2 ALL! здесь я предлагаю выкладывать новости, касающиеся нашей с вами безопасности (короткие описания, ссылки на первоисточники). Уязвимость в Winamp
06.04.04 12:37
Модуль in_mod.dll содержит фрагмент кода, отвечающий за загрузку
*.xm-файлов, который из-за некорректной проверки размеров буфера позволяет переписать произвольный фрагмент динамической памяти. Таким образом,
появляется возможность подготовить такой mod-файл, при загрузке которого с
веба и последующем проигрывании на пользовательской машине выполнится
внедренный код с правами активного пользователя.
Уязвимы версии 2.91-5.02 (возможно, и более старые), недавно вышедшая
версия 5.03 уже исправлена. Приверженцам старых версий остается лишь удалить библиотеку in_mod.dll.
Источник: NGSSoftware http://www.ngssoftware.com/advisories/winampheap.txt[Ответ]
ZEUS 02:31 08.04.2004
Около 8 миллионов компьютеров во всем мире были заражены интернет-червем Lovesan (MSBlast) с момента его появления 11 августа прошлого года. Таковы данные последних исследований специалистов компании Microsoft, создавших специальную программу для выявления зараженных Lovesan машин, сообщает CNET News.com.
С момента появления в январе специальной программы Microsoft с сайтом Windows Update соединилось более 16 миллионов зараженных компьютеров, пользователям которых предлагалось скачать патч и средство для удаления вируса. Воспользовались этим предложением около 8 миллионов владельцев компьютеров.
Несмотря на то, что в Microsoft считают возможным говорить о почти 16 миллионах зараженных машин, данные о 8 миллионах кажутся специалистам компании более достоверными. Объясняется эта ситуация следующим образом: многие зараженные машины могли быть подсчитаны дважды. То есть пользователь получал предложение скачать патч и специальную программу, однако в силу каких-то причин решал сделать это позже. При повторном заходе на Windows Update его компьютер считался как отдельная зараженная машина. «Вылеченные» компьютеры повторному учету не подвергались, однако в Microsoft не отслеживали, какие именно пользователи скачивали с сайта необходимые обновления.
«В конце прошлого года мы получали сообщения от пользователей, которые заявляли, что они все еще наблюдают симптомы Lovesan. Наши партнеры из числа интернет-провайдеров также наблюдали в своих сетях трафик вируса», - заявил представитель Microsoft.
Эпидемия Lovesan оказалась столь масштабной, что руководство Microsoft попросило разработчиков остановить работу над новой версией Windows и создать Service Pack 2 для укрепления безопасности Windows XP . Игорь Громов Источник:
Информационный портал - CNET
источник: http://www.viruslist.com/index.html?...1&id=144940791
8 апреля 2004
F-Secure BackWeb позволяет локальному пользователю получить SYSTEM привилегии на целевой системе Программа: F-Secure BackWeb 6.31 Опасность: Высокая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в F-Secure BackWeb, компоненте F-Secure антивируса. Локальный пользователь может получить SYSTEM привилегии на целевой системе.
Уязвимость в BackWeb пользовательском интерфейсе позволяет локальному пользователю получить полные привилегии на системе.
URL производителя: http://support.f-secure.com/enu/home...hotfixes.shtml Решение:Установите hotfix (Backweb 6.31 Security Update): ftp://ftp.f-secure.com/support/hotfi...1_hotfix.fsfix
* Backweb 6.31 Security Update Источник: http://www.securitylab.ru/44378.html
ZEUS добавил [date]1081531611[/date]: Программа: RealPlayer 8, RealOne Player, RealOne Player v2 for Windows only, RealPlayer 10 Beta (English only), и ReaPlayer Enterprise Опасность: Высокая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в RealOne и RealPlayer. Удаленный пользователь может создать медийный файл который, когда будет загружен целевым пользователем, выполнить произвольный код на целевой системе.
Переполнение буфера обнаружено в RealPlayer в обработке R3T медийных файлов. Уязвимы только пользователи, которые загружают специально обработанный R3T plug-in.
