2010 エイプリルフール

Posted in security on 4 月 1st, 2010 by gnome

エイプリルフール (四月馬鹿・万愚節)
エイプリルフール (April Fool's Day) とは、毎年4月 1日には嘘をついてもよい、という風習のことである。ただし人をからかうような、害のない嘘に限られる。またイギリスなどでは、4月1日の正午までに限るとも言い伝えられている。
エイプリルフールの起源は全く不明である。すなわち、いつ、どこでエイプリルフールの習慣が始まったかはわかっていない。
2010年のエイプリルフールに起こった出来事の一覧
新学年
日本で会計年度・学校年度(年度)が始まる日である。 日本では法律上、この日生まれの人は「早生まれ」として扱われる。
綿抜(わたぬき)、更衣(衣替え
かつては、冬の間に防寒として着物に詰めた綿を旧暦4月1日に抜いていた。ここから、 「四月一日(四月朔日)」と書いて「わたぬき」と読む姓も存在する。
トレーニングの日 三日坊主にならないように・・
ストラップの日
不動産表示登記の日 (1960 年)
児童福祉法記念日 (1948 年)
売春防止法施行記念日 (1958 年)
オンライントレードの日
アップルコンピュータ社スティーブ・ジョブズスティーブ・ウォズニアックにより設立される。(1976年)
日本電信電話公社民営化、NTT(日本電信電話)発足。(1985年)

----------
ネタを仕込むヒマも無く・・・
HURRY!

----------
QuickTime 7.6.6 #
QuickTime系の単独パッチが公開されました。
About the security content of QuickTime 7.6.6
多い・・・
尚、先日の MacOS X 10.6.2 で既に修正されていますので、パッチ済みの人は(たぶん)適応済みです。
QuickTime update patches 16 vulnerabilities
All users are advised to update as soon as possible. QuickTime 7.6.6 is available to download for Windows XP SP2, Vista, Windows 7 and Mac OS X 10.5.8.

iPodユーザの方は、iTunes 9.1と共にアップデートされているかもしれません。

----------
Java 6 update 19 #
Oracle Releases Critical Patch Update for Java SE and Java for Business
Javaのダウンロードもいろいろあって混乱しているかもしれません。

あなたと JAVA -- www.java.com

Java SE ダウンロード -- java.sun.com
とありますが、(たぶん)どちらも同じはずです。

現時点で私の環境の「自動アップデータ」が update19を認識ませんが、同様の状況に陥っている方が周囲にも居ますので、自分だけではなさそうです。
インストールの確認
こっちでは「古い」と怒られるのですが・・

また、古いJavaに関する FAQ が追加されており、アンインストールの方法として Microsoft Installer CleanUp ユーティリティ を推奨しているようです。
JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。
旧バージョンの Java を削除してもかまいません。
最新バージョンの Java には、旧バージョンのアップデート版と修正版が含まれているので、必ず最新バージョンを使用してください。最新のバージョンは常に旧バージョンと互換性があります。
旧バージョンに依存するアプレットまたはアプリケーションがある場合は、旧バージョンの Java をインストールしたままにしてもかまいません。
ちょっと歯切れが悪い・・・
プロバイダや開発者は、すべての Java バージョンとの互換性を保証するために、コードを改正する必要があります。

Java 6 Update 19 closes 26 security holes

ブラウザ -- FFXI(仮)
「Oracleに変わりました」と書こうと思ったらSunのままなのでこの辺にぶら下げておきます。
(笑)
Java のページのヘッダが真っ赤に染まっていたのをみて、なにやら感慨深いものがあったのですけどね~

----------
Chrome #
Stable Update: Disable Translate
Google Chrome 4.1.249.1045 has been released to the Stable channel on Windows.

----------
IPA #
「2010年版 10大脅威 あぶり出される組織の弱点!」を公開
2010年版 10大脅威 あぶり出される組織の弱点!(全40ページ、1.73MB)
中身精読する時間がないので・・ナナメ読みです

7.深刻なDDoS攻撃
この辺は実際に起きてしまうと対処不能かもしれませんが・・・

企業や組織が直面する10大脅威、IPAが発表
あまり目新しい話は無いような・・・・

----------
Critical Miss #
痛恨の個人情報流出~先輩たちの「痛恨ミス」に学ぶ事故防止策
新年度を迎え、新たにWebの更新やメールマガジンなどの送信に携わることになった方も少なくないだろう。諸先輩がやってしまった痛恨のミスを振り返りつつ、その防止策を学ぼう。
他山の石とする!

so-netさんの記事と IPAさんのレポートと比較しちゃいけないんでしょうが・・・(もごもご・・)

----------
Firefox 3.0 #
Firefox 3 サポート終了のお知らせ
Firefox 3 は、本日リリースされた 3.0.19 が最後のバージョンとなり、サポートを終了させていただきました。今後セキュリティに関する問題が報告されても修正版は提供されません。まだ Firefox 3 をお使いの方は早急に Firefox 3.6 の最新版へアップグレードしてください。アップグレードはもちろん無料です。また、保存されているブックマークや個人設定は自動的に引き継がれます。
特に、CentOSなど、安定リポジトリしか供給しないビルドをご使用中の方は、rootログインすると突然一気にバージョンアップしてしまうことがありますのでご注意を。

Firefox 3.0.19
Firefox 3.0 セキュリティアドバイザリ

Firefox 3.5.9
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5 向けのセキュリティ更新は 2010 年 8 月まで提供される予定です。

Last version of Firefox 3.0 released

続く
----------
Firefox CSS #
Plugging the CSS History Leak
ちょっと長いですが、"a:visited" のCSS要素が漏洩することにより、「訪問したWebサイトの履歴」が第三者に漏洩してしまう危険性の話。
この辺になると、利便性vs安全性の完全な排他関係に当たります。

Firefox developers block old CSS leak
5.11.2 The link pseudo-classes: :link and :visited
Note. It is possible for style sheet authors to abuse the :link and :visited pseudo-classes to determine which sites a user has visited without the user's consent.

Privacy isn’t always easy.
Originally specified as a useful feature for the Web, visited link styling has been part of the web for… well, forever. So this is a pretty old problem, and resurfaces every once in a while to generate more paranoid netizens.
(苦笑)

訪問履歴が漏れることを恐れる方は、毎回履歴を消しているでしょうが・・・

Mozilla to Fix CSS History Leak Soon

----------
週間脆弱性 2010.03.30 #
チェックしておきたいぜい弱性情報<2010.03.30> BGM
Thunderbird 2.0.0.24リリース(2010/03/17)
マイクロソフト Virtual PCのセキュリティ問題(2010/03/16)
Sambaにディレクトリ・トラバーサルのぜい弱性(2010/03/08)

いつもありがとうございます。

Sambaの問題は仕様という説もありますが・・

03/21(日)~03/27(土) のセキュリティ関連情報

----------
PDFは仕様です #
最近連日このネタが飛び交っていますが、そもそも PDF の仕様に問題があるという話ですね。

PDF Arbitrary Code Execution - vulnerable by design.
Evidently, PDFs have the ability to execute code by design.
PDF exploit requires no specific security hole to function
Bad news: PDF security specialist Didier Stevens has developed a PDF document which is capable of infecting a PC – without exploiting a specific vulnerability.
やっぱり、インパクトあるんでしょうね

Does PDF stand for Problematic Document Format?
PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか?
※管理人註 : プロブレマティック(Problematic)=問題のある、問題の多い
そんな判りにくい単語よりも、もっと判りやすいのがあったような(苦笑)

ムービーや歌を埋め込むことができる。PDFファイルに。ええっ?
PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備? こんなことを誰が思いつくだろう?
PDFはフォームを持つことができる。それは良い。しかし、このようなフォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能が、どうして必要なのだろうか?
PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか?
セキュリティホールの展示会のような話・・・

Otherwise, our guidance would be to use a PDF reader that's as unpopular as possible. The less users a product has, the less attacks it will attract.
何を使えばいいんでしょうね?(苦笑)

とりあえず、Foxit ユーザは、全く無警告でshellcodeが動作してしまう点に注意しなければなりません。
“Escape From Foxit Reader”
UAC無い環境だと、相当恐ろしいです。

----------
BlackHat SEO #
これも、連日のように出るSEO毒のお話
Automated SEO poisoning attacks explained
PoizonedSERPは、自動化された攻撃手法によって生成されているっと
Poisoned search results: How hackers have automated search engine poisoning attacks to distribute malware.
まぁ、あの時事ネタへの対応スピードは異常ですからね・・
今はまだ、日本のキーワードが狙われているケースが少ないですが、今後多言語対応してくるのは避けられないでしょう。

Technical paper: SEO poisoning attacks
Security researchers scrutinise search engine poisonings

----------
Vietnum #
最近、ベトナムの話がちらほらと・・・
The chilling effects of malware
昨日Linkだけ貼っていたマルウェアの話:
Google: beware spyware from Vietnam
Spyware/DDoS malware combo
ベトナムはかなりのIT先駆国なのらしいのですが、詳しくはありません(ごめんなさい)
The malcode that Google just found infects Vietnamese language keyboard software that has been downloaded worldwide. Mehta says the spyware also is capable of participating in distributed denial of service attacks against bloggers opposed to the mining.
ベトナム語のキーボードソフトに入っていたもののようで、ベトナム発というわけではないようです。

ベトナムのリサーチャのblog:
bkis
Additional information about file replacing virus
Scansafeへの返答とか・・・
マルウェア的に散布されているのは 各種ソフトウェアのアップデータを装ったものです。

Vietnamese the Latest Target in a Politically Motivated Attack
Symantec 解析
Google frets over Vietnam hacktivist botnet
Not Aurora, still a pain

----------
時間切れ:::お出かけせねばっ

----------
Other #

Blackhole DNS Update – 196 new domains
Sources include securehomenetwork.blogspot.com, zeustracker.abuse.ch, ddanchev.blogspot.com:
いつもありがとうございます。
ZeusTrackerは、ちょろちょろ使い捨てにされますので、封鎖は自己責任で・・

Web Browsers Get “Owned” in “2010 Pwn2Own”
Pwn2Own 2010: Lessons Learned
次は、セキュソフトを「破る」コンテストなんかも開催されそうだ(笑)

Social engineering, PDFs and banking Trojans
4.4 percent in China have no AV – that might not be too bad
Millions in China have no antivirus software, survey shows
4.4% = 1700万台というあたりが恐ろしい

g src="http://www3.atword.jp/gnome/files/2010/02/ic_computerworld_yellow.gif" class="cIcon" alt="" />Millions in China
Microsoft runs fuzzing botnet, finds 1,800 Office bugs
Finds, fixes huge number of Office 2010 bugs by tapping idle company PCs
いくらなんでも大過ぎでは・・

Microsoft teams with Google in name of privacy
呉越同舟

そう、Chrome OSはあのFlashも統合する
敵の敵は味方なのはいつものこと・・・

アップデート:中国のファイアーウォールがGoogleをRadio Free Asiaと勘違い(してないかも)
この理論が正しければ、「rfa」という文字列を含むURLはみんなブロックされることになる。
(苦笑)

リムーバブルメディア経由で感染するウイルスの活動検知状況
.rar 拡張子にご用心
「.rar」は本来圧縮形式のファイルであることを示す拡張子ですが、実際にダウンロードされる内容は暗号化された文字列やWindows の実行形式のファイルです。

IE における解放済みメモリを使用する脆弱性(CVE-2010-0806)に関する検証レポート(2010.03.31追記)

日本オンラインゲーム協会、ワンタイムパスワード利用の共通認証基盤を導入
いいけど、また利権の巣窟にならないようにお願いします。

ボットネット「Wiseguys」、人気スポーツ/音楽イベントのチケット争奪戦で圧勝
via
Solaris 10 no longer free as in beer, now a 90-day trial
ええっ!?

