Archive for 9 月 18th, 2009

[WARNING] SMB2 脆弱性による Remote Code 実行の恐れ : Windows Vista/2008 Server

Posted in Announce, security on 9 月 18th, 2009 by gnome

[IN ZERO DAY]
SMB2 remote exploit released
Yesterday a well known security company added a module for their exploitation product. The module contains the remote exploit for this vulnerability – in other words, any user running this tool can get full access to affected machines.

If the exploit is stable enough, it can _very easily_ be used in a worm, so it can potentially be devastating.
So, if you are running a Windows Vista or Server 2008 machine (Windows 7 RTM is not affected, RC *is*), be sure you apply one of workarounds listed by Microsoft (they are not perfect, but they can help), available here:

Microsoft Windows SMB2 '_Smb2ValidateProviderCallback()' Remote Code Execution Vulnerability

SMB2を経由したリモートからのBSoD(ブルースクリーン)DOS攻撃は、既に実証されているとおりですが、それだけでもアタマが痛いのに、リモートからコード実行可能なPoCが発表されました。

このPoCはまだ不安定なものですが、改良コードが出回れば、攻撃者は脆弱性を放置している環境を「非常に簡単に」制圧下におくことが可能であると警告しています。

対象環境
Windows Vista 全環境
windows Server 2008 全環境 (BSoDと違い、SP2も対象)
Windows 7 RC1 (RTMは含まない)

対処:
SMB の脆弱性により、リモートでコードが実行される
DMZ外側へ/からの Port445/139 を塞ぐこと

SMB2を無効化すること

Remote exploit released for Windows Vista SMB2 worm hole

----------
久しぶりの警報です。

1 Comment »

2009.09.18 金曜日

Posted in security on 9 月 18th, 2009 by gnome

かいわれ大根の日
数字の8を横にして、その下に1を付けるとかいわれの形に似ている事から
き・・厳しい・・
制定した「日本かいわれ協会」は、現在は「日本スプラウト協会」として、カイワレなどの食用新芽野菜の普及活動を行っています。

しまくとぅばの日
沖縄県の言葉「しまくとぅば」を奨励するために定められた記念日、9月18日は、「く」で9、「とぅ」で「十」、「ば」で8という語呂合わせである。

独立記念日 : チリ共和国
1810年、スペインからの独立を掲げてサンティアゴ・デ・チレ自治政府が樹立された日。
この後、チリは再びスペインの占領下に入るが、アルゼンチン出身で、「南米の解放者」と呼ばれるホセ・デ・サン=マルティン率いるアンデス軍により、再び主権を奪回。その後も混乱の続いた南米諸国とは一線を画した保守勢力を中核とした政権を築いた。

----------
なぜあなたそんなそふといんすとーるしたですか

Why is Rogue/Fake AV so successful?
偽セキュソフトはこの2年間でますます勢力を増しています。サイバー犯罪者がこの手の攻撃を中核に据えているのは、金銭が主目的であることは明白なことです。

こうした偽セキュソフトに関して、いくつかの興味深い共通点があります。まず、多くの場合それらの攻撃には洗練された(脆弱性攻撃のような)手段を使いません。これらのインストールの殆どは、訪問者を巧妙にだますことで誘引されています。どうやってそれを行うのか? という疑問は、全て「ソーシャルエンジニアリング的な手法」に集約されるでしょう。彼らはまず、Microsoft Windows の画面にそっくりな web page を作成し、これらのウェブサイト上でオンラインスキャン(に似せた)を行っているような画面を表示させます。そして訪問者が自分のPC上に悪意のあるウィルスがあると信じてしまえば、次のステップとして抗ウィルスソフトをインストールしようとしてしまうでしょう・・・もちろんそれは正常なものではありません。

一旦そうした偽セキュソフトがインストールされてしまえば、その瞬間、あなたのPCは完全に制圧下に置かれてしまいます。犠牲者は自分のPC上の架空のウィルスを除去するために、毎時間のように出てくる警告ウィンドウに表示されるアドレスへ クレジットカード情報を入力して送金してしまうかもしれませんし、いくつかの偽セキュソフトは、キーロガーを仕込んであらいる有価情報(FTP など)を別のリモートホストに送信しています。

犯罪者はそうした偽セキュソフトへの誘導サイトにありとあらゆる主管を使用します。パトリック・スウェイジの死の報道からわずか2時間後には、サージエンジンの結果のいくつかに、偽セキュソフト誘導のリンクが並ぶ結果となっていました。

偽セキュ(FakeAV)の恐ろしいところは、実際にインストールした瞬間、全てが決定してしまう点にあります。
本当に最悪の場合、キーロガーは言うに及ばず、更にRootkit的なものインストールされ、全てのセキュリティソフトへのリンクがバイパスされ、あらゆるトラフィックが監視される状況になり、Botnet端末として稼動してしまう可能性があります。

皮肉な話ですが、オンラインスキャンを提供するベンダーが増えているため、オンラインスキャンに対する警戒心が低下していることも、こうした犠牲者の増加の一因になっているのかもしれません。

参考:
スウェイジをエサにしたさらなるトラップ
Fake Online AV Scanner Installs Fake AV
偽オンラインスキャナーが偽セキュをインストールする

その他トリック:
Fake AV continuing the PDF onslaught
FakeAV exploits GreyMatter vulnerability
FakeAV, with sound.
Yet more FakeAV trickery

----------
XOOPS XF-section

XF-Section におけるクロスサイトスクリプティングの脆弱性
対策:
XF-Section を使用しない
XF-Section の開発は終了しているため、使用を停止してください。同等の機能が実装された他製品に切り替えることをお勧めします。

XF-Section 1.12a におけるクロスサイトスクリプティングの脆弱性
ただちに XF-Section の使用を停止することをお勧めします。
代替として SmartFactory 殿が公開している SmartSection モジュールを推奨します。
SmartSection 2.14 Final
XFsection から SmartSection への移設

----------
QuickSilver Malware Network

Quicksilver Malware Network

前回の DNS(FreeDNS) & Zombie Botnetに引き続く、Malware/Spam/Botnet のコングロマリットの解明に挑む特集。

まだ全部読んでませんので、とりあえず紹介

----------
Chatの中の人攻撃

Chatting with a phisher

年々巧妙化するフィッシング誘導ですが、Webベースのチャットクライアントや、Jabberなどの IM クライアントのセッションハイジャックを利用したフィッシングが増加しており、オンラインバンクに対する "Chat-in-the-Middle attacks" として警告されています。

"Chat-in-the-Middle" Phishing Attack Attempts to Steal Consumers' Data via Bogus Live-Chat Support
This includes, but is not limited to, informing customers to be aware of unusual online chat activity and to remind them that their bank and most other websites will never ask them to divulge information concerning their username/password or challenge/response questions.

基本的に、オンラインバンクや有価情報に直結するCredentialsを、銀行から問い合わせることはありません。

----------
10,000,000 upgrade'ed

Helping People Upgrade Flash

Firefoxで10,000,000 だと、IEはどんだけ~ って感じになりそうなんですが?

Firefox最新版更新時に「古いFlash Player」を検知

Firefox Flash patch nudge working, but...
The 30% click-through number might be something to celebrate but it means that a whopping two-thirds of all Firefox users may still be running a version of Flash Player that’s vulnerable to malware attacks.
*shrug*

----------
EoF

Leave A Comment »

ホットワード padding margin 脆弱性 Remote Windows Vista
割引クーポンまとめ情報 - クー割