URL производителя:http://www.service.real.com/help/faq...040406_r3t/en/ Решение:Производитель работает над исправлением. В качеcтве временного решения см. http://www.service.real.com/help/faq...040406_r3t/en/
* RealNetworks, Inc. Releases Update to Address Security Vulnerability. Источник:http://www.securitylab.ru/44381.html[Ответ]
ZEUS 00:19 12.04.2004
11 апреля 2004
Недельный отчет об уязвимостях (5.04.2004-11.04.2004)
За прошедшую неделю было обнаружено более 50 уязвимостей, 14 из которых представляют высокую или критическую опасность. Количество потенциально уязвимых систем, которые могут быть взломаны с помощью обнаруженных уязвимостей за последнюю неделю, превышает 100 миллионов.
Ниже приведен линк на статью с таблицей уязвимостей. http://www.securitylab.ru/44414.html
ZEUS добавил [date]1081718516[/date]: Обзор уведомлений от дистрибьюторов операционных систем.
SecurityLab.ru представляет еженедельный обзор уведомлений дистрибьюторов операционных систем. На этой недели было опубликовано 10 уведомлений от 4 производителей Linux систем, 4 уведомления от разработчиков OpenPKG, 3 уведомления от компании HEWLETT-PACKARD и 2 уведомления от CISCO System.
На этой неделе были опубликованы 10 уведомлений от различных дистрибьюторов Linux систем - 4 уведомления Debian Linux, который устранил уязвимости в Linux ядре и heimdal, xine-ui и tcpdump пакетах, 1 уведомление от Mandrake Linux , устраняющее уязвимость в mplayer и 5 уязвимостей в GENTOO LINUX , устраняющие уязвимости в KDE, Sysstat, ipsec-tools, Util-Linux, GNU Automake.
Разработчики OpenPKG сообщили об 4 обновлениях, которые устраняют уязвимости в mc, tcpdump, sharutils и fetchmail пакетах.
Компания HEWLETT-PACKARD опубликовала 3 уведомления за последнюю неделю, устраняющие уязвимости в OpenView Operation, в четырех Intel® server setup утилитах и в наборе утилит Support Tools Manager.
Компания Cisco выпустила 2 уведомления, которые устраняют уязвимость встроенной учетной записи в WLSE и HSE устройствах и отказ в обслуживании в Cisco IPSec VPN Services Module. Оригинальная статья здесь: http://www.securitylab.ru/44415.html[Ответ]
ZEUS 12:03 13.04.2004
13 апреля 2004
В понедельник Ассоциация индустрии компьютерной технологии (CompTIA) распространила второй ежегодный отчет по ИТ-безопасности. В опросе приняли участие почти 900 организаций, которые должны были указать 15 главных, с их точки зрения, проблем безопасности. Согласно полученным результатам, за последние шесть месяцев 36,8% организаций подвергались хотя бы одной атаке, связанной с браузером. Эта цифра на 25% превышает аналогичный показатель из прошлогоднего отчета.
«Атаки, связанные с браузером, демонстрируют естественную эволюцию, — говорит директор CompTIA по ИТ Рандалл Палм. — Чем лучше мы им противостоим, тем изобретательнее становятся хакеры. Десять лет назад большинство вирусов распространялось через дискеты. Теперь они нацелены главным образом на браузеры».
Атаки через браузер, как правило, реализуются при посещении пользователем веб-страницы, которая кажется безвредной, но на самом деле содержит скрытый код, нацеленный на нарушение работы компьютера или кражу содержащихся в нем данных. Некоторые атаки просто выводят браузер из строя, другие создают условия для хищения конфиденциальной персональной информации.
Один из наиболее распространенных способов осуществления таких атак — рассылка электронных сообщений, содержащих ссылку на веб-сервер злоумышленника. Так как эти атаки обычно реализуется только после того, как пользователь кликнет на ссылке, многие брандмауэры их не засекают. Традиционные межсетевые экраны анализируют только входящий трафик, а для защиты от атак через браузер необходимо проверять еще и исходящий.
Многие пользуются продуктами таких молодых компаний, как SurfControl и Websense, которые контролируют веб-деятельность сотрудников предприятия, помогая защититься от атак через браузер. Поставщики брандмауэров, такие как Check Point Software Technologies и NetScreen Technologies, тоже вводят в свои продукты средства подобного рода. Однако Палм отмечает, что до полного решения проблемы еще далеко. «Инспекцией пакетов с учетом состояния протокола (stateful inspection) для защиты от новых и новых уязвимостей занимаются не только Check Point или NetScreen, — говорит он. — Все поставщики брандмауэров наперегонки совершенствуют эту технологию».
