UnderForge of Lack

Archive for 10 月 1st, 2009

2009.10.1 木曜日

Posted in security on 10 月 1st, 2009 by gnome

今日はイロイロ多いんですが・・

法の日	荒川線の日	都民の日
デザインの日	日本酒の日	メガネの日
コーヒーの日	補助犬の日	展望の日
醤油の日	印章の日	土地の日
磁石の日	国際音楽の日	赤い羽根の日
国際高齢者の日en	浄化槽の日	衣替え
国慶節	ナイジェリア独立記念日	ツバル独立記念日

----------
MitB

「マン・イン・ザ・ブラウザー（MITB：Man-in-the-Browser）」攻撃

「ワンタイムパスワードでも防げない」、ブラウザーの乗っ取りが急増
MITB攻撃に使われるウイルス(トロイの木馬)は、ユーザー認証が成功した後のブラウザーを乗っ取るため、強固なユーザー認証を導入していても防げない可能性が高い。「通常とは異なる不正な送金などが行われるため、オンラインバンク側ではMITB攻撃を検知できる可能性があるが、ユーザー側では難しい。ユーザーの対策としてできることは、一般的なウイルス対策をしっかり実施すること」

お金を不正に振り込ませる3つの管理ツールが登場，RSAセキュリティが報告
1つ目のツールは，MITB攻撃の標的となる個々の振込元口座と，個々の振込先の口座とのマッチングを管理するコントロール・パネルである。GUI画面を利用して，適切な口座を容易に割り当てられるようにする。2つ目は，口座と口座のマッチング作業を自動化するプログラムである。数ある振込み先口座のリストの中から，個々の振込みトランザクションに最適な口座を検索して割り当てる。3つ目は，振込み先口座情報を蓄積したサーバーから，振り込み先情報が漏えいすることを防止するセキュリティ・ソフトである。

この攻撃を主導しているのは、正体不明の組織 RockPhish だといわれています。
RockPhishの巧妙な手口は以前も紹介したこの記事で紹介されています。

攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その1

攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その2

ワンタイムパスワードは、フィッシング対策の切り札とされていますが、セッションそのものを盗まれると意味が無いという事実はあまり知られていないように思います。

----------
モンスターハンティング Vol.3

Part2からずいぶん開きましたが、次は llomo/Clampi Botnet です。

Killing the beast...Part 3
Clampi is all about data stealing and is famous for its anti-reversing and evasion techniques. The financial damage this information stealer can cause is evident from the fact that it has recently been publicly disclosed of a cyber theft of more than $150,000. Notorious isn't it..?

llomo/Clampiは、こちらも参考になるでしょう。

A study of the Ilomo / Clampi Botnet

----------
Adobe Photoshop

Potential Photoshop Elements 8.0 issue
Adobe is aware of a report of improper service permissions potentially leading to a local privilege escalation issue in Photoshop Elements 8.0 (CVE-2009-3489). We are currently investigating this issue and will have an update once we have more information. For clarity, please note that "local privilege escalation" means that valid login credentials and/or physical access to a computer is required for service permissions to be altered. It would not be possible to exploit this issue from a remote source over the internet, for instance.

って・・・SecurityFocusではこういわれてますよ？

Adobe Photoshop Elements Active File Monitor Service Local Privilege Escalation Vulnerability
Attackers can exploit this issue to execute arbitrary code with SYSTEM-level privileges. Successful exploits will completely compromise an affected computer.

