Grave vulnerabilità nel protocollo SMB v2

Laurent Gaffié ha pubblicato nel suo blog la notizia di una grave falla nel protocollo SMBv2 implementato su Windows Vista e Windows Server 2008, con annesso proof of concept sotto forma di script python.

A causare problema è il driver srv2.sys che produce BSOD e riavvio quando il campo “Process Id High” nell’header della richiesta SMB contiene il carattere “&”, morendo con errore PAGE_FAULT_IN_NONPAGED_AREA.

Affinché l’attacco possa essere portato a termine con successo è sufficiente che la porta 445 sia accessibile sul bersaglio: non è necessaria alcuna forma di autenticazione.
L’ho provato su Vista e funziona a meraviglia.

Al momento la soluzione è disabilitare SMB v2.

http://www.microsoft.com/technet/security/advisory/975497.mspx

http://www.microsoft.com/technet/security/advisory/975497.mspx

http://blogs.technet.com/msrc/archive/2009/09/08/microsoft-security-advisory-975497-released.aspx

Kevin Mitnick, Dan Kaminsky, e molti altri…Pwned!

Giunge giusto ieri, nelle quasi 30000 righe di zf05 la notizia che grossi nomi del mondo della sicurezza “whitehat” sono stati bucati per bene, e da un bel po’ di tempo. Fra i nomi Kevin Mitnick, di cui si inizia a parlare dicendo:

…. The fact is that he cannot secure his systems because he does not know how.

Mica male eh!!
Per non parlare di Dan Kaminsky su cui si dice:

Dan Kaminsky is a noob. This guy does not know the first thing about security. His boxes were a crazy combination of half-updated shit, half-removed shit, half-installed shit, half-configured shit.

Ahhperò.. pesantino non c’è che dire..
Il buon Dan ha incassato signorilmente il colpo scrivendo su Twitter:
“Messy, but heh. Walk onto a battlefield, you might get shot.”
Fra password list e trascrizioni di chat e email, sono stati rese pubbliche un bel po’ di informazioni, sia relative al lavoro delle vittime che alla loro vita privata.
Come siano stati pwned i malcapitati non è chiaro, si rumoreggia di una vulnerabilità di WordPress (oh oh che tocchi anche a questo blog… mah e chi lo legge :) o una di ssh di cui girano voci da qualche tempo, anche in seguito alle scorribande di Antisec.
Aspettiamo news dopo Blackhat..

Keykeriki; uno sniffer per tastiere wireless

Ve ne avevo già parlato qui, e alla fine è arrivato..
Max Moser di Remote-exploit ha annunciato che finalmente Keykeriki, il primo sniffer per tastiere wireless è pronto.
La parte hardware è basata su un chip Texas Instruments TRF7900, un microcontroller ATMEL ATMEGA e una interfaccia per schede SD per loggare i dati. Viene alimentato a 5V, quindi potenzialmente via USB.
E non solo, sono in arrivo altre chicche, quali una interfaccia LCD, una per iPhone..
Presto saranno disponibili i pcb a basso prezzo per chi se lo vuole costruire.

Scaricare i video da youtube, metacafe, e veoh

Questi siti offorno video in streaming, ma è piuttosto semplice scaricarli e vederli con calma sul proprio pc.
Per scaricare video da youtube, ecco qui la soluzione fornita da Ricardo Maria Gonzales, che fornisce script per scaricarli anche da metacafe, e, se proprio vi interessa, anche da pornotube.
Basta avere installato un interprete python e lanciare il comando:
python youtube-dl “http://www.youtube.com/watch?v=codice_del_video”
Il video sarà salvato in formato flash video (flv).

Per veoh la soluzione richiede sempre python, e si trova qui. In questo caso il video di solito è in divx.

Buon divertimento

Windows Xp service pack 3: manca la barra degli indirizzi

Nel service pack 3 manca la possibilità di inserire la barra degli indirizzi nel menu di Windows.
Per reinserirla basta copiare il file browseui.dll, proveniente da un pc privo di sp3, nella cartella di sistema %SystemRoot%\system32 dopo avere riavviato il pc in prompt dei comandi in modalità provvisoria (premendo F8 al boot).
PS non scaricatela da fonti sconosciute, fatevela passare da un amico!

Wireless auditing, ovvero come controllare gli access point che ci sono in giro

Wicrawl è un interessante progetto di Midnight Research Labs, che consiste in un Access Point auditor (802.11x) con una architettura modulare basata su plugin.
I plugin permettono di raccogliere informazioni utili su un access point, e permette di automatizzare la scansione degli stessi e l’esecuzione di varie operazioni sugli stessi, interfaciandosi con altri software.
Fra le plugin che sicuramente faranno drizzare le orecchie a qualcuno ad esempio: aircrack-wep-cracking, cowpatty-wpa-psk-bruteforce, nmap_plugin, aircrack-ptw… i nomi sono piuttosto esplicativi..