SIMロック解除、「基本的に意味がない」--KDDIが主張
キャリア囲い込み作戦側からすればそうかもね~


'Fog of War' Led To Operation Aurora Malware Mistake
オーロラ作戦の顛末は本当によくわかりませぬ。

Spam Site Registrations Flee China for Russia
There is a decent chance that the spammers will move to another country-code registrar soon. Beginning April 1, Russia’s Coordination Center for domain registration will require individuals and businesses applying for a .ru address to provide a copy of a passport or legal registration papers.
いよいよ今日から .ru ドメインの取得が難しくなります。

Windows XPのデータ実行防止
Windows "XP" での DEP のおさらい

ヒヤリハット、といっても別のこと
膀胱が張り裂けそうでもスクリーンロックすること!
(苦笑)

----------
8080 #
countASN登録更新
94.23.12.6257084 AS16276 03/20 06:40:2604/01 09:10:50
91.121.137.12451748 AS16276 03/17 23:50:2504/01 09:10:50
94.75.229.7245251 AS16265 03/18 01:10:2604/01 09:10:50
94.23.235.9340402 AS16276 03/20 10:10:3204/01 09:10:50
94.23.246.17238960 AS16276 03/22 13:10:3204/01 09:10:50
91.121.121.22734190 AS16276 03/17 20:10:2104/01 09:10:50
93.89.80.11731749 AS39326 03/15 13:10:3104/01 09:10:50
91.121.134.5825324 AS16276 03/16 10:40:2804/01 09:10:50
91.121.155.2023057 AS16276 03/17 21:10:2204/01 09:10:50
94.23.231.14015444 AS16276 03/16 20:40:3404/01 09:10:50
85.131.217.2517433 AS34309 03/26 01:50:4004/01 09:10:50
92.52.88.2404514 AS15395 03/30 04:50:4304/01 09:10:50
85.197.78.22677 AS25220 03/17 06:10:3304/01 09:10:50
88.191.70.851488 AS12322 03/31 11:50:5304/01 09:10:50
91.121.160.21772043 AS16276 03/12 19:40:1504/01 09:00:47
91.121.163.21541661 AS16276 03/12 18:10:1704/01 09:00:47
91.121.180.5528422 AS16276 03/13 01:10:1604/01 09:00:47
91.121.8.736095 AS16276 03/22 06:10:2304/01 09:00:47
78.41.156.23614502 AS6908 02/18 20:00:4304/01 08:11:10
91.204.116.1146327 AS44976 02/24 23:30:0704/01 06:11:05
62.193.208.175672 AS28677 03/31 19:51:0204/01 04:40:49
80.248.221.98710 AS35830 03/31 20:50:5604/01 04:11:00
91.121.24.139116419 AS16276 02/17 10:35:2003/31 18:41:00
91.191.167.141113 AS28753 03/26 02:10:3603/30 07:10:41
95.168.183.1269792 AS28753 03/26 01:10:3503/29 23:30:44
85.25.137.71528 AS8972 03/26 03:10:4803/29 23:30:44
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[79]IPs

----------
Google Safe Browsing #
| 1270080002 | B | [goog-black-hash 1.54294 update]
| 1270076401 | M | [goog-malware-hash 1.20447 update]
| 313119 | +1288(311831)
| 1569944 |

今日は数多すぎでしたね・・・

あと、タグに意味が無いという意見がありましたので、タグは廃止しようかと・・

でわ、みなさん、よいエイプリルフールを!

EoF

Leave A Comment »

2010.03.31 水曜日

Posted in Announce, security on 3 月 31st, 2010 by gnome

オーケストラの日 as 「み(3)み(3)に一番」or「み(3)み(3)にいい(1)ひ」
エッフェル塔落成記念日 (1889年)
マルタの解放の日 (Freedom Day 1979)
日本国有鉄道最後の日
1987年のこの日が国鉄最後の日となった。翌日、12法人に分割民営化される。
ポケベル最後の日
2007年、 NTTドコモが提供してきた無線呼出しサービス「クイックキャスト(旧ポケットベル)」のサービス終了。全国展開のポケットベルサービスが消える。

----------
今日あたりから忙しくなりそうなので、Other扱いが増えそうです
HURRY!

----------
Out-of-Band #
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺さんから、「エイプリルフールではありません」と釘を刺された、MS10-018 ですが、皆様適用は済ませましたか?

Microsoft Releases Out-of-Band Security Bulletin Update


IE6/7だけではなく、IE8にも影響がありますのでご注意を。

Security Bulletin MS10-018 Released
OOB Update for Internet Explorer MS10-018
あれ? CVE-2010-0483が入ってないようなきもする・・
IEのVBScriptとHelpファイルの「F1攻撃」脆弱性の検証レポート

あと“pwn2own”の脆弱性は間に合わず(タイミング的に無理でしょう)
Since we announced yesterday that we would be releasing this bulletin out-of-band, we have been asked if it addresses the vulnerability that was used in the “pwn2own” contest at the CanSecWest security conference last week. We are still investigating that issue at this time so we do not have an update available.

Active Exploitation of CVE-2010-0806
Targets have spanned over 50 countries, but the most frequently targeted computers have been in China and Korea, with the US trailing a distant third place:
圧倒的ではありませんか? 

Microsoft Releases Out of Cycle Bulletin MS10-018
Reported exploit detections from McAfee home users are significant, though well below the top 20 detections at the the time of this blog post. None the less, vulnerable users should patch soon.
McAfeeの所為でウィルス拡散が広まったと苦言を呈されていますので、ちょっとテンション低いですね
When too much is not enough too much. -- Mar11

Microsoft Releases "Out of Band" IE Update
Yeah, I think we ought to install that patch!

マイクロソフト、IEのゼロデイ・バグに対応する緊急アップデートをリリース

----------
Java JRE #
Java SE 6 Update Release Notes
1.6.0_19 (6u19)
というわけで、 Oracle Java SE 6 update 19 がリリースされました。

----------
MacOS X #
Critical Mac OS X update patches security holes
Just look at last week's Pwn2Own competition at the CanSecWest security show, where Charlie Miller won $10,000 by hacking Safari running on Mac OS X. Miller was able to exploit Apple's default browser and compromise the Apple Mac after visiting a website hosting malicious code. (The vulnerabilities exploited by Miller are not mentioned in Apple's security advisory, so we have to assume that they are not patched with this update).
こっちも(当然)間に合わず。via @0xcharlie

----------
php session #
PHP blunders with random numbers
ちょっと長いですが、PHPのセッションIDを生成するためのRNG(random number generator)に脆弱性があり、推測可能なランダム文字列になってしまうというお話。
線形合同法(Linear congruential generators,LCGs)
Advisory: Weak RNG in PHP session ID generation leads to session hijacking
A modern GPU can handle about 2^30 MD5 ops per second, so we're looking into 2^21 GPU seconds. This is within the reach of big organizations.
ま・・理論的にはそうですけど、そこまで BFA を掛けられたら、普通気が付きませんかネ?

----------
exploited PDF #
昨日、ちょっとだけ紹介した
Escape From PDF -- Didier Stevens
ですが、ZDnetでも Ryan Naraine氏に取り上げられていました。
Hacker finds a way to exploit PDF files, without a vulnerability
Stevens said Adobe’s PDF Reader will block the file from automatically opening but he warned that an attacker could use social engineering tricks to get users to allow the file to be opened.
With Foxit Reader, there is no warning whatsoever:
というわけで、Foxit ユーザの方は、怪しげなPDFに注意しましょう。

With Adobe Reader, the only thing preventing execution is a warning. Disabling JavaScript will not prevent this (I don’t use JavaScript in my PoC PDF), and patching Adobe Reader isn’t possible (I’m not exploiting a vulnerability, just being creative with the PDF language specs).
Stevens tested his research on Adobe Reader 9.3.1 (Windows XP SP3 and Windows 7).
「Readerの唯一の対処は、怪しげな警告ウィンドウが開いたときに実行しない(ウィンドウをPDF内に貼り付けたソーシャル・エンジニアリング的な手口の可能性に注意するように」っと。
JavaScriptもExploitsも関係無いということで・・・

※というか PDFから別アプリがラウンチ可能、ペイロード投下可能という仕様に問題があるような気が・・・

----------
Word爆弾 #
EXEs in word docs
.DOC爆弾の新しいタイプです。
you see a “PDF”, but it’s actually not. It’s a JPG, which links to an executable.
neuksw3.exe
2010.03.30 12:09:47 (UTC) 19/42 (45.24%)

----------
I root server 汚染話 #
中国国内ルートDNS停止事件 雑感
こういう視点も必要ですね。

DNSキャッシュポイゾニングがあれだけ問題視されるのは何故なんでしょう?

----------
iTunes #
iTunes 9.1 がリリースされました。
セキュリティ関連:
About the security content of iTunes 9.1
CVE-2009-2285
Tiff解凍爆弾の修正を含んでいます。

尚、企業としてセキュリティポリシー的にQuickTimeが受け入れられない方は、不用意にインストールしないようにしてください。

----------
PS3 no longer with Linux #
PlayStation®3をご利用のお客様へ
2010年4月1日(木)に提供が予定されているPlayStation®3 (PS3®)システムソフトウェア バージョン3.21にて、新型PS3®(CECH-2000シリーズ)を除く従来モデルのPS3®に搭載されていた「他のシステムのインストール」に関する機能を削除いたしますので、お知らせ申し上げます。従来は本機能を用いて「他のシステム」をPS3®にインストール・起動することができましたが、セキュリティの脆弱性に起因する問題に対応するため、本アップデートを実施するに至りました。
え~ VPS用の端末に使おうと思ってたのに!(マテ)

「PS3でLinux」が不可能に 4月1日のアップデートで
米空軍や陸軍はアップデートしちゃダメですね(笑)

----------
VMware #
VMWare Security Advisories Out
まただ~
[Security-announce] VMSA-2010-0005 VMware products address vulnerabilities in WebAccess
Virtual Center 2.5 with WebAccess
Virtual Center 2.0.2 with WebAccess
VMware Server 2.0.2 with WebAccess
VMware Server 1.0.10
ESX 3.5 with WebAccess
ESX 3.0.3 with WebAccess

[Security-announce] UPDATED VMSA-2009-0016.5 VMware vCenter and ESX update release and vMA patch release address multiple security issues in third party components.
vCenter Server 4.0 before Update 1
Virtual Center 2.5 before Update 6
ESXi 4.0/3.5 のいくつか(パッチ適用により除外)
ESX 4.0/3.5/3.03 のいくつか(パッチ適用により除外)
vMA 4.0 before patch 02

UPDATED VMSA-2010-0002.1 VMware vCenter update release addresses multiple security issues in Java JRE
Virtual Center 2.5 before Update 6
ESX 3.5 without patch ESX350-201003403-SG

----------
時間切れ~

----------
Other #

宅急便・クロネコ等を騙る迷惑メールについて
最近、宅急便、クロネコ等を騙る迷惑メールが多発しております。
タイトルは「宅急便お届けのお知らせ」となっておりますが、本文にはヤマト運輸とは一切関係ない内容が記載されております。
ヤマト運輸から発信されるメールのアドレスは「●●●@kuronekoyamato.co.jp」となっており、内容は原則としてお荷物のお届けに関するお知らせ及び新商品・新サービスのご案内になります。

The chilling effects of malware
Tue
This particular malware broadly targeted Vietnamese computer users around the world.
Aurora関連?

