Nyheter från Sitic

SR10-040 Microsoft - 0-day i Internet Explorer

2010-03-10T08:22:13Z

En så kallad "0-day", dvs en sårbarhet som det ännu inte finns någon rättning till, har upptäckts i Internet Explorer. Denna sårbarhet utnyttjas aktivt i riktade attacker enligt Microsoft.

Sårbarheten möjliggör exekvering av godtycklig kod då användaren besöker en riggad webbsida som angriparen kontrollerar. Exempelvis kan en trojan installeras som ger angriparen möjlighet att fjärrstyra datorn.

Som Sitic tidigare har rapporterat om finns en annan sårbarhet i Internet Explorer som kan medge exekvering av godtycklig kod om användaren övertalas att trycka F1 (hjälp). För detta säkerhetshål finns ännu ingen rättning och Internet Explorer 6, 7 och 8 är sårbara.

En lösning kan vara att uppgradera till Internet Explorer 8, eftersom den inte innehåller sårbarheten. Microsoft rekommenderar att ha "Internet Explorer Protected Mode" påslaget som kan förhindra en attack. Motsvarigheten för Internet Explorer i Windows Server 2003 och Windows Server 2008 heter "Enhanced Security Configuration". En annan lösning som ökar skyddet är att sätta "Internet and Local intranet security zone" till "hög".

Denna information har även gått ut som ett Blixmeddelande. Sitics förstasidan innehåller formuläret för att prenumerera på Sitics blixtmeddelanden.

SR10-039 Microsoft - Windows-uppdateringar för mars

2010-03-09T20:22:15Z

Mars månads uppdateringar finns nu tillgängliga via Windows Update. Sju säkerhetshål i Excel och ett i Movie Maker är åtgärdade.

Följande sårbarheter är rättade:

MS10-017 Excel ("viktig"): Omfattar sju stycken sårbarheter som alla kan medge exekvering av godtycklig kod om ett riggat Excel-dokument öppnas. Det går att komma runt vissa av sårbarheter genom att göra ändringar i registret men enklast, säkrast och mest heltäckande är en uppgradering.
MS10-016 Movie Maker ("viktig"): En extern angripare kan utnyttja sårbarheten genom att få användaren att öppna en riggad projektfil (slutar på ".mswmm"), och då kan godtycklig kod från angriparen exekveras. Applikationerna Movie Maker och Microsoft Producer 2003 innehåller säkerhetshålet, och för Producer finns ingen uppdatering utan användaren måste ladda ner en fix eller följa råden som finns beskrivna i bulletinen. Windows Live Movie Maker i Vista och Windows 7 är inte sårbar.

Microsoft har gett de båda bulletinerna en etta i "exploitability index", vilket innebär att det är troligt att stabil och fungerande kod som utnyttjar sårbarheterna kan implementeras.

Microsoft tackar följande personer för att ha upptäckt sårbarheterna: Nicolas Joly från VUPEN, Sean Larsson från VeriSign iDefense Labs samt Damián Frizza från Core Security Technologies.

Observera att sårbarheten KB981169 i Internet Explorer som Sitic tidigare har rapporterat om inte har rättats.

"Microsoft Security Response Center"-bloggen innehåller ett utförligt inlägg med exempelvis videoklipp om uppdateringen:
http://blogs.technet.com/msrc/archive/2010/03/09/march-2010-security-bulletin-release.aspx

SR10-038 Apache - Flertalet sårbarheter i Apache

2010-03-08T15:14:58Z

Ett flertal sårbarheter har upptäckts i Apache HTTP Server, vilka har åtgärdats i version 2.2.15. Det allvarligaste säkerhetshålet finns i modulen mod_isapi, som implementerar Internet Server extension API på Windows-plattformen. Genom att skicka ett riggat HTTP-anrop kan modulen laddas ur minnet men med hängande pekare vilka kan utnyttjas för att exekvera godtycklig kod.

Den nya versionen rättar även två sårbarheter i mod_ssl ("TLS renegotiation") samt en i mod_proxy_ajp.

Sårbarheterna upptäcktes av Brett Gervasoni (Sense of Security Labs), Joe Orton, Ruediger Pluem, Hartmut Keil, Niku Toivola, Philip Pickett, samt Jeff Trawick.

