0x06 vulnerability2011.05.03 14:03


출처 : http://www.krcert.or.kr/secureNoticeView.do?num=524&seq=-1


□ 개요
  o 국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 SQL Injection 취약점이 발견됨[1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 및 DB계정 탈취  등의
     피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요
 

□ 해당시스템
  o 영향받는 소프트웨어[1]
     - 익스프레스 엔진1.4.5.5 및 이전 버전
 

□ 해결방안
  o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [2]
     ※ 패치 작업 이전에 원본 파일은 백업 필요
  o 익스프레스 엔진을 새로 설치하는 이용자
     - 반드시 보안패치가 적용된 최신버전(1.4.5.7)을 설치
 

□ 용어 정리
  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어
  o SQL인젝션 : 웹 응용 프로그램에 강제로 SQL구문을 삽입하여 내부 데이터베이스 서버의
     데이터를 유출 및 변조하고 관리자 인증을 우회할 수 있는 공격
  o 익스프레스엔진 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크
 

□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 

[참고사이트]
[1] http://www.xpressengine.com/blog/19728478
[2] http://www.xpressengine.com/?mid=download&package_srl=18325662

Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.04.13 13:13


Word/Flash logo



4월 11일 Adobe 신규 0-day가 발표되었습니다.

doc 파일에 포함된 swf에 의해 악성코드에 감염이 될 수 있으며 이메일로 전파되고 있다고 합니다.

분석글들이 나오고 있는데요..

샘플은 확보를 했는데 아직 분석은...ㅜ.ㅜ



1. Vulnerability Description from Adobe
Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat


2. Analysis document
Apr. 8 CVE-2011-0611 Flash Player Zero day - SWF in DOC - Disentangling Industrial Policy..

CVE-2011-0611 Adobe Flash Zero Day embeded in DOC

Analysis of the CVE-2011-0611 Adobe Flash Player vulnerability exploitation

Using "volatility" to study the CVE-2011-0611 Adobe Flash 0-day





Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.04.06 17:36











중국 성인사이트에서 유포된 다운로더에 의해 설치된 bootkit이 발견되었다고 합니다.
Kaspersky에서 Rootkit.Win32.Fisp.a 라는 이름으로 탐지된다고 하네요.

보통 MBR 루트킷들이 하는 행동을 그대로 하구요
fips.sys 시스템 드라이버를 루트킷 자신의 드라이버로 대체하고 로딩된 프로세스들을 스캔하여 AV가 있는지 찾는다고 합니다.

대상이 되는 AV 제품은 다음과 같습니다.

Beike
Rising
360
Kingsoft
Keniu Network technology
Beijing Jiangmin or Qizhi Software (여기까지 중국 제품)
AVG
BitDefender
symantec
kaspersky
ESET

루트킷은 악성코드를 배포하는 플랫폼으로 쓰이고 explorer.exe 프로세스를 후킹해서 원격 서버와 통신할 다운로더 컴포넌트를 삽입하고 다운로더 컴포넌트는 Trojan-Dropper.Win32.Vedio.dgs와 Trojan-GameThief.Win32.OnLineGames.boas라는 탐지명으로 명명된 악성코드들을 다운로드합니다.

눈치채셨겠지만 다운로더가 다운로드하는 악성코드는 게임 패스워드 스틸러입니다.



코드게이트 트레이닝코스에서 FSK의 노용환 팀장님이 강의하셨던 MBR Rootkit이 생각나는군요.
(재미는 있었는데 중반부터는...ㅜ.ㅜ)




Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.03.25 10:21



최근 코모도에서 해킹사건이 있었고 이를 통해 가짜 인증서가 발급되었었습니다.

Rogue SSL certificates ("case comodogate")
http://www.f-secure.com/weblog/archives/00002128.html


가짜로 발급된 인증서는 아래 사이트들에 접속할 때 영향을 받습니다.

mail.google.com (GMail)
login.live.com (Hotmail et al)
www.google.com
login.yahoo.com (three certificates)
login.skype.com
addons.mozilla.org (Firefox extensions)
"Global Trustee"

Phishing이나 MITM(Man in the Middle) 공격에 악용될 수 있다고 하는데요.


아래 그림은 가짜로 발급된 인증서와 정상 인증서 모습입니다. (가짜는 벌새님 블로그에서~)



가짜 인증서는 발급자가 UTN-USERFirst-Hardware로 되어 있다고 하니 위 사이트에 접속하셔서 확인하신 후

Microsoft에서 제공하는 긴급 업데이트를 적용하시면 되겠습니다.


Microsoft Security Advisory (2524375) - Fraudulent Digital Certificates Could Allow Spoofing
http://www.microsoft.com/technet/security/advisory/2524375.mspx



Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.03.22 09:57





New Adobe Zero-Day [CVE-2011-0609]
2011/03/15 - [0x06 vul info] - New Adobe Zero-Day [CVE-2011-0609]



Security update available for Adobe Flash Player

http://www.adobe.com/support/security/bulletins/apsb11-05.html


SOLUTION

Adobe recommends all users of Adobe Flash Player 10.2.152.33 and earlier versions upgrade to the newest version 10.2.153.1 by downloading it from the Adobe Flash Player Download Center. Windows users can install the update via the auto-update mechanism within the product when prompted.