Phishing phree
釣り

Australian Internet censorship row warms up

東京都、ネット通販の不当表示で2業者に改善指示~健康食品やストールなど
アクリル≠カシミア

Google to build Flash into Chrome browser
And note also that Adobe is adopting next-generation Web standards, too.
HTML5とFlashで陣営が割れそうな予感

Back to Basics with Fake AV
なんか、かえって新鮮ですね

Why Some Webmail Services May Be Favored in Targeted Attacks
Overall these are the free-to-use web mail services that are frequently used by hackers and cyber criminals. They are smart people and write very sophisticated malware and are almost certainly aware that there are a number of free-to-use web mail services available that will not reveal their true location to the recipient of the mail. This offers a reasonable explanation as to why they favor them now and why they will continue to use them in the future.
地域情報の隠蔽が主目的?

「Windows 7」の脆弱性対策、管理者権限の制限が効果的
それができれば苦労はないですよね~~
※何かアプリをインストールする度に呼び出されることに

Kids’ Choice Awards Used for FAKEAV
なんかもう何でもありですね・・

Persistent Domain-Renewal Scam Alive and Kicking
返金されますよ~(苦笑)

一般医薬品のネット販売規制は違法と言えず--東京地裁がケンコーコムらの行政訴訟に判決
棄却!?
#otcEC

帯域外のアップデート:Internet Explorer
いや確かに、out-of-band = 帯域外ですけど・・(苦笑)

iPhone新モデルは「iPhone HD」・6月22日発表?
さらにたびたびのスクープで著名なJohn Gruberは、WSJの「スクープ」が実質的には新 iPhone 夏登場しか伝えていないと揶揄しつつ、新iPhoneが(iPad同様の)アップルA4ファミリ SoCチップ、960 x 640解像度ディスプレイ、前面カメラを採用、おまけにサードパーティによるマルチタスクが可能なiPhone OS 4搭載といった情報は掴んではいないようだ、と新仕様をほのめかしています。960x640が「HD」かはさておき、ピクセル数では現行iPhoneの4 倍にあたり、Nexus OneDroidを一気に飛び越える解像度。いずれにせよスマートフォン戦争がますます面白くなりそうなのは確かです。

ほしいな(ぼそっ)


----------
8080 #
countASN登録更新
94.23.12.6253470 AS16276 03/20 06:40:2603/31 09:00:42
91.121.137.12451308 AS16276 03/17 23:50:2503/31 09:00:42
94.75.229.7244811 AS16265 03/18 01:10:2603/31 09:00:42
94.23.235.9337477 AS16276 03/20 10:10:3203/31 09:00:42
94.23.246.17235649 AS16276 03/22 13:10:3203/31 09:00:42
91.121.121.22731886 AS16276 03/17 20:10:2103/31 09:00:42
93.89.80.11725599 AS39326 03/15 13:10:3103/31 09:00:42
91.121.134.5824884 AS16276 03/16 10:40:2803/31 09:00:42
94.23.231.14013481 AS16276 03/16 20:40:3403/31 09:00:42
91.121.160.21771963 AS16276 03/12 19:40:1503/31 08:50:55
91.121.163.21541581 AS16276 03/12 18:10:1703/31 08:50:55
91.121.180.5528342 AS16276 03/13 01:10:1603/31 08:50:55
91.121.8.736015 AS16276 03/22 06:10:2303/31 08:50:55
91.121.24.139115250 AS16276 02/17 10:35:2003/31 08:11:10
85.131.217.2514018 AS34309 03/26 01:50:4003/31 05:40:59
91.121.155.2017394 AS16276 03/17 21:10:2203/31 03:11:00
91.191.167.141113 AS28753 03/26 02:10:3603/30 07:10:41
92.52.88.240131 AS15395 03/30 04:50:4303/30 05:10:36
95.168.183.1269792 AS28753 03/26 01:10:3503/29 23:30:44
85.25.137.71528 AS8972 03/26 03:10:4803/29 23:30:44
85.197.78.2483 AS25220 03/17 06:10:3303/29 19:00:42
78.46.116.136144 AS24940 03/28 21:50:3503/28 22:10:36
188.40.82.70438 AS24940 03/26 14:10:4603/28 19:40:41
62.75.218.19250897 AS8972 02/17 12:30:2703/28 19:00:31
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[78]IPs

----------
Google Safe Browsing #
| 1269993611 | B | [goog-black-hash 1.54222 update]
| 1269993602 | M | [goog-malware-hash 1.20424 update]
| 311831 | +1621(310210)
| 1563737 |
EoF

Leave A Comment »

[Announce] IE ZERO DAY 定例外パッチ

Posted in Announce, News, security on 3 月 30th, 2010 by gnome

[Announce]

発見からずっと攻撃中だった IE ZERO DAY(KB981374 as CVE-2010-0806)ですが、なかなか緊急パッチがこないので、IE6埋葬キャンペーンかと思っていましたよ!

Internet Explorer Cumulative Update Releasing Out-of-Band
Today we issued our Advanced Notification Service (ANS) to advise customers that we will be releasing security update MS10-018 tomorrow, March 30, 2010, at approximately10:00 a.m. PDT (UTC-8).
(日本時間 3/31 AM2:00頃)

[MS10-18]
Microsoft Security Bulletin Advance Notification for March 2010
おろ?何故 IE8/Win7が入ってるの? しかも Critical・・・

UPDATE:
We have received several questions about this bulletin today. Basically, if Internet Explorer 6 and 7 are the only versions affected by the active attacks, why does the Advance Notification page state that Internet Explorer 8 and Windows 7 are affected? To clarify, the Security Advisory was released due to one vulnerability that is under active attack. That vulnerability only affects Internet Explorer 6 and 7. However, the bulletin, MS10-018, that we will release tomorrow, addresses 9 additional vulnerabilities. Some of those also affect Internet Explorer 8. All of the 9 additional vulnerabilities were responsibly disclosed and we are not aware of any active attacks against them.
なるほど、この際、他の脆弱性も塞いでしまったのですね。

というわけで、シス管諸氏は、定例外パッチに備えましょう

Microsoft: Emergency IE patch coming tomorrow
Microsoft Readies Emergency IE Patch to Thwart Attacks
The out-of-band update comes exactly 21 days after Microsoft said it was aware of targeted attacks against Windows users running its flagship browser.
IE6/7が「Flagship」ブラウザかどうかは意見が分かれるところでしょう。
MS to release emergency IE fix on Tuesday
Microsoft out-of-band patch tomorrow
Microsoft to release emergency Internet Explorer patch on Tuesday
But, in all honesty, what are you doing running such old versions of IE anyway? Shouldn't you have upgraded to Internet Explorer 8 by now?
Microsoft to Issue Emergency IE Fix

追記:
Internet Explorerのセキュリティ更新の事前告知 (定例外)
なお、4/1 (エイプリルフール)が近いですが、このブログやセキュリティ関連のサイト・サービスでは、ネタを仕込むことはしません。仮に、4/1に情報が公開・更新した場合でも情報は本物ですのでご注意を。
(苦笑)

Keep Secure!

EoF

Leave A Comment »

[Announce] Mac OS X mega Patch

Posted in Announce, News, security on 3 月 30th, 2010 by gnome

[Announce] MacOS X Mega Patch

MSがようやくゼロデイを塞いだ時期を同じくして、「ゼロデイのアップル」の異名を払拭すべく、Appleもパッチを発表しました。
最新バージョンは Mac OS X v10.6.3 になります。

About the security content of Security Update 2010-002 / Mac OS X v10.6.3
Products Affected
Product Security, Mac OS X Server 10.5, Mac OS X 10.5, Mac OS X 10.6, Mac OS X Server 10.6
え~っと・・・なんですかこの数は・・・
CVE-2006-1329 とか混じってる気がするのは、キノセイでしょうね・・たぶん。
APPLE-SA-2010-03-29-1 Security Update 2010-002 / Mac OS X v10.6.3
さすがにこれだけ揃うと壮観ですね。

当該OSユーザの方は、Mac OS X:ソフトウェアをアップデートする のインストラクションに従い、アップデートを行ってください。

Apple Releases Security Update 2010-002 and Mac OS X v10.6.3

Apple plugs 88 Mac OS X security holes

Keep Secure!

EoF

Leave A Comment »

2010.03.30 火曜日

Posted in security on 3 月 30th, 2010 by gnome

マフィアの日
1282年、シチリアシャルル・ダンジューの圧制に対して暴動が発生(シチリアの晩祷
この暴動を起こした住民が口にした合言葉「Morte alla Francia Italia anela」(フランスに死を、これはイタリアの叫びだ)の各単語の頭文字が「マフィア」(mafia)の言葉の由来との説が、まことしやかに語られる。
国立競技場落成記念日 (1958年)
國松孝次警察庁長官自宅前で狙撃される(警察庁長官狙撃事件)。1995年
国松警察庁長官銃撃事件の時効成立

----------
2本もAnnounce出してまだ残ってるのが多い・・・
HURRY!

----------
OpenSSL #
0.9.8の下のアルファベットが足りなくなる懸念(笑)のあった OpenSSLですが、ついに!とうとう 1.0 が正式リリースされました。

OpenSSL 1.0.0 is now available, a major release
4010166 Mar 29 15:24:59 2010 openssl-1.0.0.tar.gz (MD5) (SHA1) (PGP sign) [LATEST]
*clap* *clap* *clap*

尚、OpenSSL 0.9.8f ~ 0.9.8m に以下の問題が発生していますが、OpenSSL 0.9.8n で修正されており、1.0.0にも問題が無いと思われます(未確認)。
'Record of Death' takes out OpenSSL servers

"Record of death" vulnerability in OpenSSL 0.9.8f through 0.9.8m
CVE-2010-0740
1.0.0に上げる良い機会かもしれません。

----------
Updateを騙る #
Trojan poses as Adobe update utility
AdobeやらJavaやらのアップデータを装ったマルウェアが多数存在するという話です。
that the recently detected Fakeupver trojan establishes a backdoor on compromised systems while camouflaging its presence by posing as an Adobe update utility. The malware camouflages itself by using the same icons and version number as the official package
今に始まったことではありませんが。

アップデートは必ず、オリジナルベンダーの供給するアップデータで行いましょう。メール添付のファイルや、怪しげなメールから誘導されたリンク、あるいは、Web閲覧中に出てくるアップデート表示は、疑ってかかりましょう。

こうして、インターネット上の性善説はどんどん否定されていくのです。

Adobe Update Trojan Claims are Invalid
What is located in the C:\Program Files\Adobe\Reader x.x folder is AdobeUpdater.dll (note that it's a DLL which means it would not be overwritten if an .exe with the same name were dropped to the folder). In short, there's currently no evidence that this malware is overwriting or even interfering with Adobe updates. It appears to be nothing more than the millions of run-of-the-mill trojans that try to disquise themselves by adopting the name of a valid program.
最近、ScanSafeがどんどんシニカルになっていく・・・

Remember, infections can be like real estate: it's all about location, location, location.

Update Your Bot Agent Using Fake Adobe Updater
The Fake Adobe Updater is notable in a sense that it utilizes Amazon EC2 to serve and control its bot agents.
またしてもCloud悪用・・・

----------
Fakebook #
Facebook AV
Facebook AV
Facebook専用のセキュリティソフトってそもそも意味があるんでしょうか?
USだとあるのかな・・?

セキュリティソフトは充分な数が頒布されています。見慣れないベンダーのソフトを不用意にインストールしないように注意しましょう。

関連:
Moscow Subway Explosions Result to FAKEAV
Moscow Bombings, TJX Hacker Spur Black Hat Campaigns
ほらもう、こんな時事ネタにも偽セキュがへばりついています。

----------
NetBiter #
IntelliCom NetBiter Config HICP におけるバッファオーバーフローの脆弱性
IntelliCom NetBiter Config HICP hostname buffer overflow
使用中の方はあっぷで・・

JVNがどういう基準でこの警報に乗せるものを選んでいるのか知りたいな・・

----------
SysInternals #
Process Explorer 12 identifies services
一部に大変なマニアを持つ(?) Microsoft謹製(元はMark Russinovich氏と Bryce Cogswell氏のプロダクツ)システムツールの中でも、人気の高い Process Explorerver12 にアップデートしました。
Process Explorer 12 features the ability to show IE8 processes in the process tooltip, display a svchost’s service host category in its tooltip and map service names to threads under the threads tab. Other changes include a tab for TCP/IP process properties on systems running Windows Vista or higher and a new.NET assembly information tab in the process properties dialogue.
SVChostのサービスホストのカテゴリ名称が見えるのが嬉しいかな。あとで見てみようっと

----------
NMAP #
Nmap 5.30BETA1 released
Nmap 5.30BETA1 is out. Many new features, new NSE scripts, nping, some syntax changes, some bug fixes and more. Nmap is hands down one of my favourite tools and a must have for any technical information security professional. Much more information and downloads available as always at:

http://nmap.org/
Nmap 5.20, our first stable release since July 2009, is now available! 30+ new scripts, enhanced performance, massive OS and version detection DB updates, and more!

----------
Avira #
Avira Antivir 10: No behaviour-based detection in 64-bit Windows
Avira's AntiVir 10 may offer behaviour-based ProActiv detection, but the feature is only available with 32-bit Windows systems. While this isn't a tragedy in itself, the vendor had failed to point out clearly enough that ProActiv doesn't work with 64-bit systems.
え~
AntiVir10 の「ウリ」である、ビヘイビアベースの検知システム ProActiv は64ビットベースではシステム的な問題により動作しないとのこと。

Avira AntiVir ProActiv is not available for 64 Bit systems at the moment
The module right now uses so called kernel hooks to monitor the system. Those kernel hooks are not available on 64 bit systems. Work on a technical solution for Windows Vista and Windows 7 64 bit systems is in progress. However, at the moment no statement concerning the availability can be given.
時間かかりそうですね

----------
P2P禁止 #
US government employees face file sharing ban
This is also to include government employees' home or personal computers if they are configured for remote access to government networks.
まぁ、政府関係者はショウガナイですね。
日本もとりあえず「法律で原則禁止」くらいしないと、一向に収まらないような気もします。

----------
時間切れ

----------
Other #

Scams Increase During U.S. Tax Season
US Tax Seasonですからね

Cybercrime and Hacktivism in the Headlines

インターネットセキュリティへの関心が浸透――推進組織が調査
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
コレとか
学生のみなさんによるインターネット安全けいびたい
コレの顛末?

「ボットネットが15ドル、初心者向け情報が満載」――闇サイトの実態
and
Zeus Botnet
他にも、現在開発中の機能についても書かれています。どうやってインタビューしたのでしょうか。以下の機能を持つ次期バージョンが開発中で今ベータテスト中だということです。
(笑)

XBox Live Director's Account Compromised
First of all – let’s see what happened to “Major Nelson” (as he’s better known). His Live account was hijacked, and numerous offensive messages were posted to the Biography section. Here’s a screenshot:
あ~あ~

How to obtain thousands World of Warcraft accounts for free

Why does www.avast.eu take me to the Avira website?…..or isn’t security built on trust?
Aviraの偽サイトの話はいつだったかな?

ネットの人権侵害急増~プライバシー侵害や名誉毀損など過去最多に(法務省)

“Lawsuits” Spur Spam Attacks
Copyright Lawsuit Filed Against You Themed Malware Campaign -- ddanchev
.docの中に内封されたPDF爆弾ですね。

Removing Viruses from a PC That Won’t Boot
備えあれば憂いなし

アップル、モバイル広告プラットフォーム iAd を来月発表?
昨日の密会はコレ!?

スウェーデンのIXが中国のDNSルート・サーバを遮断

無料で使えるオンラインスキャンサービス7選

ソフトバンク、ウィルコムの基地局を転用して「基地局倍増」へ

----------
要精読かも PDF話 #
Escape From PDF
時間無いのでナナメにしか読んでいません。
With Foxit Reader, no warning is displayed:

----------
8080 #
countASN登録更新
91.121.137.12450882 AS16276 03/17 23:50:2503/30 08:50:35
94.23.12.6246533 AS16276 03/20 06:40:2603/30 08:50:35
94.75.229.7244385 AS16265 03/18 01:10:2603/30 08:50:35
94.23.235.9330272 AS16276 03/20 10:10:3203/30 08:50:35
94.23.246.17229361 AS16276 03/22 13:10:3203/30 08:50:35
91.121.121.22726860 AS16276 03/17 20:10:2103/30 08:50:35
91.121.134.5824458 AS16276 03/16 10:40:2803/30 08:50:35
93.89.80.11720766 AS39326 03/15 13:10:3103/30 08:50:35
94.23.231.14010366 AS16276 03/16 20:40:3403/30 08:50:35
91.121.160.21771890 AS16276 03/12 19:40:1503/30 08:40:33
91.121.163.21541508 AS16276 03/12 18:10:1703/30 08:40:33
91.121.180.5528269 AS16276 03/13 01:10:1603/30 08:40:33
91.121.8.735942 AS16276 03/22 06:10:2303/30 08:40:33
85.131.217.2513663 AS34309 03/26 01:50:4003/30 08:40:33
91.121.155.2014040 AS16276 03/17 21:10:2203/30 07:10:41
91.191.167.141113 AS28753 03/26 02:10:3603/30 07:10:41
92.52.88.240131 AS15395 03/30 04:50:4303/30 05:10:36
91.121.24.139111453 AS16276 02/17 10:35:2003/30 04:40:42
95.168.183.1269792 AS28753 03/26 01:10:3503/29 23:30:44
85.25.137.71528 AS8972 03/26 03:10:4803/29 23:30:44
85.197.78.2483 AS25220 03/17 06:10:3303/29 19:00:42
78.46.116.136144 AS24940 03/28 21:50:3503/28 22:10:36
188.40.82.70438 AS24940 03/26 14:10:4603/28 19:40:41
62.75.218.19250897 AS8972 02/17 12:30:2703/28 19:00:31
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[78]IPs

----------
Google Safe Browsing #
| 1269903603 | B | [goog-black-hash 1.54147 update] |
| 1269900003 | M | [goog-malware-hash 1.20399 update]
| 310210 | -694(310904)
| 1555959 |
EoF

Leave A Comment »

2010.03.29 月曜日

Posted in security on 3 月 29th, 2010 by gnome

マリモ
1952年、北海道阿寒湖のマリモが国の特別天然記念物に指定された。
八百屋お七の日
1683年、八百屋の娘お七が恋人を思うあまりに放火したことに由来。
作業服の日 「さ(3)ぎょうふ(2)く(9)」

----------
今日は月曜なので(まだ)何もありません・・・・

----------
China Syndrome #
"rouge nation"はブッシュ大統領が濫用した言葉ですが、ここまでルール無視を行うのもスゴイと感心してしまいました。
Chinese Root Server Shut Down After DNS Problem
the 'root DNS server associated with the networking problems has been disconnected from the Internet,'
中国の「金盾(Great Firewall)」の DNS-db を 13 root servers の一つである、"I"サーバの中国側のノードに勝手にリプレスしたため、"I"サーバを認証している下流DNSにキャッシュ汚染が広がる懸念を避けるため、中国側のトラフィックを遮断した
って認識なんですが、間違ってたらごめんなさい。

普通に twitter.com を dig ってみると
128.242.240.20
168.143.162.52 (@8.8.8.8)
あたりが返ってきますが、中国のDNSに問い合わせると
243.185.187.39 as www.codec-xxx.com
37.61.54.158 as www.dailila.com
というわけで、事実上の封鎖状態です。

[dns-operations] Odd behaviour on one node in I root-server (facebook, youtube & twitter)
It seems that when you ask A records for facebook, youtube or twitter, you get
an IP and not the referral for .com

DNSやBGPの仕組みは性善説に習うものですので、こうなってくると本気で対策を講じないと、いろいろとおかしなことになってしまいそうです。
[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底

[dns-operations] Odd behaviour on one node in I root-server (facebook, youtube & twitter)
we wanna clarify that CNNIC never did any interceptions or other things for the mirror site of I root serer, CNNIC only provides the stable Internet connection, power and necessary hand support.

----------
EC2 #
Amazon EC2でサービスを始める際に・・
Amazon EC2のアドレスブロックのブラックリスト登録状況
これだとたとえばEC2を使ってメールサーバーを立ち上げてもメール送信できない場合が多々あるわけですね。メールサーバー関連では、これ以外にも DNS逆引き設定がない場合や、正逆が一致しない場合SMTP接続を拒否されることがあります。あとはSPFの設定なども。
なので、EC2 でちゃんとメールサーバーを立ち上げるには、このようなことをする必要があります。

Elastic IPの取得/解放を繰り返してブラックリストに載っていないIPアドレスを確保
・もしくは、取得したElastic IPがブラックリストに載っている場合は解除依頼をだす。
・AWSに対して、取得したElastic IPのDNS逆引き設定を依頼

1番の方法にちょっと笑ってしまいました。
でも、解除依頼は結構めんどくさいんですよね~特に複数のブラックリストに載っている場合・・・
とりあえず、サービス開始するまえに、当該IPを Robtex あたりで調べるのは必須ですね。

----------
Other #

Winny、 Shareウィルスを利用した著作権詐欺に注意 その4
まぁ、信頼性を査定できないルートは使わないのが一番。私もこの騒動を追いかけてはきたけど、Winny/Shareで入手してみようとは思わなかったし、検体として出回っているファイルをダウンロードしてもいない。
メールで送りつけてくださる人が居て、不幸にも入手いたしました(苦笑)
gmailに転送して、linuxで解凍しましたけどね!