Password cracking: le rainbow tables

Le password di accesso ad un servizio, di solito (!) non vengono memorizzate in chiaro, per ovvi motivi di sicurezza. Ne viene archiviata la versione “trasformata” secondo un algoritmo, (hash) preferibilmente one way. All’atto dell’autenticazione la password inserita verrà trasformata secondo lo stesso algoritmo di hashing e confrontata con la versione archiviata: se sono uguali viene concessa l’autorizzazione.
Detto in soldoni:)

Come si fa a crackare una password?
Con lo stesso procedimento. Si genera l’hash e lo si controlla al volo. Lo si può fare basandosi su un dizionario che comprenda i termini più comuni, o per brute force, ovvero generando parole da combinazioni di caratteri scelti a discrezione.
Ridetto in soldoni.

E non è un problema solo da ragazzino idiota che gioca a fare il cracker, anche a chi si occupa di sicurezza è necessario un sistema di auditing delle password efficiente!

Il problema è che nel generare la possibile password e confrontarla, il tempo macchina, specialmente per password lunghe e/o complesse è spesso misurabile sulla vita di una sequoia.. Come ovviare al problema?
Perchè cifrare ogni volta tutte le possibili combinazioni fino a ricavare l’hash corrispondente alla password cercata?
Se avessi anzitempo criptato e memorizzato ogni combinazione possibile, potrei molto più velocemente eseguire una ricerca nel mio archivio e trovare l’hash corrispondente, risparmiando notevole tempo; infatti il maggior spreco di cpu è proprio nella codifica ripetuta delle password, non nel confronto.
Però un archivio tale da contenere tutti gli hash frutto delle combinazioni alfanumeriche di password sufficentemente lunghe supererebbe le decine di terabyte…

Ecco intervenire le Rainbow Tables, nate da Philippe Oechslin, un esperto in sicurezza, che ha ideato un procedimento per ridurre un archivio di hash in una tabella molto più piccola.
Ecco, bene, ma adesso che lo so che faccio? Comunque per generarmi le Rainbow Tables necessito di un elaboratore superpotente…
Ma nooo! C’è ovviamente qualcuno che lo ha fatto già per te!
Distributed rainbow tables project: Md5, LM, NTLM hashes
Shmoo group: LM hashes (torrent)
Hak5: LM hashes (torrent)

Vulnerabilità nel sistema di update di OS X

Il meccanismo di update di OS X usa i cosiddetti `distribution packages’, che consistono sostanzialmente di due parti: un file xml (catalog file) che elenca gli updates disponibili e dei files di configurazione (distribution definition files) che contengono tutte le informazioni relative alle modalità di aggiornamento.

Quando OS X controlla la presenza di nuovi aggiornamenti, per prima cosa contatta swscan.apple.com per ricevere il catalog file, che contiene collegamenti ai distribution definition files, che possono risiedere anche in altri server.

Sia il catalog file che i distribution definition files vengono ricevuti via http, senza alcuna forma di autenticazione e, di conseguenza, un server di update fasullo potrebbe agire da MITM installando software o eseguendo comandi sulla macchina che lo contatta.
Per maggiori dettagli, vedete qui.

La vulnerabilità  è stata corretta dall’Apple update APPLE-SA-2007-12-17, aggiornatevi!

La fine dei captcha?

Non sembra.. però..
Un interessante articolo di Coding Horror spiega un volta in più come la differenza non la faccia la tecnologia, ma l’uso che se ne fa.
Il fatto che siano in vendita software in grado di oltrepassare la barriera dei captcha non significa che la tecnologia sia superata, quanto che alcune implementazioni siano davvero pessime. Avete presente quelle cose illeggibili, peggio di quei test per la vista con i numeri? Bè non servono a granchè e sembrano facilmente superabili. Tutt’altro invece per i sistemi usati da Google e Yahoo, chiaramente leggibili e quasi impossibili da superare.

Come ti sniffo la tastiera wireless

Le tastiere wireless trasmettono sulla banda dei 27Mhz, e udite udite, la trasmissione non sembra essere cifrata, se non con un semplice XOR per carattere, che nemmeno viene cambiato in automatico o in modo random. Si tratta quindi di crackare i 256 valori possibili per la tastiera et voilà..

Ne parla Dreamlab Technologies in questo interessante whitepaper.
Un proof of concept in questo video.

P.S. Le tastiere provate sono Microsoft :mrgreen: