2010.01.20 水曜日
[ATTENTION]
Security Advisory 979352 – Going out of Band
We will provide the specific timing of the release tomorrow.
*clap* *clap* *clap*
致命的な障害をほぼ1ヶ月放置した某泥の会社にも見習って欲しいですね
Based on our comprehensive monitoring of the threat landscape we continue to see very limited, and in some cases, targeted attacks. To date, the only successful attacks that we are aware of have been against Internet Explorer 6.
これもまた、実際のトコでしょう。広範に出回っているDrive by download(ガンブラー™ ©Symantec)に悪用されている形跡もいまのところなく、スピア型攻撃としては非常にタイトな印象を受けます。
MS to issue emergency patch for potent IE vuln
Microsoft confirms plan to release out-of-band IE update
----------
二十日正月
玉の輿の日
1905年のこの日、アメリカの実業家J・P・モルガンの甥のジョージ・モルガンが祇園の芸妓・
お雪と結婚した。お雪は「日本のシンデレラ」と呼ばれたが、その人生は平坦なものではなかった。
海外団体旅行の日
1965(昭和40)年、日本航空が海外団体旅行「
ジャルパック」を発売し、
海外団体旅行がブームとなった。
----------
さて・・ソバの出前は出たわけですが・・
インジェクション
Additional information about DEP and the Internet Explorer 0day vulnerability
このDEPというキーワードが非常にわかりにくく、一般の人に 「DEP ONにしてね」といっても「??」で終わってしまうでしょう。
特にハードウェアNX(ハードDEP)を持たないプロセッサでいくらソフトウェアDEPをONにしたところで、効果は薄く、今回のような heap spray攻撃にはあまり役に立たないと考えられています。
古いPCを古いOSで古いブラウザのまま使用している環境が危険なのは今に始まったことではないわけで・・・
車検ではありませんが、古いPC/OSを使い続けるリスクをどこかが(IPA?)説かない限り、こうしたインシデントが繰り返されるでしょう。また、古い端末を「(WAN外部に)接続させないから安全」とタカをくくっていると、Conficker wormに内側から侵蝕された惨劇の記憶はまだ風化していないはずです。
結論
だから Windows7 を安くしてね(ちょっと違)
オフィス用途で Web Browserと Officeだけ動けばいいのでしたら、 Linux + OpenOffice 環境も視野にいれてみてはいかがでしょうか?(難しいカナ、やっぱり)
参考(技術検証)
New Internet Explorer 0-day Vulnerability and Targeted Attacks
The Trojan.Hydraq Incident
This PDF installed a Trojan horse which was an earlier version of the current Trojan.Hydraq.
IE Zero-Dayがメインベクトルじゃなかったって?
In addition to this, we know that one of the components of this Trojan is based on the code of VNC (Virtual Network Computing, an open source remote desktop access application) and this component has the ability to stream a live feed of a desktop to a remote computer. This means the remote attacker has the ability to see in real time any user interface activity as if they were sitting right next to the user.
Google(CN)って、VNC(もどき)をインストールされて Outgoing 監視にひっかからなかったのか!?
ザルですか? そうですか
An Insight into the Aurora Communication Protocol
As you can see this attack involved very advanced methods with several pieces of malware working in concert to give the attackers full control of the infected system, at the same time it attempts to disguise itself as a common connection to a secure website. This way the attackers were able to covertly gather all the information they wanted without being discovered.
バックドアってレベルじゃないんですが・・(苦笑)
なんか、聞けば聞くほど、ほんとにコレが Google を含む30数社のセキュリティ・ポリシーを潜り抜けて発生したという事態そのものが信じられないんですけど・・・
ねぇ・・
Googleを狙った中国のサイバー攻撃、内部に協力者の可能性も
----------
DEPは有効になったけど・・?
Microsoft Internet Explorer Use-after-free Code Execution Exploit (MS 979352)
えと・・DEP回避されたらイミナイじゃないですか!?
Vupenは登録しないとPoC配布されないので、なんとも・・
Hole in Internet Explorer: Good news and bad news
Microsoft readies emergency IE patch to counter public exploits
1:45 PM Jan 18th -- dinodaizovi
And now my Aurora exploit works on IE7 on Vista as well as IE6, IE7 on XP. Remember kids, DEP is useless if the app doesn't opt in.