Arrests on the Rise
上の2つは、サイバー犯罪というか本物のギャングっぽいですが・・

Honeynet Project: 2010 Forensic Challenge #3
Challenge 3 of the Forensic Challenge 2010 - Banking Troubles
このへんは誤解(誤訳)との兼ね合いがあるので、英語圏の人有利かもですね~

Almost half of poor Americans go to the library for Internet
"almost"なのか~ 日本なんかそもそも、インターネットに関心を持たない世代(携帯だけ)が増加してる気がしますが・・・

----------
SoftBank #
ソフトバンク電波改善宣言、フェムトセル無料提供・基地局を一年で倍増へ
・今後一年、2010年度中に基地局を現在よりさらに倍増
・自宅用にフェムトセル(ミニ3G基地局) を無料提供。専用ADSLサービスも無料提供
・さらに店舗・企業向けにもフェムトセルを無料提供。回線も同上。
・店舗・企業向けに、iPhone や WiFi 携帯で使える WiFiホットスポットを無償提供
また大きな風呂敷が広がりましたが、回収できるんでしょうかネ?

孫氏いわくアンケート調査では全体の約2%を占めている「ソフトバンク家の中でつながらないぞどうにかしろ」なユーザーにとっては朗報です。受付開始は5 月10日より。基地局敷設に総務省のお許しが必要なため、申し込みから実際の設置にはさらに1か月半ほど必要となる見込みです。

フェムトセル
ソフトバンク電波改善宣言 -- プレスリリース

また、
ソフトバンクX06HT『HTC Desire』発表、Android 2.1端末
Android 2.1携帯の発表と

----------
8080 #
countASN登録更新
91.121.137.12450463 AS16276 03/17 23:50:2503/29 08:40:28
94.75.229.7243966 AS16265 03/18 01:10:2603/29 08:40:28
94.23.12.6240167 AS16276 03/20 06:40:2603/29 08:40:28
91.121.134.5824039 AS16276 03/16 10:40:2803/29 08:40:28
94.23.246.17223823 AS16276 03/22 13:10:3203/29 08:40:28
91.121.121.22720505 AS16276 03/17 20:10:2103/29 08:40:28
91.121.155.2011057 AS16276 03/17 21:10:2203/29 08:40:28
95.168.183.1268455 AS28753 03/26 01:10:3503/29 08:40:28
94.23.231.1408222 AS16276 03/16 20:40:3403/29 08:40:28
91.121.160.21771820 AS16276 03/12 19:40:1503/29 08:20:33
91.121.163.21541438 AS16276 03/12 18:10:1703/29 08:20:33
91.121.180.5528199 AS16276 03/13 01:10:1603/29 08:20:33
91.121.8.735872 AS16276 03/22 06:10:2303/29 08:20:33
94.23.235.9324171 AS16276 03/20 10:10:3203/29 08:10:40
93.89.80.11715925 AS39326 03/15 13:10:3103/29 08:10:40
91.121.24.139107795 AS16276 02/17 10:35:2003/29 07:40:30
85.131.217.2512344 AS34309 03/26 01:50:4003/29 03:40:38
91.191.167.14968 AS28753 03/26 02:10:3603/29 02:00:42
78.46.116.136144 AS24940 03/28 21:50:3503/28 22:10:36
188.40.82.70438 AS24940 03/26 14:10:4603/28 19:40:41
62.75.218.19250897 AS8972 02/17 12:30:2703/28 19:00:31
85.25.137.71318 AS8972 03/26 03:10:4803/27 03:00:40
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[79]IPs

----------
Google Safe Browsing #
| 1269817218 | B | [goog-black-hash 1.54078 update]
| 1269817201 | M | [goog-malware-hash 1.20377 update]
| 310904 | +4628(306276)
| 1550205 |

----------
セキュ関係で「ウソ」はよくないよな~ と思いつつ何か無いかな?とか考えちゅ

EoF

Leave A Comment »

2010.03.28 日曜日

Posted in security on 3 月 28th, 2010 by gnome

シルクロードの日 流砂の果て
1900(明治33)年、スウェーデン探検家・地理学者のスウェン・ヘディンによって、廃虚になっていたシルクロードの古代都市・楼蘭が発見された。(3/23説もある)
スリーマイル島原発事故 (1979年)
三つ葉の日 「み(3)つ(2)ば(8)」
三ツ矢サイダーの日
1884年、三ツ矢サイダーの元となる「三ツ矢平野水」が発売された。
三ツ矢サイダー ニッポン・ロングセラー考 - COMZINE

----------
今日は日曜なので何もありません・・・・

ってたまには書きたいな

まぁでも、警報的なものは無いかもです。

----------
IE 6/7 ZERO DAY #
何度も警報を出している IE6/7のゼロデイ攻撃ですが、ますます攻撃がエスカレートかつ巧妙化しています。
Mar 27 CVE-2010-0806 IE 0-day Dozens missing after ship sinks near North Korea from kevin.bohn33@hotmail.com
韓国での哨戒艇沈没の騒ぎに乗じる形で、スピア型メールとその誘導URLがばら撒かれているようです。
spot-news・com
Registrant: fm74qss4ba2d733123e0@veiqqx84ba1f48e50457.privatewhois.net
Administrative Contact: d9xymhj4ba2d73320a49@veiqqx84ba1f48e50457.privatewhois.net
Technical Contact: w7auyp94ba2d7331bc2d@veiqqx84ba1f48e50457.privatewhois.net
という、あらかさまに怪しい登録です。登録地域は ナッソー(バハマ)

as 124.217.255.232 AS45839 (PIRADIUS-AS)
exploit: test.html
途中に /test/bypasskav.txt とか出たりして解析阻害されてる気がします
test.htm
2010.03.27 21:26:17 (UTC) 3/42 (7.14%)

ペイロード:
winint32.exe
2010.03.27 21:29:06 (UTC) 3/42 (7.14%)
SymantecもPandaも完全に検出しているとはいえない状況。

Microsoft: Trojan:Win32/Tapaoux.A
Trojan:Win32/Tapaoux.A connects to remote servers to report its infection and retrieve commands from a remote attacker. Observed examples of server connection domains include "dailysummary.net" and "somus.net". At the time of this writing, specific subdirectories of the sites were unavailable.
dailysummary・net and somus・net as 174.120.120.151
AS21844 (THEPLANET-AS2)
マタオマエカ・・・

IE6/7を使用し続けている方は、ほんとに危険ですよ?

----------
サブドメイン攻撃 #
よくある攻撃手法ですが・・・
ALERT: Please treat content from coneincorporated.com with extreme caution
MediaPlex(ValueClick)のドメインを装ったサブドメイン付加されたドメインが飛び回っているようです。
同様の手法は、google analytics にも及んでおり、膨大な数の不審ドメインが報告されています。
As always, domains mentioned in this blog entry (and highlighted in bold) should be treated with extreme caution.

インジェクションによるものなのか、単に不正サイトなのかは不明瞭ですが、自己サイトのADタグや解析タグをちらっとチェックしてみてはいかがでしょうか?

----------
paypal XSS flaw #
XSS Flaw on PayPal.com

Paypal XSS Vulnerability
サニタイズミスかなぁ

Update: As of 7pm EST, it appears that a mitigation has been implemented for this vulnerability on the PayPal web site where all requests to /xclick/business redirect to the PayPal homepage.
いちおう、対策が施されたようです。

----------
くらうどくわばら #
5人の業界キーパーソンが語る「クラウドのセキュリティが悩ましい理由」
なんか妙なとりあわせの5人だなぁ・・

----------
ZeuS #
ZeuS/zbot - PhotoArchive 2
昨年後半から引き続き.kr、.uk、.pl、.cz、.comあたりが使われていますが3月は.kr関連のドメインがほとんどを占めています。
ZeuS 系では.cnも.ruも昨年の後半からまったく利用されなくなってますね。。。
.ru も取得申請が大変になりそうですので、ますます TLDccの移行が進みそうです。

----------
Obfuscated PPDF #
Journey to the Center of the PDF Stream
However, in the particular file being analyzed I spotted the use of no fewer than nine JavaScript compression and encoding filters applied to a single stream, which is an unusually large number
検出を逃れるためにJavaScriptコードの圧縮を何種類か併用しているというお話。

In fact, they may have been somewhat successful in doing so—VirusTotal results indicate that many vendors did not detect the threat.
よほど、VirusTotalの存在が目の上のタンコブなんでしょうね(笑)
そこまでいうなら、MD5もあわせて公開してくださいよ

app.doc.Collab.geticon() : as CVE-2009-0927
Collab.collectEmailInfo() : as CVE-2007-5659

1こだけいえることは、一般ユーザが Acrobat JavaScript を ON にしても良い事は全く無いということでしょう(笑)

ねぇ・・
日本工業標準調査会:FAQ(よくある質問)
JIS検索の「JIS規格詳細画面」にあります最新のAcrobat Reader8.1.2を用いて閲覧していただけますようお願いします。
なお、これでも解決しない場合は、以下に添付の操作を行ってください。
こちらをご覧ください。
PDFを見て唖然としないでくださいね。

----------
炉 DNS-BH #
March 27 update – 173 new domains
173 new domains to add to your shunlist and blocklist… Sources: www.malwareurl.com, malc0de.com, phil-secu.over-blog.net and others:
いつもありがとうございます。

今日は .cn が多いですね

----------
陥落したサイトオーナーの苦悩 #
音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威(前編)
音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威(後編)
いろいろな意味で、「サイトオーナー」は必見です。

“ガンブラー”被害の実態と、その恐ろしさを生々しく語っていただいたOSA氏。速やかに被害について自分のサイトで情報を開示し、このように取材を受けるのは勇気が要る行動だったに違いありません。サイト継続を願うユーザーと一緒に、ガジェット通信も今後の『ザ・マッチメイカァズ』を応援していきたいと思います。
一日も早い復活を願っています。

ちなみに、私とその協力者の方々は去年の5.6月(zlkon/gumblar)のパンデミックの際、何十という陥落サイトに「警報」を送りましたが、まともな返事が返ってきたことは一度も無く、逆に脅迫を受けたことが数回ありました(苦笑)
それ以降はもう、個別のサイトに対して直接警報を送ることは避け、ISP に abuse warning だけを送ることにしています。

何も言わずに平然と再開しているサイトのほうが多いという事実も併記しなければなりません。また、告知したにもかかわらず、GENOが何故あれほど非難を浴びたか?ということも含めて、サイトオーナーは「自分がサイトを持っていることの意味」を問い直す時期に来ているのかもしれません。

あと、サイトーオーナー諸氏は、以前管理していて、今は管理していない、あるいは使用していないサイトは、消してしまったほうが良いでしょう。
「ガンブラー攻撃」対象ソフトをJPCERTが確認~サイト管理者の注意点は?
・引越し後の旧サイトが改ざん
・放置サイトの改ざん
・テストサイトも改ざん
・制作会社のパソコン感染の巻き添え
・広告用のサイトが全滅

----------
fotos.exe #
Xiangさんとこの Blast に新postがあったのでちょっと・・

2010.3.27 fotos.exe
Wgetしたらやけに巨大なjpgが堕ちてきました。MD5が変わっているので、亜種かもしれませんが・・
jusched.jpg
2010.03.28 00:50:36 (UTC) 18/42 (42.86%)
そこそこの検出ですが、相変わらずMSEは中国発に弱いなぁ

Analysis Report for jusched.jpg.suspicious
Performs File Modification and Destruction: まぁ、真っ赤ですね
www.contagotas.com・br/contador.php?p=23638
as 72.55.140.69 AS32613 IWEB-AS iWeb Technologies Inc.