Меры для минимизации риска принимают и разработчики браузеров. В январе Microsoft объявила о подготовке обновлений для Internet Explorer и Windows Explorer, призванных защитить веб-серферов от попадания на веб-сайты, содержащие злонамеренный код. Перед этим, в декабре, датская секьюрити-фирма предупредила об ошибке в IE, используя которую хакеры могут фальсифицировать веб-адреса.
Несмотря на рост озабоченности из-за угроз, связанных с браузером, на первое место по степени риска компании все же ставят компьютерные вирусы и червей. Но эти формы атак стали пугать их гораздо меньше, чем год назад. Если в прошлом году 80% организаций больше всего опасались червей и вирусов, то в теперь их доля уменьшилась до 68,6%.
Второй наиболее опасной угрозой для ИТ-систем в прошлом году считалось проникновение в сеть, которому респонденты отдали 65,1% голосов. Теперь и эта проблема утратила остроту и пугает только 39,9% респондентов. Это можно объяснить высокой долей компаний, использующих антивирусные программы. По данным CompTIA, 95,5% организаций применяют эту технологию в том или ином виде.
Межсетевые экраны и прокси-серверы занимают второе место среди антивирусных средств: ими пользуются 90,8% респондентов. Кроме того, компании стали чаще выполнять проверки системы защиты и тесты на проникновение. Этим регулярно занимается 61% респондентов против 53% год назад.
14.04.04 03:13
MS выпустила 4 очередных бюллетеня, при взгляде на которых становится несколько не по себе. Пойдем по порядку:
MS04-011. Описывается 14 (!) уязвимостей в ОС семейства NT, носящих критический характер, и приводящих к возможным DoS, повышению прав локального пользователя и удаленному выполнению кода.
MS04-012. Кумулятивное обновление подсистемы RPC/DCOM. Статус, опять-таки, критический, опять больше всего затронуты NT с потомками, опять удаленное выполнение кода.
MS04-013. Удаленное выполнение кода с помощью Outlook Express.
MS04-014. Возможное удаленное выполнение кода в системах, использующих Microsoft Jet Database Engine.
14.04.2004
СERT, одна из самых авторитетных в мире организаций, работающих в сфере компьютерной безопасности, сообщила о новой уязвимости в браузере Microsoft Internet Explorer. Новая дыра связана с механизмом междоменной безопасности (Cross Domain Security), дыры в котором Microsoft латает с завидным постоянством.
Дыра, о которой сообщает CERT, связана с использованием протокола Microsoft InfoTech Storage (ITS), применяемого, в частности, в файлах справки в формате .CHM. Из-за недоработок в модели междоменной безопасности возможна ситуация, когда скрипт, вызванный по протоколу ITS, будет выполнен не в своей зоне безопасности, а в зоне локального компьютера, то есть хакер может выполнить в системе произвольный код с правами текущего пользователя.
Для использования дыры злоумышленнику нужно создать особую веб-страницу, содержащую ссылки, использующие протокол ITS. При этом документ необязательно должен иметь расширение .CHM. Зловредную страницу можно разместить в интернете или прислать по электронной почте. Пока Microsoft не выпустила патча для указанной дыры. Решить проблему можно, отключив поддержку протокола ITS в реестре, или же отказавшись от Internet Explorer в пользу другого браузера. В CERT также отмечают, что дыра уже используется хакерами. В частности, на данной уязвимости паразитирует троян Ibiza. Источник: Компьюлента ЕЩЕ: http://www.kb.cert.org/vuls/id/323070[Ответ]
ZEUS 19:19 14.04.2004
13.04.2004 Новый интернет-червь перезаписывает файлы на винчестере
Компания Symantec предупреждает о появлении нового интернет-червя VBS.Gaggle.D (другие названия I-Worm.Gedza, VBS/Gedza.A). Вредоносная программа рассылает собственные копии по электронной почте посредством встроенного SMTP-сервера, кроме того, вирус способен распространяться через mIRC, ICQ и некоторые файлообменные сети.
После неосторожного запуска вложенного в письмо файла с именем Filezip.zip червь создает свою копию в системной папке Windows, а также записывает туда ряд вспомогательных файлов. Далее вирус открывает окно браузера Internet Explorer и отображает в нем фотографию известной поп-исполнительницы Эврил Лавинь. Таким образом, заметить присутствие вредоносной программы на компьютере несложно. После этого VBS.Gaggle.D регистрируется в системном реестре, обеспечивая себе при этом автоматический запуск при загрузке ОС.
Кроме того, червь способен перезаписывать файлы с расширениями vbs, .vbe, .js, .jse, .hta, .htm, .html, .php, .shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg, и .htx собственными копиями, а также уничтожать vbs-файлы на флоппи-дискетах. В процессе генерации инфицированных сообщений поле "От кого" фальсифицируется, а тема письма и его содержание варьируются произвольным образом. Наконец, вирус отправляет письма с украденной информацией (например, найденными адресами почты) своему автору. Впоследствии эти адреса могут использоваться для составления списков массовых рассылок. Червь VBS.Gaggle.D представляет угрозу для пользователей компьютеров с ОС Windows 2000, 95, 98, Me и XP.
16 апреля 2004
Опубликован Poc код, демонстрирующий эксплуатацию недавно обнаруженной уязвимости поднятия локальных привилегий в Mircosoft Windows 2000 в Windows Utility Manager. Локальный пользователь может выполнить произвольный код на системе с SYSTEM привилегиями.
1. Уязвимость в TCP, подробное описание
Источник: http://www.uniras.gov.uk/vuls/2004/236929/index.htm На что воздействует?
Уязвимость, описанная в данном уведомлении, затрагивает реализацию TCP протокола, описанную группой проектирования Internet в технической документации (RFC) для TCP, включая RFC 793 и RFC 1323.
TCP - базовый сетевой протокол, в настоящее время используемый в большинстве сетевых компьютерных систем. Многие производители включают поддержку этого протокола в свои программы, которые могут быть в различной степени уязвимы. Кроме того, любые сетевые службы или приложения, опирающиеся на TCP подключения, тоже подвержены нападениям, причем опасность нападения зависит, прежде всего, от продолжительности TCP сеанса.
Степень опасности
Влияние этой уязвимости зависит от производителя и от приложения, но в некоторых случаях оно оценивается как критическое. Для более полной информации см. раздел информации производителей. Дополнительно свяжитесь с производителем вашего программного обеспечения для получения более детальной информации о вашем продукте.
При эксплуатации уязвимости у злоумышленника появляется возможность создания условий для отказа в обслуживании (DDoS) существующим TCP подключениям, что приводит к преждевременному завершению сеанса. Завершения сеанса воздействует на уровне приложения, а характер и степень опасности зависят от протокола приложения.
Пограничный межсетевой протокол (BGP), оценивают как потенциально наиболее подверженный этой уязвимости.
BGP основывается на устойчивом TCP сеансе между двумя сетевыми узлами. Сброс подключения может привести к недоступности узла в течение времени, необходимого для восстановления таблиц маршрутизации и перестройки маршрута. Перестройка маршрута может привести к недоступности маршрута, если он происходит слишком часто в течение короткого промежутка времени. Однако даже при успешной атаке, воздействие на BGP, вероятно, будет уменьшено в случае использования TCP MD5 сигнатур и антиспуфинговых мероприятий, поскольку они успешно смягчают воздействие уязвимости.
Имеется потенциальная опасность воздействия уязвимости на другие протоколы приложений типа DNS и SSL в случае зональных передач и транзакций электронной коммерции соответственно, но продолжительность таких сеансов относительно небольшая, и они могут быть без проблем перезапущены. В случае с SSL может быть затруднение с определением исходного IP адреса.
Возможна также инъекция данных, но это не демонстрировалось и кажется довольно проблематичным.
Резюме
Проблема, описанная в этом уведомлении - возможность сброса установленного TCP подключения с помощью посылки соответствующих TCP пакетов с набором флагов RST или SYN.
Пакеты должны иметь IP адреса источника и назначения, соответствующие установленному подключению и те же самые TCP порты источника и назначения.
Хотя DDoS атака, использующая обработанные TCP пакеты является известным слабым местом в TCP протоколе, но до недавнего времени она считалась практически неосуществимой. Причиной этого является проверка порядкового номера RST или SYN пакета (32-разрядное число), а вероятность правильного определения этого номера равна 1/2^32.
Исследователем осуществления RST атаки был Пауль Ватсон. Он заметил, что вероятность правильного определения нужного порядкового номера пакета гораздо выше, чем 1/2^32. Это происходит из-за того, что протокол принимает любой порядковый номер в некотором диапазоне (TCP window size) от требуемого числа, что делает реальным выполнение такого вида нападения.
Любой протокол приложения, основывающийся на долговременном TCP соединении и для которого известны TCP порты и IP адреса источника и назначения будет уязвим, по крайней мере, к DDoS атаке.
Подробности
TCP - протокол транспортного уровня, предназначенный для передачи IP пакетов. Для этого TCP использует наборы флагов, указывающих состояние и порядковые номера для определения порядка реассемблирования пакетов.
В TCP протоколе также используется число, называемое номером подтверждения и используемое для указания порядкового номера следующего ожидаемого пакета. Пакеты реассемблируются только в том случае, если разброс их порядковых номеров происходит в пределах диапазона номера подтверждения. Номер подтверждения не используется в RST пакете, потому что при сбросе не ожидается возвратный пакет. (Если быть более точными, то последнее утверждение правильно только для RST пакетов без флага ACK, используемых для указания на закрытие TCP порта. RST/ACK пакет используется для приостановления активного соединения в случае ошибки, и в нем заключен номер подтверждения)
Размеры TCP window определяются в процессе синхронизации соединения и при этом обычно устанавливаются наиболее высокие значения TCP window, что в некоторых случаях, обеспечивает улучшение производительности. Значения установленные производителем по умолчанию тоже влияют на выборку. В любом случае, чем больше размер TCP window, тем выше вероятность, что случайно выбранный порядковый номер TCP будет лежать в пределах области TCP window. Это и является основой для атаки.
TCP подключение определяется IP адресами и портами источника и назначения. Злоумышленник пытающийся разорвать существующее соединение должен правильно подобрать все эти значения. И хотя порт источника меняется, однако в представленном исследовании показано, что процесс выбора исходного порта включает в себя предсказуемые элементы, поэтому атака становиться реально осуществимой.
Протоколы прикладных программ, на которые оказывается критическое воздействие:
* Зависящие от долговременных TCP подключений
* Имеющие известные или легко определяемые IP адреса назначения
* Имеющие простой для предположения TCP порт источника
Как было отмечено выше, BGP использует долговременные TCP подключения, а IP адрес источника и порт источника иногда доступны в BGP зеркале или в ресурсных записях DNS. Использование команды "trace route“ может предоставить информацию об IP адресах сетевых узлов. Таким образом, данная уязвимость имеет критическое воздействие на BGP.
Такие DDoS атаки могут быть выполнены как с одной машины, так и множественными системами (для формирования распределенной DDoS атаки).
Смягчение последствий
Ниже представлены следующие шаги необходимые при отсутствии исправлений у производителя:
* Внедрение IP защиты (IPSEC), шифрующей трафик на сетевом уровне (при этом становится недоступной TCP информация)
* Уменьшение размера TCP window (хотя это увеличивает потери трафика и последовательную ретрансляцию)
* Запрет оглашения информации о TCP порте источника
Необходимо отметить, что IPSEC предоставляет секретность информации и службы аутентификации на сетевом уровне и может поддерживать проверку подлинности конечных точек соединения также как и шифрование трафика между ними. Однако в нашем случае IPSEC будет отклонять RST и SYN пакеты, которые не являются частью безопасного потока IP пакетов.
Для изменения заданного по умолчанию значения размера TCP window в некоторых Unix системах, вы можете использовать программу “sysctl”. В случае Microsoft Windows NT /2000/XP/2003, заданный по умолчанию размер TCP window может быть изменен, путем модификации значения ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters.
Как было отмечено выше, следует с осторожностью изменять значение TCP window, т.к. это может привести к большой потере производительности. Ниже приведены действия, которые помогут смягчить проблему в случае с BGP:
* Выполнить входную и выходную фильтрацию. Это необходимо для проверки того, что входящий и исходящий трафик имеет IP адрес источника, ожидаемый на интерфейсе маршрутизатора / брандмауэра принимающего трафик.
* Выполнить TCP MD5 Signature Option для подсчета контрольной суммы TCP пакетов, несущих данные BGP приложения. (См. RFC 2385).