Users of Flash Player for Android version 10.1.106.16 and earlier can update to Flash Player version 10.2.156.12 by browsing to the Android Marketplace on an Android phone.

Google Chrome users can update to Chrome version 10.0.648.134 or later.

Adobe AIR 
Adobe recommends all users of Adobe AIR 2.5.1 and earlier versions update to the newest version 2.6 by downloading it from the Adobe AIR Download Center.




Security updates available for Adobe Reader and Acrobat

http://www.adobe.com/support/security/bulletins/apsb11-06.html


SOLUTION

Adobe recommends users update their software installations by following the instructions below:

Adobe Reader
Users on Windows and Macintosh can utilize the product's update mechanism. The default configuration is set to run automatic update checks on a regular schedule. Update checks can be manually activated by choosing Help > Check for Updates.

Adobe Reader 9.x users on Windows can also find the appropriate update here:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.

Adobe Reader users on Macintosh can also find the appropriate update here:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.

Because Adobe Reader X Protected Mode would prevent an exploit of this kind from executing, we are planning to address this issue in Adobe Reader X for Windows with the next quarterly security update for Adobe Reader, currently scheduled for June 14, 2011

Adobe Acrobat 
Users can utilize the product's update mechanism. The default configuration is set to run automatic update checks on a regular schedule. Update checks can be manually activated by choosing Help > Check for Updates.

Acrobat Standard and Pro users on Windows can also find the appropriate update here: 
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.

Acrobat Pro Extended users on Windows can also find the appropriate update here:http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows.

Acrobat Pro users on Macintosh can also find the appropriate update here: 
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.

Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.03.15 05:30





http://www.adobe.com/support/security/advisories/apsa11-01.html


SUMMARY

A critical vulnerability exists in Adobe Flash Player 10.2.152.33 and earlier versions (Adobe Flash Player 10.2.154.13 and earlier for Chrome users) for Windows, Macintosh, Linux and Solaris operating systems, Adobe Flash Player 10.1.106.16 and earlier versions for Android, and the Authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions of Reader and Acrobat for Windows and Macintosh operating systems.

This vulnerability (CVE-2011-0609) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being exploited in the wild in targeted attacks via a Flash (.swf) file embedded in a Microsoft Excel (.xls) file delivered as an email attachment. At this time, Adobe is not aware of attacks targeting Adobe Reader and Acrobat. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing.

We are in the process of finalizing a fix for the issue and expect to make available an update for Flash Player 10.x and earlier versions for Windows, Macintosh, Linux, Solaris and Android, and an update for Adobe Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh, Adobe Reader X (10.0.1) for Macintosh, and Adobe Reader 9.4.2 and earlier 9.x versions during the week of March 21, 2011. Because Adobe Reader X Protected Mode would prevent an exploit of this kind from executing, we are currently planning to address this issue in Adobe Reader X for Windows with the next quarterly security update for Adobe Reader, currently scheduled for June 14, 2011.

AFFECTED SOFTWARE VERSIONS

  • Adobe Flash Player 10.2.152.33 and earlier versions for Windows, Macintosh, Linux and Solaris operating systems
  • Adobe Flash Player 10.2.154.13 and earlier for Chrome users
  • Adobe Flash Player 10.1.106.16 and earlier for Android
  • The Authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh operating systems.

NOTE: Adobe Reader 9.x for UNIX, Adobe Reader for Android, and Adobe Reader and Acrobat 8.x are not affected by this issue.

SEVERITY RATING

Adobe categorizes this as a critical issue.

DETAILS

A critical vulnerability exists in Adobe Flash Player 10.2.152.33 and earlier versions for Windows, Macintosh, Linux and Solaris operating systems (Adobe Flash Player 10.2.154.13 and earlier for Chrome users), Adobe Flash Player 10.1.106.16 and earlier versions for Android, and the authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh operating systems.

This vulnerability (CVE-2011-0609) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being exploited in the wild in targeted attacks via a Flash (.swf) file embedded in a Microsoft Excel (.xls) file delivered as an email attachment. Adobe is not currently aware of attacks targeting Adobe Reader and Acrobat. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing.

We are in the process of finalizing a fix for the issue and expect to make available an update for Flash Player 10.x and earlier versions for Windows, Macintosh, Linux, Solaris and Android, and an update for Adobe Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh, Adobe Reader X (10.0.1) for Macintosh, and Adobe Reader 9.4.2 and earlier 9.x versions during the week of March 21, 2011. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing. Because Adobe Reader X Protected Mode would prevent an exploit of this kind from executing, we are currently planning to address this issue in Adobe Reader X for Windows with the next quarterly security update for Adobe Reader, currently scheduled for June 14, 2011.

Adobe Reader 9.x for UNIX, Adobe Reader for Android, and Adobe Reader and Acrobat 8.x are not affected by this issue.