The IE saga continues, out-of-cycle patch coming soon
SANSの解析を待ちますか
----------
This is not a good month for Microsoft
追い討ちをかけるように
Priviledge escalation exploit
In a posting to a public mailing list, Tavis Ormandy disclosed a zero day privilege escalation vulnerability in the Windows kernel. All versions of Windows, starting with Windows NS 3.1 up to including Windows 7, are affected.
権限昇格系の問題ですね。
The vulnerability affects support for 16 bit applications. In most cases, it is safe to turn off support for 16 bit applications.
16bitアプリっていまどき何かありますっけ?(苦笑)
回避策:
XP Professionalでの グループ・ポリシーエディタによる 16ビットアプリ実行を防止する方法:
Windows XP Policy Demonstration
This is not a good month for Microsoft.
1/13頃までは、実に優雅な1月(のようなふり)でしたよ?
2010年1月13日のセキュリティ情報 (月例)
----------
いまごろ
ガンブラー™(© Symantec) の登場によってワケワカメになってる最近のDrive by Download 事情ですが、
Inside Gumblar: Looking for the trigger
こっちは Gumblar.x(© Kaspersky)の解析結果です。
Gumblar.xのほうは、C&CとInjectorが完全に停止しているので、壊れたスプリンクラーよろしく制御不能になって感染コードを撒き散らしている一部のInfectorを除けば、脅威度は低下しています。
そういえば、さまれぼのExcomp様より、妙な感染サイトの情報を頂いたのですが、これまできちんと「掃除」されていた感染コードが積み重なって延々と記述されている .js の存在が確認できました。これは「感染コードを書き込む」Injectorと、「古い感染コードを掃除する」Infector(Scavenger)が連動して機能していた証拠でもあります(Kasperskyの解析にもありましたネ)
一方、noooo_spam様の解析で、
ウェブ改ざんとsdra64.exe
多重感染させられているサイトに埋め込まれている別インジェクションの最終埋め込み先が、なんとなくZeuS系っぽい感じですね。
検体入手してないので断言は避けますが、直近の感染報告にはコレがありました。
Troj/Zbot-LK
steggba・com AS29182(ISPSYSTEM)
mangasit・com AS49544(INTERACTIVE3D)
あたりと同じなのかな~
今日のMDLに恐ろしい数が登録されています
search = iframe
いずれにせよ、ZeuS系のFast-Fluxコントローラは追うだけムダなのでやめました(苦笑)
----------
なんとなく怪しげな穴
Microsoft Windows Defender ActiveX Heap Overflow PoC
#tested on :[windows 7]
Verified no
Foxit Reader v3.1.4.1125 ActiveX Heap Overflow PoC
#tested on :[windows 7]
Verified no
OpenOffice ".slk" File Parsing Null Pointer Vulnerability
#Tested Vulnerable Versions:3.1.1 and 3.1.0
Verified YES
出所不明の怪しげな .slk ファイルに注意しましょう。
----------
ん?
ガンブラーから考える「一歩踏み込んだ」業務委託先のセキュリティ確保
しかし、今回のガンブラーはコンテンツ作成会社からウイルスをアップロードしてくるのです。これでは信用している人に裏切られたようなものです。
いつのまにか、ビヘイビアが変貌してるきがす・・・
感染源となってるのは、普段Macしか使ってないようなWeb制作会社が BootCampあたりにノーガードでXPを動かしてるケースが多々あるのではないか?と推測してるんですけどね~
----------
8080
217.23.5.27 AS49981(WORLDSTREAM)
Netherlands
85.184.10.80 AS8954(INTOUCH)
Netherlands
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.211.226 AS16276(OVH Paris)
WORLDSTREAMとINTOUCHが初参戦。
INTOUCH(AS8954)は身奇麗()なのですけどね・・
----------
Google Safe Browsing
| 1263931216 | B | [goog-black-hash 1.49171 update]
| 1263931203 | M | [goog-malware-hash 1.18754 update]
| 297923 | -1065(298988) 順調に漸減してってますが・・
| 1261793 |
EoF