* Ограничить количество информации доступной через BGP зеркала и ресурсные записи DNS. 2.TCP Connection Reset Remote Windows 2K/XP Attack Tool
Опубликован утилита для W2k, позволяющая системному администратору проверить свои сетевые устройства на наличие недавно обнаруженной уязвимости в TCP протоколе. Уязвимость позволяет злонамеренному пользователю оборвать текующую TCP сессию.
I-Worm.Bagle.y
[ 26.04.2004 20:06, GMT +03:00, Москва ]
Опасность : средняя
Лаборатория Касперского сообщает о появлении новой версии сетевого червя Bagle - I-Worm.Bagle.y. Червь распространяется по электронной почте в виде вложений, а также по локальной и файлообменным сетям.
Тема и текст рассылаемых писем, название и расширение файла вложения варьируются. Тело червя может вкладываться в сообщение как в незапакованном виде, так и в архиве с паролем, указываемым в прикрепляемой к письму картинке. С некоторой вероятностью вместо самого червя в сообщение вкладывается его компонента - дроппер, написанный на Visual Basic Script (файл с расширением .vbs), который в свою очередь инсталлирует червя в систему.
При запуске файла червя отображается фальшивое сообщение об ошибке: "Can't find a viewer associated with this file", после чего программа прописывается в реестр на автозагрузку и запускает механизмы саморепликации.
В теле червя содержится послание от автора:
UNIQUE PEOPLE MAKE UNIQUE THINGS
THAT THINGS STAY BEYOND THE NORMAL LIFE AND COMMON UNDERSTANDING
THE PROBLEM IS THAT PEOPLE DON'T UNDERSTAND SUCH WILD THINGS,
LIKE A MAN DID NEVER UNDERSTAND THE WILD LIFE
-- Author of Bagle
ZEUS добавил [date]1083027132[/date]: 26 апреля 2004 Новый тип вирусов не за горами
Скотт Чейзин, технический директор компании MX Logic и создатель дискуссионной группы по вопросам безопасности Bugtraq, предупреждает о возможном появлении нового типа вирусов — «суперчервей», которые будут использовать технологию соединения равноправных узлов.
P2P могут использоваться не только для размножения в Сети, но и для общения с системами, уже зараженными другими вирусами. Результатом такого взаимодействия станет появление «суперчервя» со способностью видоизменяться. Хорошим примером может служить известный Phatbot, который имеет новейшую архитектуру и использует P2P технологию, исходный код которой стал доступен для публики прошлым летом.
Г-п Чейзин говорит, что пока еще не знает примера взаимодействия такого рода червей друг с другом, но появление нового вектора угрозы — реально. Для мутации вируса будет достаточно проникновения в одну уже зараженную машину, что приведет к «рождению» нового кода для распространения и атаки других компьютеров.
Иными словами, новый принцип распространения червя может положить конец так называемым «волнам» — когда червь появляется, достигает своего пика и затем исчезает. Вместо этого, атаки новых эксплойтов будут носить продолжительный характер. Новый вид червей может быть также использован как для рассылки спама, так и для DoS-атак.
P2P черви обычно распространяются посредством почтовых сообщений, но большую опасность могут представлять и незащищенные точки беспроводного доступа, что вызывает у г-на Чейзина наибольшую обеспокоенность. Source: http://www.securitylab.ru/44839.html[Ответ]
ZEUS 06:33 28.04.2004
27 апреля 2004
Во Всемирной сети зафиксировано появление специализированного программного кода http://www.securitylab.ru/44833.html , при помощи которого можно организовать атаки на компьютеры, работающие под управлением операционных систем Microsoft Windows 2000, XP, Server 2003 и NT. Эксплойт, получивший название SSL Bomb, использует критическую уязвимость в Windows, заплатка
Проблема связана с локальной подсистемой аутентификации пользователей LSASS (Local Security Authority Subsystem Service), а также протоколом PCT, являющемся частью библиотеки SSL. Ошибки переполнения буфера в этих компонентах позволяют вывести уязвимую машину из строя путем отправки составленных особым образом запросов. Причем дыра в LSASS представляет наибольшую опасность для пользователей операционных систем Windows 2000 и ХР, позволяя хакерам захватить полный контроль над удаленным ПК. Уязвимость в протоколе РСТ является критически важной для ОС Windows 2000 и NT и, кроме того, может применяться при проведении атак на компьютеры с Windows ХР и Server 2003. Правда, в последнем случае протокол РСТ по умолчанию отключен, поэтому организация нападения будет затруднена.