Users may monitor the latest information on the Adobe Product Security Incident Response Team blog at http://blogs.adobe.com/psirt or by subscribing to the RSS feed at http://blogs.adobe.com/psirt/atom.xml.

Adobe actively shares information about this and other vulnerabilities with partners in the security community to enable them to quickly develop detection and quarantine methods to protect users until a patch is available. As always, Adobe recommends that users follow security best practices by keeping their anti-malware software and definitions up to date.




http://www.securelist.com/en/blog/6102/New_Adobe_Zero_Day_Under_Attack





다음주쯤에 패치를 발표한다고 하는군요..

http://blogs.adobe.com/asset/2011/03/background-on-apsa11-01-patch-schedule.html





Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.02.21 15:50




지난주에 Windows Server 2003 Active Directory에서 제로데이 취약점이 발견되었고 exploit이 공개되었습니다.

http://www.exploit-db.com/exploits/16166/


위 코드 실행시 타겟 서버는 블루스크린(Blue Screen of Death)이 뜨게됩니다.

metasploit에도 exploit이 공개되었는데 잘 안되더군요..



테스트한 대상시스템은 단순히 AD만 설치한 상태입니다.



Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.02.10 10:56



Adobe Flash Player 다중 취약점 보안 업데이트 권고
http://www.krcert.or.kr/secureNoticeView.do?num=499&seq=-1


Adobe Reader/Acrobat 다중 취약점 보안업데이트 권고
http://www.krcert.or.kr/secureNoticeView.do?num=500&seq=-1


Adobe Shockwave Player 다중 취약점 보안업데이트 권고
http://www.krcert.or.kr/secureNoticeView.do?num=501&seq=-1




임의의 코드 실행이 가능한 취약점이 많기 때문에 필히 업데이트하시는게 좋을 듯 합니다.

성의없는 포스팅 읽어주셔서 감사합니다. ㅜ.ㅜ





Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.01.20 18:02


exploit-db에 PoC 코드가 공개되었습니다.

http://www.exploit-db.com/exploits/16015/


알툴즈 사이트에 가셔서 ALZip 8.2로 업데이트하시기 바랍니다.

http://www.altools.co.kr/Download/ALZip.aspx



PoC 시연 동영상

Posted by demantos

댓글을 달아 주세요

0x06 vulnerability2011.01.05 10:30

 

http://www.securityfocus.com/bid/45662/info

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3970

http://moonslab.com/1225



영향 받는 취약한 시스템

Microsoft Windows XP Professional x64 Edition SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional SP3
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP3
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP3
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP 0
Microsoft Windows Vista Ultimate 64-bit edition SP2
Microsoft Windows Vista Ultimate 64-bit edition SP1
Microsoft Windows Vista Ultimate 64-bit edition 0
Microsoft Windows Vista Ultimate SP2
Microsoft Windows Vista Ultimate SP1
Microsoft Windows Vista Ultimate
Microsoft Windows Vista SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista Home Premium SP2
Microsoft Windows Vista Home Premium SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems 0
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems 0
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems 0
Microsoft Windows Server 2003 x64 SP2
Microsoft Windows Server 2003 x64 SP1
Microsoft Windows Server 2003 Itanium SP2
Microsoft Windows Server 2003 Itanium SP1
Microsoft Windows Server 2003 Itanium 0
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
3DM Software Disk Management Software SP2
3DM Software Disk Management Software SP1


module : windows/fileformat/ms11_xxx_createsizeddibsection




본 취약점은 미리보기(thumbnail) 했을때 발생하는 취약점입니다.




metasploit에서 생성한 msf.doc 파일을 미리보기로 테스트했는데 데이터 실행 방지 알림 창이 뜨면서 정상적으로 공격이 수행되지 않았습니다. 그래서 강제로 DEP 모드를 해제해고 해봤는데 계속 explorer가 죽는 현상만 반복되었습니다.

환경 구성이 잘못되었을지도 모르겠지만 Windows XP SP3라는 가장 일반적인 환경에서 테스트했을때 metasploit의 exploit이 제대로 동작하지 않는 듯 합니다.

아직 정식 패치는 발표되지 않았고 임시대응방안은 아래 하우리 사이트를 참조하시기 바랍니다.

http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=79&page=1



bonus) 취약점 발견자인 Moti와 Xu Hao의 프리젠테이션 파일






Posted by demantos

댓글을 달아 주세요

  1. 테스트 OS의 차이로 발생하게되는 리턴어드레스 차이로 예상됩니다. 메타스플로잇의 익스플로잇 생성 파일을 인터넷에 올려놨던데 링크합니다. http://www.nsfocus.net/vulndb/16257
    rb 소스 보면 파일이 만들어지는 3개 OS에 대해서 SEH offset과 리턴 어드레스에 차이가 있는 것을 알 수 있습니다. 나와있는 동종 OS로 테스트하시거나 현 OS의 오프셋 계산해서 취약 파일을 다시 만들어야 할 듯 합니다.

    2011.01.09 00:51 신고 [ ADDR : EDIT/ DEL : REPLY ]