Ivan Buetler - Exploits category

SSL / TLS Renegotiation Attack - Movie

Mon, 23 Nov 2009 16:28:00 GMT

I played around with the ssl / tls renegotiation exploit on the Hacking-Lab ssl protected page. Watch the video to understand the vulnerability.

http://www.hacking-lab.com/movies/5044/

Attacker starts "proof" attacker proxy
The proof attacker proxy injects /user/profile/E1 (my hacking-lab profile)
The browser points to "/"
The MITM proxy injects the malicous /user/profile/E1

Hope this helps to make the vulnerability more understandable

Greetz
Ivan

STRATO Provider Deutschland überfordert

Fri, 06 Nov 2009 08:18:00 GMT

Java Script Malware
In der Zeit vom 20-26. Oktober 2009 wurde die Webseite einer Schweizer Firma gehackt und jeweils folgende <SCRIPT SRC=...> Anweisung in die Webseite hinterlegt: http://dobrodeya.com/cgi-bin/Archiv.php

Same Origin Bypass
Die Anweisung <SCRIPT SRC=...> bedeutet, dass die JavaScripts von obiger URL im gleichen Context wie die Webseite der Schweizer Firma ausgeführt wird und ist der Bypass für die Same Origin Policy. Der Host "dobrodeya.com" wird vom deutschen Provider STRATO gehostet. Die Malware hat Sicherheitslücken in den
Browsern ausgenützt und Trojaner im Browser installiert. Eine ziemlich gefährliche Sache also....wie hat die Zusammenarbeit mit STRATO funktioniert? Was macht die Malware? Lesen Sie weiter als PDF unter http://www.hacking-lab.com/download/

Grüsse
E1

Using NMAP results in the Metasploit Framework with Automcatic Exploitation db_autopwn

Tue, 08 Sep 2009 08:07:00 GMT

Dear Blog Reader,

I wrote a small tutorial in how to re-use NMAP XML results in the Metasploit framework and how Metasploit is attached to a MySQL database instance. After that, one can start db_autopwn for automatically discover and exploit identified vulnerabilities.

The db_autopwn command is where the exploitation magic happens. This command will scan through the database tables and create a list of modules that match up to specific vulnerabilities. This matching process can happen in two different ways. The first method involves analyzing the list of vulnerability references for every exploit and matching them up with the references in every imported vulnerability record. This cross-referencing method is fairly accurate and depends on standard identifiers, such as OSVDB, Bugtraq, and CVE to match exploits with their targets. The second method uses the default port associated with each exploit module to locate targets running the same service. While this will work in most cases, it can cause a fair amount of collateral damage and is likely to miss vulnerable services running on non-default ports.

http://www.hacking-lab.com/download/

Hope this reading is of interest.

Kind regards

E1

Reference Metasploit: Link

Evilgrade - Trojaner beim Updaten von Software

Tue, 05 May 2009 05:31:00 GMT

An der letzten BlackHat 2008 in Las Vegas hat ein Vertreter vom deutschen BKA erläutert, dass man bei Verdacht auf Internet Kriminalität und unter Berücksichtigung der amtlichen Verfahren (Richterlicher Beschluss) die Tatverdächtigen mit einem Bundestrojener ausspioniert. Das ist die elektronische Wanze, welche über Schuld oder Unschuld entscheiden soll. Bei der Auslieferung des Trojaners wurde erklärt, dass dies über Update Services von Windows geschehe. Das BKA modifiziert das Update des Verdächtigen und installiert auf diese Weise die Überwachungssoftware.

Am Swiss Cyber Storm II haben wir ein ähnliches Wargame vorgesehen. Die von uns vorgestellte Lösung arbeitete mit ettercap und etterfilter. Damit lassen sich ebenfalls Trojaner einspielen, aber auf einer recht umständlichen Art und Weise. Ein Wargame Teilnehmer hat uns auf "evilgrade" aufmerksam gemacht (Evil Upgrade), das sich speziell auf die Installation von Malware via Update Services fokussiert. Das Tool hat diverse fix-fertige Plugins, z.B. für Java Updates und kann von jedermann(frau) einfach bedient werden. Natürlich setzt evilgrade wie auch alle anderen Verfahren voraus, dass sich der Angreifer als Man-in-the-Middle in den Verkehr einbinden kann.

Die Hersteller von evilgrade haben einen Demo Video für den Einsatz von evilgrade erstellt. Im Film wird zuerst eine Kaminsky DNS Attacke durchgeführt (um die Voraussetzungen für die MitM Attacke zu schaffen) und anschliessend via evilgrade ein Angriff über JavaUpdates gemacht.

Gruss Ivan

Firefox Zero Day Exploit

Wed, 01 Apr 2009 11:16:00 GMT

Firefox gibt es ab heute in der Version 3.0.8. Am CanSecWest Pwn2Own Wettbewerb hat ein junger Informatiker mit dem Namen "Nils" die Zero-Day Sicherheitslücke in XUL für das Gewinnen des Wettbewerb benützt.