Microsoft släpper uppdateringar

2010-03-08T10:07:08Z

Som brukligt släpper Microsoft uppdateringar den andra tisdagen i varje månad. Denna gång rör det sig om två uppdateringar vilka klassas som "viktiga" av Microsoft. Totalt rättas åtta sårbarheter i Windows och Microsoft Office.

Mer information
http://www.microsoft.com/technet/security/bulletin/ms10-mar.mspx
http://blogs.technet.com/msrc/archive/2010/03/04/march-2010-bulletin-release-advance-notification.aspx

Sitics veckobrev v.09

2010-03-05T11:36:00Z

Nytt i veckan

Testades Aurora redan förra sommaren?

http://news.cnet.com/8301-27080_3-10461935-245.html

Molnchock! De sju största hoten mot molnet avslöjas

http://www.darkreading.com/securityservices/security/vulnerabilities/showArticle.jhtml?articleID=223101074

Nya Zombietaktiker hotar att förgifta honungsfällorna!

http://www.theregister.co.uk/2010/03/02/honeypot_anti_security_countermeasures

Dinosaurierna är redan här!

http://royal.pingdom.com/2010/03/02/our-desktops-are-ruled-by-dinosaurs

Är smarta telefoner för dumma?

http://www.mb.com.ph/articles/245942/smart-phones-are-found-be-vulnerable-cyber-attacks

Dansa med Mariposa - eller varför vpn är bäst när det fungerar

http://pandalabs.pandasecurity.com/mariposa-botnet

Jag vet vad din hund hette förra sommaren

http://www.lightbluetouchpaper.org/2010/03/04/evaluating-statistical-attacks-on-personal-knowledge-questions

Känd sökmotor köper stad i USA!

http://www.theage.com.au/technology/technology-news/us-city-changes-name-to-google-20100304-pjvq.html

Tio saker du måste veta om om sociala medier

http://infosecgroup.wordpress.com/2010/03/03/10-questions-you-should-ask-about-social-media-and-data-security

En Windowspirats dagbok

http://blogs.zdnet.com/Bott/?p=1817

Är Windows för segt? Mac OS X för glassigt? Linux för krångligt? Lösningen heter Red Star!

http://www.koreaherald.co.kr/NEWKHSITE/data/html_dir/2010/03/04/201003040036.asp

(O)säkerhet i sociala medier

http://www.eweek.com/c/a/Security/RSA-Social-Networking-Security-Has-Way-to-Go-280715

Använder du Windows? Då patchar du din dator var femte dag?

http://www.networkworld.com/news/2010/030410-typical-windows-user-patches-every.html

Både snö- och spamrekord i februari. Finns det ett samband?

http://news.cnet.com/8301-1009_3-10462103-83.http

I industrialismens fotspår

http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223100993

När hjälpen stjälper

http://blogs.technet.com/msrc/archive/2010/02/28/investigating-a-new-win32hlp-and-internet-explorer-issue.aspx

Exakt 58 procent av all mjukvara är sårbar för storskaliga attacker

http://www.net-security.org/secworld.php?id=8932

Den mörka kraften krypterad

http://blog.fireeye.com/research/2010/03/black-energy-crypto.html

Sitic i veckan

SR10-037 Microsoft - Sårbarhet i VBScript kan tillåta fjärrexekvering av kod

Ökning av antalet möjliga attacker i Sitic HN

2010-03-03T14:41:12Z

Efter att ha undersökt orsaken närmare kan vi konstatera att spikarna i grafen beror på att ett begränsat antal noder försöker ansluta om och om igen mot samma två portar. Förmodligen handlar det om mindre bra skriven skadlig kod som identifierar en sårbar tjänst som den inte lyckas utnyttja och sedan hamnar i en loop av misslyckade försök.

SR10-037 Microsoft - Sårbarhet i VBScript kan tillåta fjärrexekvering av kod

2010-03-02T08:53:00Z

En sårbarhet har upptäckts i VBScript som kan tillåta fjärrexekvering av kod. Genom att lura en användare att besöka en hemsida och trycka på F1 i en speciellt riggad dialogruta kan en angripare exekvera godtycklig kod med samma rättigheter som användaren.