----------
なんだこの密会は(笑 #
Steve Jobs and Eric Schmidt Spotted Together Again: Photos
お茶吹いた

Jobs And Schmidt: We’ve Seen This Movie Before, I’m Just Not Sure Which One It Is

さて、どんな動きが生まれるのか生まれないのか・・

----------
8080 #
countASN登録更新
91.121.160.21771737 AS16276 03/12 19:40:1503/28 10:00:31
91.121.137.12450130 AS16276 03/17 23:50:2503/28 10:00:31
94.75.229.7243633 AS16265 03/18 01:10:2603/28 10:00:31
91.121.163.21541355 AS16276 03/12 18:10:1703/28 10:00:31
94.23.12.6234792 AS16276 03/20 06:40:2603/28 10:00:31
91.121.180.5528116 AS16276 03/13 01:10:1603/28 10:00:31
91.121.134.5823706 AS16276 03/16 10:40:2803/28 10:00:31
94.23.235.9319047 AS16276 03/20 10:10:3203/28 10:00:31
94.23.246.17218298 AS16276 03/22 13:10:3203/28 10:00:31
91.121.155.207899 AS16276 03/17 21:10:2203/28 10:00:31
94.23.231.1406263 AS16276 03/16 20:40:3403/28 10:00:31
91.121.8.735789 AS16276 03/22 06:10:2303/28 10:00:31
91.121.24.139102597 AS16276 02/17 10:35:2003/28 09:40:29
91.121.121.22715351 AS16276 03/17 20:10:2103/28 09:40:29
93.89.80.11712141 AS39326 03/15 13:10:3103/28 09:40:29
95.168.183.1266286 AS28753 03/26 01:10:3503/28 09:00:46
85.131.217.2511787 AS34309 03/26 01:50:4003/27 18:40:29
91.191.167.14664 AS28753 03/26 02:10:3603/27 05:00:25
85.25.137.71318 AS8972 03/26 03:10:4803/27 03:00:40
188.40.82.70212 AS24940 03/26 14:10:4603/26 14:40:31
94.23.13.6511613 AS16276 03/16 22:10:2403/26 01:40:35
91.121.108.3811447 AS16276 03/20 06:10:3603/26 01:40:35
91.121.7.2680225 AS16276 02/20 05:50:3403/26 01:10:35
91.121.85.17814094 AS16276 03/15 00:10:3403/26 01:10:35
91.121.113.1841576 AS16276 03/17 03:10:4103/25 23:40:34
91.121.64.21433413 AS16276 03/12 07:40:3003/25 22:10:39
91.121.147.1634988 AS16276 03/12 08:10:2703/25 22:00:39
91.121.184.16731558 AS16276 03/12 17:40:1503/25 21:40:38
62.75.218.19250785 AS8972 02/17 12:30:2703/25 18:40:31
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[71]IPs

----------
Google Safe Browsing #
| 1269738009 | B | [goog-black-hash 1.54012 update]
| 1269738002 | M | [goog-malware-hash 1.20355 update]
| 306276 | -2137(308413)
| 1542779 |

----------
そろそろ 4/1 ですね・・・

EoF

Leave A Comment »

2010.03.27 土曜日

Posted in security on 3 月 27th, 2010 by gnome

桜始開(さくらの日) 3×9(さくら)=27
利休大徳寺 (千利休の没年は天正19年2月28日(1591年4月21日))
NTTがポータルサイト「goo」開設。(1997年) ポップコーン事件

----------
spam #
昔はspamといえば、単に未承認広告系の「ウザイ広告」だったのですが、最近は完全に犯罪の域に入っています。ここ数ヶ月を振り返っても、spam系の話が多くなっていることに気が付かされます。

日本語メールによるターゲット型(スピア型)のspamは数こそ少ないですが、巧妙になってきているので注意しましょう。
1. 不審なメールを開かない
2. 添付ファイル付きのメールには特に気をつける。
3. 不審なメールの URLリンクをクリックしない。(というか開いちゃダメ)
4. メールからのURLからジャンプした際に何らかのログインを求められたときにはドメインを確認する
5. spam フィルタの学習をONにしておく
プラグインやブラウザ、メールクライアント等のアップデートを怠らず、常に最新版を保つことも重要です。

また、システム管理者は「現在進行中の、spamキャンペーン」に目を通しておき、そうしたBotnetからのメールを弾くルール設定を先手を打って施工しておくことも重要です(メンドイですけどね)。

Copyright Infringement Lawsuit Email Scam
US Tax Season Phishing Scams and Malware Campaigns
USCertからの警報:現在進行中のspamキャンペーン

スパムメールの危険を認識するも、ついついクリック――業界団体の調査
特に、「自分は電子メールセキュリティに詳しい」との意識が強い35歳未満の男性は、スパムを開いたり、リンクをクリックしてしまったりするといった危険行為に出てしまう割合が、ほかの年齢層よりも高かった。
Consumers Don’t Relate Bot Infections to Risky Behavior As Millions Continue to Click on Spam
Idiot users still intentionally opening, clicking on spam
ARSは、「スパムメールを開く輩 = Idiot users」 と断じて居ます(苦笑)

増加と巧妙化を続ける医薬品広告のスパムメール
New Fake IRS Email Notice Leads to ZBOT
IRS Malspam Campaign

Yet another Facebook Spam – From Russia with Love
Facebookの新しいspamと何故SNSなのか

Apple Storeをかたる詐欺メール、リンクからマルウェアに感染か
Apple Diversifies Into Online Pharmaceuticals

W杯や上海万博に便乗するスパムが相次ぐ、添付のPDFに要注意
World Cup-themed PDF attack kicks off
PPDF(Poisoned PDF) はCVE-2010-0188脆弱性の悪用のものが飛び交っており、Reader 9.3.1 以外のバージョンでは炸裂する極めて剣呑な代物です。このPPDFはshellcode実行後、HIPSによるネットワークアウトバウンドチェックに引っかかることなくペイロードを投下でき、しかもAcrobat JavaScriptに依存しません。
CVE-2010-0188 Adobe Working Exploit

Getting the EXE out of the RTF again
.DOCのRTFファイルの中に内封されている.EXEファイルの解析。
suit.exe
2010.03.26 16:07:21 (UTC) 21/42 (50.00%)

微妙に続く
----------
ヒューリスティック #
評判分析に基づくセキュリティ
現在のNorton製品はSuspicious.Insightという検査結果でユーザーに警告するだけで、当該ファイルの動きをブロックしない。「安全性が確認されていない」という印を付け、最終判断をユーザーに委ねる。
ってことは?
setup.exe
2010.03.20 10:43:29 (UTC) 1/41 (2.44%)
Kenzero事件の当初は「ブロックしていなかった」ということでしょうかネ? それとも「疑わしいファイル」という警報は出てたのかな? Nortonユーザで踏んだ人のコメント求む(苦笑)

そんなピンポイントな人は居ないかな?(笑)

残念だが従来のウイルス対策技術は、もはや以前と違って強力な防衛能力を発揮できない。我々は、ITセキュリティを取り巻く脅威がこの数年で激変したと見ている。2年前の時点で、当社が新規発行するウイルス定義データは1週間当たり数百種類を少し上回る程度の規模だった。ところが新規発行数は急激に増え、今や平均で毎日1万5000種類をやすやすと超えるレベルになってしまった。
FFRの人もそんなことを言ってた気がする。
セキュ会社も大変だな~とは思いますね。インターネットに接続するユーザにも意識改革が必要です。

性善説が通用しない世界へようこそ!

----------
Oracle Java SE #
新製品?
いえいえ、Sun Microsystemsは既に存在せず、Oracle Java SE が正式名称です。
Oracle Java SE and Java for Business Critical Patch Update Pre-Release Announcement - March 2010
Security vulnerabilities addressed by this Critical Patch Update affect the following products, which will be released on Tuesday, March 30, 2010.
JDK and JRE 6 Update 18 and earlier for Windows, Solaris, and Linux
JDK and JRE 5.0 Update 23 and earlier for Windows, Solaris and Linux
SDK and JRE 1.4.2_25 and earlier for Windows, Solaris and Linux
This Critical Patch Update contains 27 new security vulnerability fixes for the Java SE and Java for Business releases.
といわけで、Oracle Java JREは (多分)日本時間で3/31(水曜日) あたりに JRE 6 update 18 にバージョンアップされます。

----------
ギクっとしたら #
止まらぬサイト改ざん:訪問の心あたりはありませんか~新規告知サイト22件
いつもクリティカルな内容を惜しげもなく書いてくださるso-netに感謝!

これらのサイトを訪問した記憶のある方は、念のためシステムをチェックしましょう。

また、いわいる「PWNed」なサイトも結構あるようでして・・
止まらぬサイト改ざん:感染目的ではない例も~市教委/APバンク/三菱電機
企業イメージ的には大打撃でしょうね・・・
SQLインジェクションやディレクトリ・トラバーサリのチェックは、何種かのスキャナを使って定期的に(ただし Stagingでね!)行いましょう。

----------
The Big Issue #
ビッグイシュー
ホームレスの人々の社会復帰支援のための組織です・・・が、
Help The Homeless, Feed the Phishers?
At this moment in time, The Big Issue website is playing host to a French Paypal Phish – they have a zipped copy of the Phish uploaded to the server, and a live Phish directory too:
陥落し、RSSを取得すると、Paypalのフィッシングサイトになっていると・・
犯罪者には寛容とかそういう精神のカケラも無いということですね。

----------
CD-ROM? #
セキュリティ企業として「Web改ざん」について最適解を考えてみた <第一話>「根本的な対策」とは?
・・・・・・・・・・・・・・・・・・1:16
いまどき
大手ECサイトのように大量のアクセス数ではない。
動的なコンテンツはなく、すべて静的なコンテンツである。
CMSによる管理も行っていない。
なサイトってあるんですか?
いや・あるのかも?
ひょっとして多い?(苦笑)

----------
一網打尽にしてください #
Hacking forum or a sting operation?
Though it is true that malware is getting more and more sophisticated I am sometimes surprised by the lack of skills coming from wannabe botnet operators. Today, I stumbled upon a hacker’s forum which nicely demonstrates just how low is the technical knowledge level of the forum members.
なんか稚拙なやりとりだなぁ・・とは思います。

I just got an IRC channel and I need Zeus 1.3.1.1 added to it.
Zeus and IRC? Oh, come on…
ちょっと入ってみたいな(笑)

某巨大掲示板で「ダレダレを殺します」なんて書いただけで逮捕される世の中ですし、こーいうのはトラッキングして一網打尽にして欲しいな・・
でもきっと TOR とか使って経路詐称してるんだろうなぁ・・

