Archive for 7 月 18th, 2009

[EMERGENCY] Firefox 脆弱性への攻撃開始

Posted in Announce, RiskHedge, Trouble, security on 7 月 18th, 2009 by gnome

EMERGENCY vol2


本日2個目の警報

Firefox3.5 の jit(TraceMonkey)エンジン脆弱性を突いた(ような)攻撃が早速始まっているようです。

インジェクション FireFox3.5 Heap Spray Vulnerabilty
Thanks to HD Moore for the Insight and Metasploit for the payload

MetaSploit Project の H.D.Moore氏が見たら何ていうのやら(苦笑)
参考:『Metasploit』、最新版で『Windows』をフルサポート

本気なのか、Milw0rmを見て入れてみただけなのか、よくわかりません。

okm4.orgBLOCKEDokm4.org305
118.123.11.29AS4134 CHINA-TELECOM
 
56jrr.cnBLOCKED56jrr.cn169
59.34.197.151AS4134 CHINA-TELECOM
 

AS4134はそろそろ覚えていただけましたか?(笑)

MDL/MalwareURLともに犯歴無し

----------
対策:

Firefox 3.5.0 ユーザ
速やかに 3.5.1 へのアップデートを行ってください。

Windows ユーザ
Windows/Microsoft Update を行い、msvidctl.dll脆弱性の穴を塞いでください。
Microsoft Office Web コンポーネント コントロールの脆弱性の対処(Fix it)を行ってください。

----------

追加:

cnzz.comTHROUGHcnzz.com1
59.151.41.22AS9308 CHINA-ABITCOOL
 
linezing.comTHROUGHlinezing.com333
119.42.227.248AS37963 CNNIC-ALIBABA-CN-NET-AP
 
hongse88.comTHROUGHhongse88.comNOT YET
121.14.218.162AS4134 CHINA-TELECOM

----------
EoF

Leave A Comment »

[EMERGENCY] cn injection again and again and ...

Posted in RiskHedge, security on 7 月 18th, 2009 by gnome

EMERGENCY


少し前から発生していた microsoft.cn系のインジェクションですが、ここへ来て国内への飛び火が拡大している様子です。
使用されているのは、従来どおりの脆弱性ですが、Exploitsが成功した後の .exe の状況が
File load.exe received on 2009.07.08 01:18:57 (UTC) Result: 1/41 (2.44%)
という状況ですので警報にしておきます。

updatedate.cnBLOCKEDupdatedate.cn232
microsotf.cnBLOCKEDmicrosotf.cn78

91.212.198.37 AS49314 NEVAL.
NEVALは他にも色々とヤバそうなものがあるのでこの際・・・
91.212.198.0 - 91.212.198.255

レジストラント abuseemaildhcp@gmail.com で登録されている他の Mal-Domain:

imagehut3.cnBLOCKEDimagehut3.cn20
imagehut5.cnBLOCKEDimagehut5.cn39

213.182.197.229 AS8206 JUNIK
・・・・・マタオマエカ
92.241.190.53 AS41947 WEBALTA
ここも防弾ホストっぽいですね。デモ、ちょっと範囲が広いので判断はお任せします。
92.241.160.0/19

--
imagehut4.cnTHROUGHimagehut4.cnNOT YET
212.117.173.92 AS44042 ROOT-AS
やぁ・・お久しぶり・・
ns: 208.76.56.56
このアドレスは gumblar.cn のネームサーバとして使用されていました。

----------
そろそろオデカケ・・
何かあったら順次追加します

EoF

Leave A Comment »

2009.07.18 SAT

Posted in security on 7 月 18th, 2009 by gnome

そういえば世の中は三連休なんですね~
高速道路がタイヘンなことになっているようですが・・・・
あ~海いきたい

----------

また Massive Injection?

Massive SQL Injection Ensues
Trend Micro stumbled on a somewhat regional fallout of this SQL injection in India threading through numerous compromised government, tourism, popular media, and other sites. We have identified the following new URLs leading to more malware that made it into unknowing users’ systems while visiting sites where the malicious script injection was found and identified:

hXXp://lsg。kerala。gov。in
hXXp://www。lsg。kerala。gov。in
hXXp://www。bangaloremirror。com
hXXp://www。mumbaimirror。com
hXXp://www。kolkatamirror。com
hXXp://www。mumbaipluses。com
hXXp://education。indiatimes。com
hXXp://www。kolhapurbusiness。com
hXXp://www。bizxchange。in
hXXp://timesascent。in
hXXp://www。studio3india。com
hXXp://www。timesascent。co。in
hXXp://www。mumbaibusinessdirectory。in
hXXp://www。tourindianow。org
hXXp://www。bizxchange。in
hXXp://www。maharashtradirectory。com

TROJ_AGENT.HOZZ

さてはて・・

From MalwareURL as : http://www.malwareurl.com/ and robtex
注意:MalwareURL も MDL と同じく、ストライクにMalwareへのリンクがありますので注意してください。

gamecj.comBLOCKEDgamecj.com240
bnret.comBLOCKEDbnret.com140
msrre.comTHROUGHmsrre.com--
f1y.inBLOCKEDf1y.in414
gamezv.comBLOCKEDgamezv.com31
nhaej.comBLOCKEDnhaej.com11
yesgogame.comBLOCKEDyesgogame.com28