Sårbarheten påverkar Internet Explorer 6, 7 och 8.

En temporär lösning är att avaktivera "active scripting" i Internet Explorer eller ändra rättigheterna på winhlp32.exe enligt instruktioner i Microsofts säkerhetsmeddelande.

Sårbarheten upptäcktes av Maurycy Prodeus.

Sitics veckobrev v.08

2010-02-26T11:48:00Z

Nytt i veckan

Har vi sett slutet för botnätet Waledac?
http://microsoftontheissues.com/cs/blogs/mscorp/archive/2010/02/24/cracking-down-on-botnets.aspx

Det verkar inte se ut att påverka mängden skräppost enligt SecureWorks

http://www.pcworld.com/article/190270/success_of_microsofts_botnet_battle_questioned.html

Intressant diskussion om "Web Security Trust Models"
http://www.freedom-to-tinker.com/blog/sjs/web-security-trust-models

10 saker som du inte visste om typerna bakom botnätet Koobface

http://blogs.zdnet.com/security/?p=5452

Om Aurora-attacken mot Intel

http://www.wired.com/threatlevel/2010/02/intel-hacked

Företag kontrakterade till amerikanska försvaret hackade

http://www.ctv.ca/servlet/ArticleNews/story/CTVNews/20100219/forbes_defense_100221/20100221?hub=TopStoriesV2

Vita husets "Cybersecurity Coordinator" Howard Schmidt

http://www.govinfosecurity.com/articles.php?art_id=2235

NIST har släppt ett utdrag till dokumentet "Guidelines for the Secure Deployment of IPv6"

http://csrc.nist.gov/publications/drafts/800-119/draft-sp800-119_feb2010.pdf

Symantec har släppt rapporten "State of Security 2010"

http://www.symantec.com/content/en/us/about/presskits/SES_report_Feb2010.pdf

IBM har publicerat sin "2009 Trend and Risk Report" (kräver registrering)

http://www.servicemanagementcenter.com/main/pages/IBMRBMS/SMRC/ShowCollateral.aspx?oid=74711

Nmap 5 "Cheat Sheet"
http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20eng%20v1.pdf

Sitic i veckan

SR10-036 Adobe - Sårbarhet i Adobe Download Manager

SR10-035 IBM - Sårbarhet i IBM WebSphere

US-CERT publicerar information om "Aurora"

Sitic ansluten till STHIX

Säkerhetsutvärdering av TCP i nytt utkast

Sista veckobrevet från Birger Jarlsgatan. Nästa gång vi publicerar ett veckobrev så blir det från våra nya lokaler på Valhallavägen. Trevlig helg!

US-CERT publicerar information om "Aurora"

2010-02-26T09:55:00Z

US-CERT listar bland annat domännamn som är relaterade till attackerna, md5-summor av de skadliga filerna samt signaturer som kan användas för att upptäcka en "Aurora"-attack:

https://www.us-cert.gov/cas/techalerts/TA10-055A.html

SR10-036 Adobe - Sårbarhet i Adobe Download Manager

2010-02-24T10:14:18Z

Sårbarheten beror på att "Adobe Download Manager" inte på ett tillförlitligt sätt verifierar programvara som laddas ner och exekveras. En angripare kan potentiellt utnyttja sårbarheten för att exekvera godtycklig kod på ett sårbart system.

"Adobe Download Manager" ska normalt avinstallera sig själv vid nästa omstart efter det att Adobe-programvaran är installerad. Adobe rekommenderar dock användare att verifiera att så är fallet.

Användare som har laddat ner "Adobe Flash Player" eller "Adobe Reader" för Windows kan verifiera om dom är sårbara eller inte genom att följa instruktionerna från Adobe: http://www.adobe.com/support/security/bulletins/apsb10-08.html

SR10-035 IBM - Sårbarhet i IBM WebSphere

2010-02-24T09:55:00Z

Sårbarheten beror på ett fel i hanteringen av indata i sökfältet för "Portal Portlet Palette". En angripare kan injicera kod som sedan exekveras i en annan besökares webbläsare.

För mer information och rättningar, se länkarna nedan.