----------
法則 #
米国のドメイン登録業者 GoDaddy.com、cnドメインの取り扱いを中止
いつの話をしてるんだろう?
CNNICによる.cnドメイン登録審査の見直し -- 2009/12/15
と思ったら、法則発動しててちょっと笑いました。

中国撤退表明の米ドメイン登録大手、実は無認可の違法営業だった?!―中国紙

.cnは、この制度ができてから(ドメインベースでは)圧倒的に減少しています。.ruも、認可を厳格化しますので、悪意ドメインは違うファセットに向かうことになるでしょう。

オッズ?
このへんが本命・・かな
.pl
.kr
.in


対抗
.cz
.nz
.vc

穴(笑)
.th
.uz
.br
.hn
.sc
.io
.gs
.la
.se
.ad

どれが何なのかは 国別コードトップレベルドメイン ccTLDでお願いします。

----------
パスワード #
pasuwaad
これ、某友人のSNSのパスワードだったのですが・・(苦笑)
さすがに変更させました。まぁ、日本人以外にはイミフメなのかもしれないけど・・

というわけで、Symantec版、パスワードに関するアンケートの結果
Password Survey Results
意外と「完全に使いまわし」は少ない(8%)ですね。

----------
バズワード #
そもそもセキュリティを高めるって?
ITコンプライアンスとかガバナンスとかいうポリシー関係の活動に傾倒しすぎたのではないかと思っています。
SaaSとか、IaaSとか、MaaSとか、インシデントとか、フォレンジックとか・・・

ポリシーを整備するためにポリシーを作っているみたいな錯覚に陥ってないかな、ということなのです。
まさにそうですね、Pマーク取得の問題とか、侵入検査の方法論とその対処とか、輻輳し続ける混乱状況で何が必要で何が不要なのか、だれも言及しなくなっています。
誰かエライい人に、「そんなの間違ってるよ!」と言って欲しいナ(切実)

そこから坂道を転げ落ちるように(表現間違えてます)
雪だるまをスキージャンプ台から転がしたような・・?
Bob Dylan - Like a Rolling Stone

----------
は? #
マナーのあるメールの書き方
・・・・・・・・・・

メールの To には「様」を付けましょう、というビジネスマナー
Re:そもそも
あなたのアドレス帳には、宛先の名前がなく、住所の羅列なんですね、そうですか。
メールアドレスの住所に該当する部分は@より右側かと。
hoge@example.co.jp
とするのが、正しい使い方だと思います。
爆笑

いやぁ・・インターネットの普及ってこういう面にも及ぶんですね・・そのうちRFCとか改定されそうで怖い

「マナーのあるメールの書き方」の内容が酷いので修正してみた
負け:はい。そして本文ですが。
拝啓&敬具って・・・10年前ですか。
拝啓&敬具を使うような文章(会社からの正式な告知など)であるならば、出来れば紙面、メールであってもPDFで添付ファイルで送るべきです
メールはあくまで手紙の簡易版です。メールでなんでも済ませちゃダメです。
・・・・・・・・・・

こうして世の中が魑魅魍魎にまみれていくのです。

参考:
先生、このメールのどこがいけないのでしょうか?

おかしなマナーを押しつける人達
ところでマナーの話なのに、"拝啓 おはようございます。"に突っ込みが入れられない「西出博子」とかいう人は、マナーの講師としての資格があるのだろうか?
頭語と結語

そういえば、Wikipediaに「この記事は、広告宣伝活動のような記述内容になっています。」って書かれてました。さっきまで無かったのにな~

----------
Other #

VERTU、蒔絵を使った1台2000万円の携帯電話「シグネチャー 吉祥コレクション」を発表

携帯電話のSIMロック解除を検討へ--総務省が公開ヒアリングを開催

Kit attacks Microsoft keyboards (and a whole lot more)
ワイヤレス・キーボードのKeyLogger話

Young Steve Jobs and why 2010 might be like 1984
似てるかも(笑)
あとこれも、1984 and Renewal (間違い探し)

----------
8080 #
countASN登録更新
91.121.24.13998446 AS16276 02/17 10:35:2003/27 09:40:33
91.121.137.12449780 AS16276 03/17 23:50:2503/27 09:40:33
94.75.229.7243283 AS16265 03/18 01:10:2603/27 09:40:33
94.23.12.6226414 AS16276 03/20 06:40:2603/27 09:40:33
91.121.134.5823356 AS16276 03/16 10:40:2803/27 09:40:33
94.23.246.17212931 AS16276 03/22 13:10:3203/27 09:40:33
94.23.235.9312319 AS16276 03/20 10:10:3203/27 09:40:33
91.121.155.205093 AS16276 03/17 21:10:2203/27 09:40:33
91.121.160.21771677 AS16276 03/12 19:40:1503/27 09:30:40
91.121.163.21541295 AS16276 03/12 18:10:1703/27 09:30:40
91.121.180.5528056 AS16276 03/13 01:10:1603/27 09:30:40
91.121.8.735729 AS16276 03/22 06:10:2303/27 09:30:40
91.121.121.2279891 AS16276 03/17 20:10:2103/27 09:00:37
93.89.80.1177835 AS39326 03/15 13:10:3103/27 09:00:37
95.168.183.1262717 AS28753 03/26 01:10:3503/27 09:00:37
94.23.231.1404797 AS16276 03/16 20:40:3403/27 08:00:40
91.191.167.14664 AS28753 03/26 02:10:3603/27 05:00:25
85.131.217.2511453 AS34309 03/26 01:50:4003/27 03:40:34
85.25.137.71318 AS8972 03/26 03:10:4803/27 03:00:40
188.40.82.70212 AS24940 03/26 14:10:4603/26 14:40:31
94.23.13.6511613 AS16276 03/16 22:10:2403/26 01:40:35
91.121.108.3811447 AS16276 03/20 06:10:3603/26 01:40:35
91.121.7.2680225 AS16276 02/20 05:50:3403/26 01:10:35
91.121.85.17814094 AS16276 03/15 00:10:3403/26 01:10:35
91.121.113.1841576 AS16276 03/17 03:10:4103/25 23:40:34
91.121.64.21433413 AS16276 03/12 07:40:3003/25 22:10:39
91.121.147.1634988 AS16276 03/12 08:10:2703/25 22:00:39
91.121.184.16731558 AS16276 03/12 17:40:1503/25 21:40:38
62.75.218.19250785 AS8972 02/17 12:30:2703/25 18:40:31
194.150.236.1991013 AS44976 03/15 07:40:3803/25 01:40:27
193.138.206.2547486 AS35470 03/23 17:40:2203/24 19:00:29
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[69]IPs

追記 : 七氏さんへ
現時点での全IPリストはこちら
現時点でチェックリストに入っている .ru ドメインはこちら

----------
Google Safe Browsing #
| 1269648003 | B | [goog-black-hash 1.53937 update]
| 1269648001 | M | [goog-malware-hash 1.20330 update]
| 308413 | -321(308734)
| 1539993 |
EoF

2 Comments »

[ATTENTION] IEゼロデイ脆弱性がExploit Packに搭載される

Posted in Announce, News, RiskHedge, security on 3 月 26th, 2010 by gnome

[ATTENTION] CVE-2010-0806
再度注意喚起です。

IE6/7の深刻な脆弱性である、CVE-2010-0806 が、Malware Frameworkの Eleonore Exploits pack v1.4alpha に搭載された模様です。

via MDL
search: muas・in/1/
188.124.9.38 as AS44565 (VITAL TEKNOLOJI)
AS44565 - AS44565

レジストラントの jessica357ass@gmail.comですが
Celebrity-Themed Scareware Campaign Abusing DocStoc and Scribd -- Dec03/2009
昨年の12月頃の偽AVソフトキャンペーンの際、悪意ドメイン群のレジストラントの中に、gumblar.cnを取得したときと同じ pvcprotect@gmail.comがあったことが報告されています。

どうも嫌な感じなので、改めて注意喚起をしておきます。

尚、同時に Aurora で使用されていた CVE-2010-0249 も同時搭載されたようですが、こちらは既にパッチが出ていますので(たぶん)大丈夫だと思います。
[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)

IE6/7を使用中の方はIE8に上げるか、別のブラウザを検討してください。

IE6をどうしても使用し続けなければならない方は、必ず対策を取って下さい。
マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される
[981374] Internet Explorer の脆弱性により、リモートでコードが実行される(CVE-2010-0806)

参考:
IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
マイクロソフト、IE 6/7の脆弱性自動修正ツールを追加
拡大するIE6/7のゼロデイ攻撃~国内の改ざんサイトにも攻撃のワナ

Keep safety

EoF

Leave A Comment »

2010.03.26 金曜日

Posted in security on 3 月 26th, 2010 by gnome

カチューシャの唄の日
1914(大正3)年、劇団芸術座の第3回目の公演であるトルストイの『復活』の劇中歌として、主演女優の松井須磨子歌唱した。歌詞の「カチューシャかわいや わかれのつらさ」は爆発的な流行語となった。(石川さゆりver)
バングラデシュ 独立記念日 (1971年)
楽聖忌 ルートヴィヒ・ヴァン・ベートーヴェン 没 (1827年)
犀星忌 室生犀星 没 (1962年)
パラメトロン計算機PC-1が完成。1958年

----------
PWNED #
セキュリティカンファレンス「CanSecWest」で、恒例のハッキングの腕を競うコンテスト Pwn2Own で今年もまた・・
「iPhone」「Safari」「IE8」「Firefox」がハッキングされる--Pwn2Ownコンテスト
IE8, Safari, iPhone All Fall At Pwn2Own Contest
iPhone, IE, Firefox, Safari get stomped at hacker contest
Pwn2Own 2010: iPhone hacked - as well as IE 8, Firefox and Safari
Firefox, IE8 and Safari hacked at CanSecWest
IE8, Safari 4, Firefox 3, iPhone fall on day 1 of Pwn2Own
Windows 7とSnow Leopard、ハックイベントで仲良く陥落

IE8 with Win7
Hacker exploits IE8 on Windows 7 to Win Pwn2Own
Hacker exploits IE8 on Windows 7 to win Pwn2Own

Firefox
Mozilla Firefox Hacked at Pwn2Own Contest
Pwn2Own hack topples Firefox on Windows

Safari on MacBook
Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook
Charlie Miller on His Pwn2Own Win(インタビュー)
Pwn2Own MacBook attack: Charlie Miller hacks Safari again

iPhone
iPhone Hacked at Pwn2Own; SMS Database Stolen
Pwn2Own 2010: iPhone hacked, SMS database hijacked
iPhoneのブラウザに脆弱性、ページを開いただけで SMSやメールを漏洩

※ZDnetとThreatPostは寄稿者が同じなのですが、体裁がちょっと違っているので貼ってみました。

速攻で対処が望まれるのは iPhoneのReturn-into-libc攻撃でしょうか? 軽減策がみあたりませんが、ユーザ "mobile"の権限を制限する方法があるのかな?

