RootSecurity Deseja Boas Festas

Olá pessoal, a partir da próxima semana estarei refugiado em um ambiente campestre eheh ou seja, totalmente desprovido de aparatos tecnologicos, exceto meu iPhone ( que provavelmente ficara sem sinal 99% do tempo).

Sendo assim estou fazendo este post para desejar a todos os amigos um Feliz Natal repleto de amor, alegria e que todos possam festejar com seus entes queridos e amigos assim como um Feliz Ano Novo com muitas coisas boas, prosperidade, muito dinheiro no bolso e saúde.

São os votos sinceros para todos os visitantes, amigos e colaboradores deste blog.

Advertisements

MS Internet Explorer XML Parsing Overflow

À alguns dias foram divulgados diversos exploits para o Internet Explorer. Certamente estes exploits ja estavam circulando pela internet a muito tempo porém, só agora oficialmente.  A falha é muito grave e atinge tanto Windows XP quanto Vista. A falha não foi corrigida pela Microsoft, fiz varios testes aqui em VMs com Vista e XP fully Upgraded e o exploit continuou a ter efeito.

A falha consiste em um Buffer Overflow no tratamento de XML pelo browser onde podemos injetar qualquer código arbitrário. O exploit lançado como PoC pelo pessoal no Milw0rm e no site do Mut’s abre o calc.exe porém o shellcode pode facilmente ser modificado utilizando a vasta linha de Payloads oferecidos pelo MetaSploit Framework.

O exploit pode ser baixado em http://milw0rm.com/exploits/7403

No blog do Mut’s você pode baixar um package com o shellcode especialmente para o Vista

http://www.offensive-security.com/0day/iesploit-vista.rar

Abaixo seguem imagens mostrando a exploração bem sucedida de um Internet Explorer no Windows Vista.

Recomendo a todos que tenham muito cuidado ao utilizar o Internet Explorer porque sites com o exploit podem ser facilmente alocados em um HTML e a execução acaba sendo transparente para o usuários pois … basicamente não necessita de nenhuma interação para que seja bem sucedida. Estão ocorrendo diversos incidentes de segurança especialmente em sites de conteúdo pornografico.

Então … vamos usar Firefox + Sandboxie :)

Abraços a todos.

Paper: Locating Stateless Firewalls

Neste texto, escrito pelo pessoal do sock-raw,  temos algumas metodologias para exploitação de falhas de configuração em Firewalls Stateless, assim como formas de analisar se um firewall é Stateless ou Statefull.  O texto também trata como algumas ambiguidades na RFC  causam diversas vulnerabilidades que podem ser utilizadas de diversas maneiras, tanto facilitando na intrusão, quanto na extrusão de dados.

Link:  http://sock-raw.homeunix.org/papers/firewalls

Boa leitura.

M.A.P.: Malware Analysis Project

Olá pessoal. Neste post estou iniciando um novo projeto e espero poder contar com a ajuda de todos os que participam e visitam este blog. Como todos sabem hoje um dos maiores problemas na internet é a disseminação de Malwares, (spywares, backdoors, keyloggers e afins). É muito comum recebermos e-mails constatemente com links suspeitos, e muitas vezes usuários não “conscientizados” como dizem alguns colegas “especialistas” em segurança, executam estes programas, expondo-se a grande risco de fraudes, roubo de informações entre outros.

Peço a todos que me enviem por email, links que vocês conhecerem que estão fazendo Spread de malwares, assim como também arquivos que vocês tenham e que não encontraram nenhuma análise sobre os mesmos.

A idéia e gerar uma base de analise de malwares mostrando efetivamente todos os riscos envolvidos em seu binário, desde execuções, chamadas de sistemas, o que eles acessam e tudo mais que possa ajudar a remover os mesmos de forma mais eficiente assim como criar assinaturas de antivirus mais eficiente e tambem regras de IDS.

Mandem as amostrar para y2h4ck@rootsecurity.com.br. Caso seja arquivo favor compactar com .rar com senha de preferencia e me encaminhe a senha no corpo da mensagem. Ou então o link.

Aguardo que todos colaborem. Estarei publicando na semana que vem uma análise do primeiro malware, um keylogger utilizado por bandidos para efetuar captura de dados bancários.

Forte abraço.

Good Hacking 4 All.

Courion, Qualys, Symantec and Tenable – Policy Compliance

Hello WhiteHatWorld.com Supporter,

Mike Kachmar invites you to attend a Web seminar using WebEx. This event requires registration.

Topic: Courion, Qualys, Symantec and Tenable – Policy Compliance Thought Leadership Roundtable Webcast
Host: Mike Kachmar
Date and Time:
December 3, 2008 2:00 pm, Eastern Standard Time (GMT -05:00, New York)

——————————————————-
To register for the online event
——————————————————-
1. Go to https://whitehatworldevents.webex.com/whitehatworldevents/onstage/g.php?d=666924983&t=a&EA=anderson%40rootsecurity.com.br&ET=b005094deca03bfcf7663cdbdfbe23c5&ETR=ede8fad59398fa71a7dfece43891d55a
2. Click “Register”.
3. On the registration form, enter your information and then click “Submit”.

Once the host approves your registration, you will receive a confirmation email message with instructions on how to join the event.

——————————————————-
For assistance or to unsubscribe
——————————————————-
You can contact Mike Kachmar at:
mkachmar@whitehatworld.com

Please allow up to 72 hours for any unsubscribe requests to be implemented.

Book of Month: December

Open Source Fuzzing Tools
Author: Noam Rathaus, Gadi Evron
Publisher: Syngress
Year: 2007
Pages: 448
Amazon’s book description: Open Source Fuzzing Tools is the first book to market that covers the subject of black box testing using fuzzing techniques. Fuzzing has been around fow a while, but is making a transition from hacker home-grown tool to commercial-grade quality assurance product. Using fuzzing, developers can find and eliminate buffer overflows and other software vulnerabilities during the development process and before release.