Sitic ansluten till STHIX

2010-02-23T13:31:00Z

Sitic blev i förra veckan ansluten till STHIX med 1000 Mbits kapacitet. Vi är nu redo att utbyta trafik med

andra operatörer på knutpunkten samt kommande medlemmar över IPv4 och IPv6.

För mer information:

http://www.sthix.net

Säkerhetsutvärdering av TCP i nytt utkast

2010-02-21T18:41:00Z

Nyligen publicerades en ny version av IETF Internet Draft:en "Security Assessment of the Transmission Control Protocol (TCP)". Läs den i sin helhet här:
http://tools.ietf.org/id/draft-ietf-tcpm-tcp-security-01.txt

Utvärderingen är till stor del baserad på ett arbete gjort vid brittiska CPNI:
http://www.cpni.gov.uk/Products/technicalnotes/Feb-09-security-assessment-TCP.aspx

Sitics veckobrev v.07

2010-02-19T14:09:00Z

Nytt i veckan

Koll på fulregisteringar
http://www.lightbluetouchpaper.org/2010/02/17/measuring-typosquattings-perpetrators-and-funders/

Rootkittet TDL3 nu kompatibelt med MS10-015
http://www.prevx.com/blog/143/BSOD-after-MS-TDL-authors-apologize.html

Mozilla och kinesiska CA
http://www.freedom-to-tinker.com/blog/felten/mozilla-debates-whether-trust-chinese-ca

Riggade PDF-filer i topp 2009
http://blogs.zdnet.com/security/?p=5473

ScanSafe publicerar "Annual global threat report 2009" (PDF, eh..)
http://www.scansafe.com/downloads/gtr/2009_AGTR.pdf

G-SEC ger ut "SSL/TLS Hardening and Compatibility report 2010"
http://blog.g-sec.lu/2010/02/new-paper-ssltls-hardening-and.html

"Cyber ShockWave" övar säkerhetsexperter
http://www.computerworld.com/s/article/9157478/Security_experts_wrestle_with_cyberattack_scenario

Attackerna mot Google spårad till skola

http://www.nytimes.com/2010/02/19/technology/19china.html

Chip och PIN inte så trasigt?
http://digitaldebateblogs.typepad.com/digital_money/2010/02/positive-thinking.html

Under locket på en smart gasmätare
http://rdist.root.org/2010/02/15/reverse-engineering-a-smart-meter/

Sitic i veckan

SR10-034 Symantec - Ett flertal produkter sårbara
SR10-033 Cisco - Ett flertal produkter sårbara
SR10-032 Mozilla - Sårbarheter i flera produkter
SR10-031 VMware - Sårbarheter i ESX och ESXi
SR10-030 Adobe - Reader och Acrobat sårbart
SR10-029 RSA - SecurID WebID "Cross Site Scripting" sårbarhet

Problem vid uppdateringen av MS10-015

SR10-034 Symantec - Ett flertal produkter sårbara

2010-02-18T15:30:52Z

Tre sårbarheter har upptäckts i produkter från Symantecs.

Den första sårbarheten drabbar Symantec AntiVirus, Symantec Client Security och Symantec Endpoint Protection. Sårbarheten som beror på en brist i "on-demand scanning"-funktionaliteten möjliggör för att angripare att kringgå avsökning. För att sårbarheten skall gå att utnyttja måste "Tamper Protection" vara deaktiverat.

Den andra sårbarheten rör N360, Norton Internet Security, Norton AntiVirus, Norton SystemWorks, Norton Confidential och Symantec Client Security. Problemet grundar sig i en otillräcklig indatakontroll i SYMLTCOM.dll som kan utnyttjas för att utföra en buffertöverflödning. Sårbarheten kan medge exekvering av godtycklig kod i med utgångspunkt i den drabbade användarens webbläsare. Dock går sårbarheten endast att utnyttja mot en specifik domän.

Den tredje sårbarheten drabbar Symantec AntiVirus och Symantec Client Security. Symantec Client Proxy, CLIproxy.dll, som finns integrerad i äldre versioner av Symantec AntiVirus and Symantec Client Security, innehåller en buffertöverflödessårbarhet. Sårbarheten kan medge exekvering av godtycklig kod.