Interessanterweise gibt es den Exploit bereits im Internet.

http://www.mozilla.org/security/announce/2009/mfsa2009-13.html

Exploit Code von PacketstormSecurity

http://packetstormsecurity.org/0903-exploits/Firefox-XUL-0day-PoC.rar

Hmmmm..... ich frage mich warum der Exploit bereits im Umlauf ist? Sicherlich sind noch viele ältere FF im Einsatz.

E1

Wie kann man aus einer Solaris10 Zone ausbrechen?

Wed, 03 Sep 2008 08:37:00 GMT

Solaris Vulnerability - Patchen notwendig.

The kernel in Sun Solaris 8 through 10 and OpenSolaris before snv_90 allows local users to bypass chroot, zones, and the Solaris Trusted Extensions multi-level security policy, and establish a covert communication channel, via unspecified vectors involving system calls.

http://sunsolve.sun.com/search/document.do?assetkey=1-26-240706-1

Verseuchung über Fake Anti-Viren Tools

Tue, 08 Jul 2008 08:07:00 GMT

Die Idee ist alt: Man lenkt ein Opfer auf eine Malware Site, gaukelt ihm vor dass sein System keine Anti-Viren Check Software hat und bietet die eigene Anti-Viren Software gratis zum Download an.

In Tat und Wahrheit macht aber das heruntergeladene Tool genau das Gegenteil. Es wird der lauffähige Anti-Viren Check deaktiviert und die eigene Trojaner Software installiert.

Damit lassen sich sehr viele, gutgläubige und in Computer Sachen ungeübte User hinters Licht führen.

Ein Beispiel einer solchen Attacke mit Bildern und guter Erläuterung findet man im Blog von Sophos.

Empfehlung Compass: Bitte kein Download via Pop-Up Windows installieren, sondern nach gründlicher Prüfung der Quelle über die Webseite der Hersteller.

XPath Injection

Thu, 19 Jun 2008 06:03:00 GMT

Sicherlich kennen Sie SQL Injection? Damit versucht der Hacker von Aussen die SQL Statements in einer Applikation zu verändern. So kann man die Datenbank Abfragen verändern und damit fremde Daten lesen, Einloggen ohne Passwort oder ähnliches. Der beste Schutz gegen SQL Injection ist ja bekanntlich "Secure Programming". In einer Java Anwendung ist damit "Prepared Statements" gemeint.
Wussten Sie, dass es in der XML-Welt eine ähnliche Technologie gibt wie SQL? Nur heisst es hier XPath!!! Auch hier wird aufgrund einer XML Anfrage eine Art XML Query erstellt. Was bei SQL Injection geht - kann auch bei XML Injection funktionieren?

Compass macht schon länger auf diesen Sachverhalt in der Kursumgebung aufmerksam. Ein Ausschnitt der XPath_Injection.pdf Schulungsunterlagen seien hier für die Erläuterung von XPath Injection abgegeben. Wir freuen uns natürlich, wenn Sie den Hands-on Lab Kurs bei Compass besuchen für das vollständige Bild!

Ich habe mich entschlossen über XPath zu schreiben, weil ich beim Lesen von http://www.0x000000.com/?i=597 wiedermal darauf aufmerksam gemacht wurde, dass sich hier noch einiges entwickeln wird.

Viel Spass beim Lesen des PDF und der Erweiterungen von http://www.0x000000.com/?i=597.

Virus verschlüsselt Files

Thu, 12 Jun 2008 12:07:00 GMT

Rund 2 Jahre nach der ersten Veröffentlichung des Verschlüsselungs Virus Gpcode gibt es eine neue Variante - sagt Kaspersky. Der Virus verschlüsselt Word, Excel und andere Dokumente auf der Harddisk mit einem 1024 Byte langen Public Key. Den für die Entschlüsselung notwendigen Private Key kennt lediglich der Viren Autor. Ein verschlüsseltes File hat die Endung ._CRYPT. Das Opfer kann gegen Geld einen Decryptor kaufen. Die Mailadresse wo man sich melden soll ist in einem plain-text Readme File angegeben.

Siehe Full Story auf viruslist.com

Windows XP SP3 enthält vulnerable Flash Player

Thu, 05 Jun 2008 05:38:00 GMT

Windows XP SP3 enthält den Flash Player 9.0.115.0, der seit Dezember 2007 von Adobe Systems zum Download bereit steht. Die Version 9.0.115.0 wurde jedoch per 8. April 2008 durch die neuere Version 9.0.124.0 ersetzt, da es diverse Security Schwachstellen auf der 9.0.115.0 Version gibt. Das bedeutet, dass durch die Installation des XP SP3 Update eine ältere Adobe Flash Version installiert wird, und man damit ein bereits aktualisiertes Windows wieder verwundbar macht.

Adobe hat eine Test Seite wo jeder prüfen kann, welche Version von Flash installiert ist.

Microsoft hat sein Advisory aktualisiert, wo der Sachverhalt mit dem Update einer verwundbaren Flash Version erläutert ist.

WebSense macht in seinem Advisory "Mass exploitation with Adobe Flash - Date: 05.29.2008" darauf aufmerksam, dass die ältere Flash Version im Moment für Massen-Infections über malicious Webseiten benützt wird.

Compass empfiehlt dringend den Update auf die latest Flash Version.