może wstrzyknąć złośliwy kod na komputer użytkownika. Warto dodać, że luka została wykryta w 2007 roku, ale dopiero teraz Prodeus zdecydował się na opublikowanie kodu atakującego system. Poziom zagrożenia, Maurycy Prodeus określił jako „średni” argumentując to tym, że użytkownik atakowanego komputera musi zostać zmuszony do interakcji. Microsoft poinformował, że problem nie dotyczy systemów Windows Vista, Windows 7, Microsoft Windows Server 2008 i Microsoft Windows Server 2008 R2 oraz, że nie pojawiły się jeszcze żadne dowody wykorzystanie luki do ataków.

Inny specjalista ds. bezpieczeństwa, Cesar Cerrudo uważa, że poziom ważności luki wykrytej przez Prodeusa powinien być zakwalifikowany jako „wysoki”, ponieważ według niego nie będzie ciężko zmusić użytkownika do interakcji ze złośliwym oprogramowaniem. Według Cerrudo wystarczy napisać złośliwą aplikację w sposób, który zmusi użytkownika do naciśnięcia klawisza F1 w celu potwierdzenia przejścia do następnego kroku w procesie instalacji. W ten sposób nieświadomy użytkownik wywoła system pomocy systemu Windows, a więc wywoła złośliwy kod ukryty pod rozszerzeniem *.hlp.

Jerry Bryant – starszy menadżer pracujący w Microsoft Security Response Center, określił wprost, że:

Pliki pomocy systemu Windows znajdują się na długiej liście tego, co nazywamy „niebezpieczne typy plików”. Są to typy plików, które mają za zadanie wykonać automatyczne akcje podczas normalnego korzystania z plików. Choć mogą one być bardzo cennymi narzędziami w pracy, mogą one również zostać wykorzystane przez napastników do zainfekowania systemu.

Microsoft nie określił jeszcze harmonogramu naprawy błędu. Bardzo prawdopodobne jest jednak, że poprawka ukaże się w normalnym cyklu, czyli wraz z marcowymi biuletynami bezpieczeństwa, których wydanie zaplanowane jest na 9 marca.

Maurycy Prodeus zasugerował tymczasowe wyeliminowanie problemu, polegające na zablokowaniu ruchu wychodzącego na porcie TCP 445, przy czym zwraca uwagę, że takie rozwiązanie nie wyeliminuje całkowicie problemu, ponieważ atakujący może wykorzystać inną drogę do zainfekowania komputera (np.: poprzez wtyczki zainstalowane do przeglądarki).

Cesar Cerrudo poszedł dalej i zaproponował zmianę przeglądarki na bardziej bezpieczną.

Rosyjski specjalista ds. bezpieczeństwa opublikował wczoraj informację o wykryciu luki w zabezpieczeniach przeglądarki Firefox umożliwiającej zdalne wykonanie kodu, w skutek czego uszkodzony zostaje stos programu. Luka wykryta została podczas laboratoryjnych testów w środowisku o nazwie Immunity Canvas z zainstalowaną wtyczką Vulndisco.

Lukę wykryto w przeglądarce Firefox 3.6 działającej na systemach Windows XP i Windows Vista.

Evgeny Legerov, założyciel moskiewskiej firmy Intevydis zwraca uwagę, że nie chodzi tutaj o lukę załataną podczas ostatnich aktualizacji starszych wersji przeglądarki Firefox. Przypomnijmy -  ostatnio Mozilla załatała w Firefoksie 3.0 i 3.5 lukę, która również dawała możliwość uszkodzenia stosu przeglądarki.

Mozilla wydała oświadczenie, w którym informuje, że nie znaleziono jeszcze sposobu na wykorzystanie luki w normalnym środowisku pracy. Zapewnia również, że wszelkie sygnały o niebezpieczeństwach związanych z błędami w kodzie przeglądarki są traktowane poważnie i doceniają wkład specjalistów zajmujących się bezpieczeństwem.

Evgeny Legarov konkludując całe wydarzenie wspomniał, że nie jest to pierwszy raz, kiedy w przeglądarce Mozilli wykryto lukę zero-day. Jak do tej pory większość tego typu luk była dostępna dla wąskiego grona zamkniętego w zacisznych laboratoriach wyposażonych w kosztowne oprogramowanie. Niestety wraz ze wzrostem wiedzy specjalistycznej, a także wycieków z zamkniętych ośrodków badawczych, podatności te staną się dostępne w większym stopniu w „normalnym” środowisku.