98.126.12.90
AS35908 (VPLSNET) : customer.krypt.com
* Resistrant by zhangbo / web@163ns.com

昨日の f1y.in と同じだとは思うのですが、IPが 98.126.12.90 に収束しています。

Massive なんでしょうね・・たぶん。
ネットゲームをやっていらっしゃる方は気をつけましょう

追記:
インジェクション -- FFXI(仮)
WoWのアカウント盗用、POL(FFXI)のアカウント盗用、
hostsの書き換えなどで構成されています。

Trojan.Dropper, Mal/Behav-112, TrojanDownloader:Win32/Bakted.A

AS35908 (VPLSNET) は他にも
funoyun.comTHROUGHfunoyun.com1
208.84.144.172
が報告されています。

追記2:
昨日やけに A レコードが多かった原因が判明・・・
Linuxのシェルにloginするのがメンドクサかったので、TCP Monitor Plus の NSLookupを使ったのですが
NS登録されているIPも全部Aレコードとして返してきます(コラコラ・・・)

で・・今 NSLOOKUPしてみると・・

# nslookup f1y.in
IP Address = 210.252.209.90
Host Name = KNNfb-06p3-90.ppp11.odn.ad.jp
ODN オープンデータネットワーク(日本テレコム株式会社)
マテマテ・・・(苦笑)

登録NS : dns0755.net
AS4134 (CHINA-TELECOM) (笑)

----------

魅惑的な Linux カーネル脆弱性?

A new fascinating Linux kernel vulnerability
Source code for a exploit of a Linux kernel vulnerability has been posted by Brad Spengler (Brad is the author of grsecurity). I have to tell you right now – this was one of the most fascinating bugs I've read about lately.

どこへ?って聞かないように(笑)
たぶん TUN/TAP の設定だとは思うんですが詳しくないのでわかりません(苦笑)

networking/tuntap.txt

Because tun is dereferenced (to use tun->sk) the compiler assumes that tun is non-null, so it removes the check for tun against NULL.

Nullチェックを入れてあるのに、コンパイラが tun がNullではないと定義しているので、最適化によって Nullチェックが消されてしまうというもの

TUN/TAPは OpenVPNのトンネリングに良く使われています。
攻撃コードが出回っているわけではありませんが、今後の動向に要注意かもしれません。
こんなんどうやって防げと?

Linux Kernel "tun_char_poll()" NULL Pointer Dereference

----------

IE9を待ちましょう?

Cross-Platform, Cross-Browser DoS Vulnerability
G-SEC posted an advisory of a nifty little vulnerability that affects most browsers on most platforms, including mobile devices (i.e. iPhones) and gaming consoles. In essence, it requires a malicious webpage to call the select() function with a large integer.
Affected Browser/Platform
Internet Explorer 5, 6, 7, 8 (all versions)
Chrome (limited)
Opera
Seamonkey
Midbrowser
Netscape 6 & 8 (9 years ago)
Konqueror (all versions)
Apple iPhone + iPod
Apple Safari
Thunderbird
Nokia Phones : Nokia N95 (Symbian OS v.9.2),Nokia N82, Nokia N810 Internet Tablet
Aigo P8860 (Browser hangs and cannot be restarted)
Siemens phones
Google T-Mobile G1 TC4-RC30
Ubuntu (Operating system sometimes reboots, memory management failure)
possibly more devices and products that support Javascript,

多すぎ(笑)

Of particular note, IE is exposed up to IE9

This is what the advisory says, I'm not sure that makes much sense.
(笑)

----------

こーいうこと始めると、またジョン・トンプソン氏から噛まれそうだ(笑)

Let telemetry be your guide, a proposal for security tests…
And as product developers, we’ll point to the tests and reviews that best represent our product. (Like this recent report on the just released Microsoft Security Essentials Beta and the most current AV-Comparatives test showing Windows Live OneCare (OneCare) reaching the vaunted status of Advanced+.)

私個人としては、どのセキュアプリがどのくらいの「撃墜率」を誇っているか?なんてのには興味ナッシングです(笑)
それよりも、
ゼロデイの攻撃が発生した際にどのくらい防御可能か?
現在最も蔓延しているウィルス・マルウェアに対処できているか?
システムファイルを消したりしないか?(笑)
のほうが重要かな?

----------

Chrome update

Stable, Beta update: Bug fixes
Google Chrome 2.0.172.37 has been released to the Beta and Stable channels. This release fixes some minor bugs
Chrome使用中の方は勝手に上がってるとは思いますが 一応バージョンチェックを
2.0.172.37

----------

えーっとオチなし時間切れ(でもコソコソ修正など)

----------

Requiescat in Pace

米テレビニュース界の伝説、ウォルター・クロンカイト氏死去

Walter Cronkite And The Lunar Landing (CBS News)

----------

The 600ish posts , Thanks everyone.
EoF

Leave A Comment »

ホットワード padding margin 脆弱性 攻撃 本日
割引クーポンまとめ情報 - クー割