بایگانی ماهیانه: مرداد ۱۳۸۴

آسیب پذیری بحرانی در IE

 اگر یک نیم نگاهی به اخبار امنیتی انداخته باشید مشاهده کردید که یک آسیب پذیری خطرناک در برنامه Internet Explorer ایجاد شده است که باعث اجرای کدهای مخرب از راه دور بر روی سیستم  آسیب پذیر می گردد. جالب است بدانید که باز هم هکر ها قبل از مایکروسافت اقدام به انتشار کدهای مخرب این برنامه کرده اند.

این آسیب پذیری که از نوع «بحرانی» می باشد در اصل در کامپوننت های Microsoft Visual Studio .NET ActiveX  وجود دارد و هنوز مایکروسافت عزیز (؟) هیچ اصلاحیه ای برای آن منتشر نکرده است.

به نظر می رسد که دوباره باید تاکید کرد که IE را فراموش کنید برای همیشه !

چندی پیش هم دیدیم که آسیب پذیری خطرناکی که در ویندوز ۲۰۰۰ مایکروسافت پیدا شده بود چگونه کامپیوترهای زیادی را مورد حمله قرار داد. امیدوارم که مدیران شبکه هرچه زودتر اصلاحیه مربوط به این آسیب پذیری را دریافت و نصب کنند.

منبع: وبلاگ کلاه سفیدان کوچ نشین (امیرحسین شریفی)

 

اشتراک گذاری

باز هم درباره Zotob

 در چند روز اخیر خبر گسترش کرم اینترنتی Zotob که از  یک آسیب پذیری در سیستم Plug and Play ویندوز استفاده می کند، منتشر شد. این کرم دارای چند نگارش A ، B و … بوده و بیشتر سیستم های ویندوز ۲۰۰۰ را آلوده میکند. گفته شده که ویندوز ۲۰۰۳ و XP دارای Service Pack 2 در مقابل این کرم مصون هستند. ابزاری هم توسط سایمنتک برای حذف کرم از دستگاه آلوده ارائه شده، مواردی هم که کاربران سیسکو باید مد نظر قرار دهند در اینجا ذکر شده است.

 

اشتراک گذاری

آسیب پذیری جدید ویندوز و کرم Zotob

کرم اینترنتی با نام zotob با استفاده از یک آسیب پذیری در سیستم Plug and Play ویندوز در حال گسترش است. ویندوز ۲۰۰۳ و ویندوز XP  (با Service Pack 2) نسبت به این آسیب پذیری ایمن هستند. همینطور ماشینهایی که با استفاده از فایروال، پورت ۴۴۵ را بسته باشند.

 

اشتراک گذاری

مشکل سیسکو با کلاه سیاه ها!

هفته گذشته در کنفرانس سالانه گروه black hat اتفاقی افتاد که در صدر اخبار سایتهای امنیتی قرار گرفت و هنوز بحث ها در مورد آن ادامه دارد. قضیه از این قرار است که سخنران یکی از برنامه ها٬ آقای مایکل لین از شرکت ISS هنگام شروع سخنرانی از حاضران پرسید که آیا مایلند طبق برنامه قبلی در مورد مشکلات امنیتی سیستم عامل محصولات سیسکو (IOS) بشنوند یا اینکه مطابق برنامه جدید کنفرانس در باره Voice Over IP صحبت شود؟ حاضران هم طبیعتا به موضوع اولی علاقمندتر بودند! خلاصه اینکه مایکل لین نتایج تحقیقاتش در ISS را در باره مشکلات امنیتی IOS در قالب این فایل ارائه میکند. نکته جالب اینکه وی با استفاده از یک exploit طریقه استفاده از این آسیب پذیری ها را برای به دست گرفتن کنترل کامل محصولات سیسکو و دریافت خط فرمان (!) شبیه سازی میکند.