Во избежание неприятностей софтверный гигант рекомендует всем пользователям вышеназванных операционных систем как можно скорее установить заплатки, описанные в бюллетене безопасности MS04-011. Данный апдейт ликвидирует дыры в LSASS и SSL, закрывая при этом еще более десяти критически важных уязвимостей. Source: http://www.securitylab.ru/44856.html[Ответ]
ZEUS 13:10 09.05.2004
Спамеры используют бесплатную порнографию, чтобы обойти защиту hotmail
Спамеры придумали способ обхода защиты при создании почтовых ящиков на Hotmail и Yahoo, который не позволял роботам проходить автоматическую регистрацию.
Бесплатные почтовые сервисы, такие как Hotmail и Yahoo, зачастую используются спамерами для своих рассылок. Но из-за громадного числа рассылаемых писем и из-за того, что подобные ящики довольно быстро уничтожаются, спамерам необходимо регистрировать их тысячами. Для этих целей они используют специальных роботов, предназначенных для автоматической регистрации.
Чтобы бороться с этими роботами, компании предоставляющие почтовые услуги в Интернете, ввели так называемый тест «Captcha». Его суть в том, что при вводе регистрационных данных, нужно для подтверждения своей человеческой природы еще и расшифровать определенного вида картинку. Обычно это плохо читающийся текст на каком-нибудь неровном фоне. Человеку эта задачка дается легко, в то время, как роботы с ней не справляются. И вот, чтобы обойти данную проблему спамеры завели бесплатный порнографический ресурс.
Для получения доступа к этому ресурсу необходимо… тоже пройти тест «Captcha». Тысячи посетителей порноресурса ежедневно проходят этот тест, не подозревая, что при этом они создают очередной почтовый ящик для спамеров. При помощи специального скрипта регистрационный тест Hotmail переносится на спамерский сайт, где он успешно и проходится. взято с kadets.ru
Хакеры используют неизвестную уязвимость Internet Explorer
Сегодня утром в интернете была зафиксирована необычная эпидемия, затрагивающая веб-серверы под управлением MS IIS5 (Microsoft Internet Information Server 5) и, затем, пользовательские компьютеры, посетившие зараженные веб-серверы при помощи Internet Explorer.
Злоумышленники, предположительно, используют весьма нестандартный механизм заражения пользовательских компьютеров.
Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a (процедуры её обнаружения и удаления добавлены в базы данных Антивируса Касперского в ночь с 24 на 25 июня). Проникновение на IIS5-сервер, судя по всему, осуществляется через одну из старых или же неизвестную новую уязвимость.
Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере посредством браузера MS Internet Explorer, установленный на веб-сервере «троянец» перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну до сегодняшнего дня неизвестную уязвимость, но уже в браузере Internet Explorer.
Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Эксперты по информационной безопасности предполагают, что за новой эпидемией стоят спамеры, пытающиеся таким образом установить программы для рассылки спама на как можно большее число пользовательских компьютеров.
«Лаборатория Касперского» рекомендует пользователям интернета временно воздержаться от просмотра веб-страниц при помощи браузера Internet Explorer. По имеющейся на данный момент информации, другие широко распространенные веб-браузеры (Mozilla и Opera) не подвержены этой уязвимости. Также, в целях профилактики, можно временно отключить исполнение JavaScript в настройках Internet Explorer.
«Лаборатория Касперского» обращает особое внимание пользователей на то, что потенциально опасным может оказаться любой, даже уважаемый или хорошо им знакомый веб-сайт.
С более подробной информацией можно ознакомиться по следующим ссылкам:
* Internet Storm Center #1
* Internet Storm Center #2
Кроме того, на сайте Microsoft создана специальная страница, посвященная этому инциденту.
Данил Гридасов
Источник:
Информационный портал - Cnews.ru
Информационный сайт - Internet Storm Center
Информационный сайт - US-CERT
Информационный портал - Компьюлента
Разработчик антивирусного ПО - Лаборатория Касперского
Информационный портал - Лента.Ру