後々、問題になりそうなのがコレ
Researchers Finding New Ways to Bypass Exploit Mitigations
However, as several talks at the CanSecWest conference and the results of the related Pwn2Own hacking contest here have shown, difficult is not the same as impossible. The clearest example of this is the Pwn2Own victory by Peter Vreugdenhil, a Dutch researcher who was able to exploit a previously unknown vulnerability in Internet Explorer 8 on 64-bit Windows 7 after bypassing both ASLR and DEP.
完全に手法が確立しているわけでは無さそうですが、「困難」と「不可能」は違うというのは耳に痛いですね。

"The attackers can recreate the SEH chain," Suzuki said(Suichiro Suzuki, a researcher at Fourteenforty Research Institute).
お~

Hacker Bypasses Windows 7 Anti-Exploit Features In IE 8 Hack

それにしても、賞金1M$ かぁ・・ウラヤマシ

----------
クリックするな! #
Millions continue to click on spam
Yet, only 36% of consumers believe they might get a virus and 46% of those who opened spam did so intentionally.
開かないで~!(苦笑)
このへんの教育って、どの時期にやるべきものなのでしょうね?

Source:
2010 MAAWG Email Security Awareness and Usage Report -- Issued March 2010
Spam goes down well

続く
----------
陥落すると・・ #
Bot陥落しちゃうと好き放題になるというお話
Hackers hit where they live
The vast majority of these junk mail messages came from compromised malware-infested networks of zombie PCs (aka botnets) MessageLabs reports that 77 per cent of spam sent from the Rustock botnet this month used secure TLS connections.
企業内の感染BotがTLSを使ったspam送信を行うので、更にトラフィックを上げられてしまうと・・

The outbound traffic frequently outweighs the size of the spam message itself and can significantly tax the workload on corporate email servers.
まさに踏んだりけったりですね

ネットワーク管理者は、(たま~にでいいですから)、ログを監視し、あるいは abuse にやってくるメールをチェックしたり、自分のドメインを検索して、ブラックリストに引っかかっていないかチェックしたりしてみるのもいいでしょう。

微妙に続く
----------
Apple App Store #
Fake Apple App Store Malicious Spam
!!(Dr.Waledacの登場でのけぞった)

updates.exe
2010.03.24 14:50:30 (UTC) 12/41 (29.27%)
updates.exe
2010.03.25 22:45:19 (UTC) 22/41 (53.66%)
spamにクッツイテる添付やURL先のものは、急速に検出率が上がりますね。
しかし、iPhoneネタで .exe ってのは何となく納得いかないものもあるのですが・・

Spammers Spoof the Apple Store

更に続く
----------
spam(s) #
今日はスパムネタが多いですね。

Zeus wants to do your taxes
If you want to check out your own logs to catch this and similar attacks, I'd suggest looking for domains that look like www.irs.gov. and downloaded executables with the word "tax" in them.
というわけで、いつもの IRSを騙るspam ですね。
hXXp://www.irs.gov.rccesi・net/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.we1sae・kr/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rcceko・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rccesa・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rfsderw.me・uk/fraud.applications/application/statement.php?以下略
あたりでしょうが、この辺をドメインベースで弾いても意味は無いでしょう。

Child Tax Credit is the New Phishing Bait
亜種もあるようで・・

まだ続く
----------
spam(s) #
今日はスパムネタが異常に多いですね。
こんどは訴訟です。
Mal/RtfExe-A: A bogus legal email campaign “Complaint filled against you.”
The case number is 3478254. The reason the lawsuit was filed was due to a completely inadequate response from your company for copyright infrigement that our client Danilison Inc is a victim of.
著作権侵害ですか・・・
貼ってあるlinkはRTF(.doc)ですが、中身は PPDFです(苦笑)
しかしコレ、本当にこういう書面が RIAAあたりから届くこともあるので、笑えないですね。

"Copyright Lawsuit filed against you"
Responding to "Copyright Lawsuit filed against you"
How bad is it for us?
Using those details it's time to evaluate the impact this attack has had on your firm. If you have anyone who downloaded the file, or evidence of a machine reaching out for the next-stage then you pull your Malware Incident response document off of the shelf and follow that. We all have differing levels of documentation to refer to, but there's always some sort of plan, even if it's "update resume."
suit_documents.doc
2010.03.25 14:58:53 (UTC) 10/42 (23.81%)
suit_documents.doc
2010.03.25 21:06:40 (UTC) 10/42 (23.81%)
7時間ではあまり検出上昇していませんね・・ちょっと厄介かも

Fake Lawsuit Notification Attack
偽の訴訟通知攻撃

----------
HURRY!

----------
20年 #
振り込め詐欺「キング」に懲役20年判決
わいせつ事件の示談金などを名目とした振り込め詐欺事件で、組織犯罪処罰法違反(組織的詐欺)などに問われた詐欺グループの主犯格で、グループ内で「キング」と呼ばれていた無職戸田雅樹被告(31)の判決が24日、東京地裁であった。
菱田泰信裁判長は「被告は詐欺の手口ごとにグループを分けて収益を競わせるなど集団を高度に組織化し、主宰者として職業的に犯行を繰り返していた」と述べ、懲役20年(求刑・懲役23年)を言い渡した。
well!

続く
----------
こっちも20年 #
TJX hacker gets 20-year jail sentence
Convicted cyber-criminal Albert Gonzalez, the mastermind hacker behind the TJX and Hannaford data breaches, was today sentenced to 20 years in jail.
GJ!

TJX hacker sent to jail for 20 years after stealing 40 million credit cards

----------
Other #

「Kenzero」騒動~5千名超の被害者を出し「さらしサイト」閉鎖、終焉へ
和解金の振込先は、昨年11月に起きたKenzero騒動の時に指定されていた銀行口座と同じものが使われており、同一犯によるものとみられる。
突如、実家帰省 -- Outer Heaven
さて、記事内にて「この件に関しては書くと長くなるので、記事の一番最後に書きますね」ってのがありましたね?

オバマ大統領のTwitterアカウント乗っ取り犯が逮捕
Man arrested for attack on Twitter accounts
French suspect grilled over Obama Twitter hack
愉快犯とはいえ・・

Shadowserver's thoughts on the B49 Waledac Effort
Operation B49(Waledac掃討作戦)その後

Mac Malware – fact or fiction?
One of the questions I am most often asked has to do with the supposed “immunity” of Mac. The first thing I always explain is that no system is invulnerable, and that in the case of Apple, it is not renowned for paying much attention to leopard-logosecurity. Depending on the person’s fondness for Apple, the tone of my reply may vary, yet the reaction is invariably one of surprise: “Really? I’ve been using Mac for years, and as far as I know I haven’t been infected”.
感染してからでは遅い・・とはいえ、Mac上のウィルス・マルウェアを見たことが無いというのは一般のMacユーザの心証でしょうね。昔はMac上の"Joke"ウィルスのほうが圧倒的に多かったのですが・・・

大阪市水道局、プレスリリースに誤って個人情報を掲載
ちなみにこの添付ファイルは、「検定満期メータ取替票」をスキャナで読み込んだもので、ソフト上で個人情報が見えなくなるよう、加工し添付資料として、全体をPDF化したものだったが、PDF化した添付ファイル中の資料をコピーし、別のファイルに貼り付けたとき、見えなくなるよう加工したはずの個人情報が閲覧できたという。
黒塗り・・・

Rogue Toolbars Serve Up Facebook Phishing Pages
妙なツールバーをインストールしてはいけません。

IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
修正パッチはいまだ提供されず、専門家は早期リリースを進言中
もう修正しないでいいから、IE6とIE7を捨てるように勧告してください(笑)

03/14(日)~03/20(土) のセキュリティ関連情報

Targeted Attack uses FIFA World Cup 2010 as a hook
これもspam + PPDF

Shanghai Expo Spam Carries Backdoor
これもspam + PPDF

もう好きにして・・・・

出版大手31社が電子書籍の分野で団結
護送船団方式・・

bad advice: disable your av
yeah, this WTF moment was brought to you by a facebook application development company called chainn who thought it would be a good idea to tell users to disable (or even remove) norton anti-virus.
うはは(笑)

YouTube does a Lindsay and takes a tumble


ワォッ! Ad.lyがTechCrunchのつぶやき1回を7000ドルで売リたいって
この話に乗るかって? もちろん、やりますよ。純粋に調査目的なので、念のため。広告主が本当に払うかどうか見てみたいからね。7000ドルは、Golden Gate Lab Rescueに寄付する。
そうこなくっちゃ!(笑)

----------
8080 #
countASN登録更新
91.121.160.21771611 AS16276 03/12 19:40:1503/26 11:00:36
91.121.137.12449406 AS16276 03/17 23:50:2503/26 11:00:36
94.75.229.7242909 AS16265 03/18 01:10:2603/26 11:00:36
91.121.163.21541229 AS16276 03/12 18:10:1703/26 11:00:36
91.121.180.5527990 AS16276 03/13 01:10:1603/26 11:00:36
91.121.134.5822982 AS16276 03/16 10:40:2803/26 11:00:36
94.23.12.6219767 AS16276 03/20 06:40:2603/26 11:00:36
94.23.246.1727408 AS16276 03/22 13:10:3203/26 11:00:36
91.121.8.735663 AS16276 03/22 06:10:2303/26 11:00:36
91.121.121.2274768 AS16276 03/17 20:10:2103/26 11:00:36
93.89.80.1174536 AS39326 03/15 13:10:3103/26 11:00:36
85.131.217.251323 AS34309 03/26 01:50:4003/26 11:00:36
94.23.235.937753 AS16276 03/20 10:10:3203/26 10:40:32
94.23.231.1401901 AS16276 03/16 20:40:3403/26 10:40:32
91.121.24.13994580 AS16276 02/17 10:35:2003/26 10:00:37
91.121.155.202092 AS16276 03/17 21:10:2203/26 09:40:34
95.168.183.126995 AS28753 03/26 01:10:3503/26 08:40:39
85.25.137.71202 AS8972 03/26 03:10:4803/26 03:40:43
91.191.167.14211 AS28753 03/26 02:10:3603/26 02:40:31
94.23.13.6511613 AS16276 03/16 22:10:2403/26 01:40:35
91.121.108.3811447 AS16276 03/20 06:10:3603/26 01:40:35
91.121.7.2680225 AS16276 02/20 05:50:3403/26 01:10:35
91.121.85.17814094 AS16276 03/15 00:10:3403/26 01:10:35
91.121.113.1841576 AS16276 03/17 03:10:4103/25 23:40:34
91.121.64.21433413 AS16276 03/12 07:40:3003/25 22:10:39
91.121.147.1634988 AS16276 03/12 08:10:2703/25 22:00:39
91.121.184.16731558 AS16276 03/12 17:40:1503/25 21:40:38
62.75.218.19250785 AS8972 02/17 12:30:2703/25 18:40:31
194.150.236.1991013 AS44976 03/15 07:40:3803/25 01:40:27
193.138.206.2547486 AS35470 03/23 17:40:2203/24 19:00:29
88.198.55.175107 AS24940 03/24 05:50:2503/24 06:10:27
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[68]IPs

----------
Google Safe Browsing #
| 1269558005 | B | [goog-black-hash 1.53862 update]
| 1269558001 | M | [goog-malware-hash 1.20306 update]
| 308734 | -453(309187)
| 1536142 |
EoF

Leave A Comment »

« Previous Entries
Next Entries »
ホットワード padding margin エイプリルフール 四月馬鹿
割引クーポンまとめ情報 - クー割