ZeroDay認定の予感

----------
サモア地震

まず、サモアの地震および津波で亡くなられた方にお悔やみを申し上げます。

サモア地震便乗型悪質サイト

不正アンチウィルス・ソフトウェアに導くサモア地震のニュース

RE: サモア地震便乗型悪質サイト

Pacific Tsunami Unleashes a New Tide of Malware

Malware Authors Profit From Disasters

Spammerにはそういう気持ちは欠落しているのでしょうね・・・

----------
RE: 偽SSL証明書のトリック

SSL trick certificate published
security specialist Jacob Appelbaum has published an SSL certificate and pertinent private key that together allow web servers to avoid triggering an alert in vulnerable browsers - irrespective of the domain for which the certificate is submitted.

he entered *\\ 00thoughtcrime.noisebridge.net, effectively creating a wild card certificate for arbitrary domain names:
CN= *0thoughtcrime.noisebridge.net

\ 0 で始まる証明書の問題で各ブラウザがアップデートしたのはつい最近の話ですが、*\\ 00 を先頭にすることで同じ問題が発現する事が確認されたようです。

現時点でこの問題に対応しているのは RIM(BlackBerry)のみです。

RIM plugs BlackBerry phishing hole

----------
MozillaはMicrosoft擁護に廻る

モジラ、グーグルのIE用プラグイン「Chrome Frame」を批判
「ソフトウェアの選択が個々のサイトの開発者に委ねられることになれば、Webのセキュリティやブラウザの機能に対するユーザーの理解はひどく損なわれるだろう。FlashやSilverlight、Javaなどのプラグインで繰り返されてきた問題を、HTML 5で繰り返す必要はない」

ソフトウェアの選択権がサイト開発者にあるなら、とっくの昔にIE6とか無くなってるような気もしますけど・・どうなんでしょう？

----------
間に合ったのが不思議

銀行が顧客情報を誤送信したGmailメッセージ、閲覧前にグーグルが削除
ワイオミング州ジャクソンに拠点を置くRocky Mountain Bankの従業員によって8月12日に送信された電子メールには、銀行の顧客1300人以上の氏名、住所、社会保障番号、貸し付け情報が記載されていた。

Rocky Mountain Bankは、データ削除を依頼するメールを新たに送信したうえで、裁判所にはGoogleに同行の代理として介入することを命じるよう求めた。2009年9月第4週に、カリフォルニア州サンノゼの連邦地方裁判所判事が該当するGmailアカウントを一時停止するよう命令を出し、Googleはこれに従った。Googleと同行が迅速に問題解決にあたった結果、裁判所は訴えの取り下げを認め、Googleに該当アカウントを再開することを許可した。

----------
New Beasts spawns

New botnet hides commands as JPEG images
The server sets the HTTP Content-Type header to “image/jpeg” and prefaces the bot commands with a fake 32-byte JPEG header. The bot checks if the header matches and decodes the rest of the response to retrieve its commands. The commands are encoded using a single byte XOR with 0×4. The malware that CTU has observed being installed by Monkif is a BHO (Browser Helper Object) trojan commonly referred to as ExeDot, which performs Ad Hijacking and Ad Clicking.

JPEGの偽装ヘッダを被せることで、ペイロードやらコマンドを隠すテクニックが横行するようになると、ウィルススキャナも対応しなければならなくなって、ブラウザの速度が（以下略）

----------
4 Highly Critical Vulnerability

KeyHelp OCX(ActiveX)関連

KeyWorks KeyHelp ActiveX Control Buffer Overflow Vulnerability

EMC Captiva QuickScan Pro KeyHelp ActiveX Buffer Overflow

FlatPress "user" Local File Inclusion

IBM Installation Manager "iim" URI Handling Argument Injection

該当製品をお使いの方はアドバイザリにしたがってください。

----------
Uncured SEO

Google Wave SEO Poisoning

Microsoft Security Essentials SEO Poisoning
MSEのダウンロードで Fake-AVに誘導されるとちょっとヤバイかも

----------
Arrested by Share

ShareでニンテンドーDSゲームソフトを無断配信、愛知と神奈川の男を逮捕
各社の著作権（公衆送信権）を侵害した疑い。

----------
あー多かった・・
ミスあったらごめんなさい。

Google Safe Browsing STATUS:
[goog-malware-hash 1.16112 update]
[goog-black-hash 1.41190 update]
Results: 351302

EoF