با توجه به اینکه تجهیزات سیسکو بخش اصلی و اساسی زیرساخت فعلی اینترنت را تشکیل میدهند٬ این مساله نگرانیهای امنیتی فراوانی را ایجاد کرده است. گویا ISS اعلام کرده که مایکل لین کارشناس اخراجی این شرکت است و سیسکو هم برای مایکل لین و برگزار کنندگان کنفرانس خط و نشانهایی کشیده است.

مایکل لین با استفاده از فرآیند مهندسی معکوس٬‌ بخشی از source code سیستم عامل سیسکو را شبیه سازی کرده و نقاط ضعف آن را توضیح داده است.

++ فیلمی که نشون میده برگزارکننده ها در حال حذف کردن اوراق ارائه مایکل لین از کتابچه سمینار هستن!! (برای دیدنش به quicktime احتیاج دارین)

این هم مطالبی در باره این جنجال:

http://blog.websecurity.ir/news_item.asp?NewsID=301

http://blog.websecurity.ir/news_item.asp?NewsID=299

http://www.securiteam.com/securitynews/5WP020AGKW.html

 

اشتراک گذاری

معرفی tarpit (نوع خاصی از honeypot)

احتمالا با ایده Honeypot ها آشنا هستید. به طور خلاصه Honeypot ابزاریست برای به اشتباه انداختن یا حداقل تلف کردن وقت نفوذگر (وبه خصوص ابزارهای اسکن و …) ، که با روشها و ابزارهای مختلفی قابل انجام است.

اما یکی از ایده های جالب در این زمینه، tarpit ها هستند که گاهی از آنها به عنوان Sticky Honeypot نام برده می­شود. این ایده به عنوان روشی برای مقابله با کرم Code Red مطرح شد و گسترش پیدا کرد، به طوری که امروزه در مجموعه patch های استاندارد فایروال لینوکس پیاده سازی شده و قابل استفاده است، همچنین پروژه LaBrea این ابزار را برای ویندوز، Solaris و FreeBSD هم فراهم کرده است. کرم Code Red با اسکن کردن مداوم سرویس http روی شبکه آلوده، مقدار زیادی از پهنای باند را اشغال میکند. لذا ایده tarpit برای محدود کردن سرعت و متوقف کردن این نحوه اسکن مطرح شد. و اما نحوه کار به این شکل است که tarpit مجموعه IP های بلااستفاده شبکه را (با گوش دادن به بسته های arp بی پاسخ) مونیتور میکند. با یافتن این IP ها، پاسخ بسته های arp را با یک MAC Address جعلی (که در شبکه موجود نیست) به نفوذگر ارسال می­کند و از این پس خود را به عنوان دارنده IP بلااستفاده تحمیل می­کند. از اینجا به بعد، ارسال بسته ACK ، برقراری اتصال TCP و بقیه موارد توسط Tarpit انجام می­شود، در حالی که واقعا چنین IP و چنین سرویسی در شبکه موجود نیست. بر اساس طبیعت پروتکل TCP و مکانیزم Flow Control آن، ارسال بسته ها میان نفوذگر و tarpit چند بار تکرار شده و اتلاف وقت می­شود، و البته در مورد کرم ها، معمولا امکان ادامه این سناریو پیاده سازی نشده و وجود ندارد. بنا بر این اتصال TCP ایجاد شده، اما هیچ داده ای در آن قابل ارسال نیست، و تقاضای بسته شدن اتصال هم توسط tarpit پذیرفته نمی­شود، لذا باید اتصال مربوطه timeout شود. این مساله برای ابزارهای اسکن اتوماتیک و همینطور کرمها ایجاد مشکل می­کند. (البته بعضی از ابزارهای اسکن امکان شناخت tarpit را دارند)  

برای اطلاعات بیشتر به موارد زیر مراجعه کنید:

http://cansecwest.com/core02/honeypots-0.2.ppt

http://honeypots.sourceforge.net

http://www.impsec.org/linux/security/scanner-tarpit.pdf

 

اشتراک گذاری