Microsoft verbaast zich over de berichten over een 'GodMode'-functie die gebruikers van Windows 7 en Vista in staat stelt alle instelmogelijkheden van het OS via een enkele map te benaderen. Een medewerker doet de 'ontdekking' af als goofy trick.
god_mode

 

 

 

 

 

 

 

 

 

 

 

 



De afgelopen dagen verschenen er veel berichten op het internet over wat de 'GodMode'-functie is gaan heten. Om deze 'verborgen' functie te kunnen benaderen moet een gebruiker van Windows 7 of Windows Vista een nieuwe map aanmaken en deze GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} noemen. Klikt hij op het configuratie-logo dat deze map hierdoor krijgt, dan ziet de gebruiker een lange lijst met een groot aantal instellingen van het OS. Bloggers zijn enthousiast dat ze op deze manier alle instellingen op een rijtje voorgeschoteld krijgen, maar Microsoft-blogger Brandon Paddock, die overigens aan zoekfunctionaliteit van Windows werkt, spreekt van een goofy trick en noemt de berichten completely silly.

"Ten eerste is de tekst 'GodMode' niet nodig om de truc te laten werken. Je kunt de folder 'iLikePuppies' noemen en dan heb je de verborgen magische 'iLikePuppies'-map in Windows ontdekt" schrijft Paddock op zijn blog. Hij wijst erop dat elke map van het bestandssysteem een eigen naam gegeven kan worden en zo benaderd kan worden door een mapnaam te laten volgen door de class identifier of CLSID. Deze functionaliteit is uitsluitend ingebouwd voor ontwikkelaars en de 'ontdekking' waar nu over bericht wordt, is niets anders dan de all tasks-systeemmap.

"Dit is een speciale shell-map die als bron voor configuratiescherm-zoekresultaten in het Start-menu gebruikt wordt. De map is niet ontworpen om direct te benaderen, aangezien de normale configuratiemap alle zelfde items bevat, maar met een eigen uiterlijk dat ontworpen is voor eenvoudiger navigatie", schrijft Paddock.

Update, woensdag 10.00: Gebruikers van de 64-bit-versie van Vista melden problemen als ze de 'truc' toepassen. Zo zou explorer.exe vastlopen. Deze gebruikers wordt aangeraden de functie niet toe te passen.

bron: tweakers.net

Ontwikkelaars hebben een live-cd op basis van Linux-kernel 2.6.29 uitgebracht waarmee Googles mobiele Android 1.6-besturingssysteem opgestart kan worden op een x86-systeem. Op sommige systemen zou ook de touchscreen-functie werken.

Developers van het Android-x86-project brachten enkele maanden geleden een patch uit waardoor het mogelijk werd om Googles mobiele besturingssysteem, gebaseerd op ARM-code, ook op x86-machines te draaien. Inmiddels hebben de ontwikkelaars kans gezien om de Android-code zo aan te passen dat het systeem ook vanaf een live-cd geboot kan worden.

Momenteel is Android 1.6, ook bekend onder de codenaam Donut, beschikbaar als boot-cd in combinatie met Linux-kernel 2.6.29. Android-x86 zou al met succes getest zijn op vrijwel alle Eee PC's van Asus. Bij een aantal modellen, zoals de Eee PC T91, zou zelfs de touchscreen-functionaliteit werken. Ook de Lenovo ThinkPad x61 Tablet zou met Android-x86 overweg kunnen. Bovendien zouden, op de T91 en de Eee Top na, alle systemen in hun native resoluties draaien. Verder kan er van wifi en ethernet gebruik gemaakt worden.

De ontwikkelaars willen op termijn ondersteuning voor multitouch-touchpads, 3g en gps aan Android-x86 gaan toevoegen. De 198MB zware boot-cd kan onder andere bij Softpedia worden opgehaald.

and6  and3 and4 and5
bron: tweakers.net

Microsoft Research heeft een bètaversie van Kodu voor de pc uitgebracht. Kodu is een programma waarmee kinderen zelf spellen kunnen maken. Het maakt gebruik van visuele elementen om een interactieve spelwereld te creëren.

Kodu kwam voor het eerst uit op 30 juni 2009 voor de Xbox 360, en is opgetrokken rond Microsofts cross-platform XNA-framework. Met een systeem van iconen en kleuren is het mogelijk om karakters en objecten in het spel op elkaar te laten reageren, waarmee de gebruiker betrekkelijk eenvoudig zelf een spel kan maken. Microsoft hoopt dat de Windows-versie voor scholen aantrekkelijker te gebruiken is, omdat er geen spelcomputer met accessoires aangeschaft hoeft te worden.

Kodu-ontwikkelaar Matthew MacLaurin kwam op het idee om het spel te gaan maken toen hij zag hoe zijn driejarige dochter toekeek terwijl zijn vrouw Facebook gebruikte. Hij vergeleek die ervaring met zijn eerste computergebruik. "Mensen van mijn generatie raakten bekend met computers door met programmeren iets uit niets te maken", aldus MacLaurin. Hij hoopt dat Kodu de huidige generatie kinderen opnieuw kennis kan laten maken met die 'magie'.

Volgens Microsoft is Kodu tot nu toe een bescheiden succes geweest. De softwaregigant zegt dat de Xbox 360-versie 200.000 keer is gedownload en er zijn wereldwijd zestig onderwijsinstellingen die Kodu gebruiken om kinderen met programmeren te laten kennismaken. Volgens een ouder die met Kodu-lessen op een basisschool in de Verenigde Staten helpt, zijn de kinderen positief verrast over de mogelijkheden van het 'spelbouwspel'.

De technical preview van Kodu voor Windows is te downloaden van de website van de spelmaker. Microsoft heeft geen systeemeisen opgegeven; het Redmondse bedrijf heeft als doelstelling Kodu op zoveel mogelijk systemen te laten draaien. Ook is nog onbekend wanneer de uiteindelijke versie uitkomt en hoe duur deze zal zijn. De volledige Xbox 360-versie kost 400 Microsoft Points, omgerekend 4,80 euro.

bron: tweaker.net

You can remotely shut down your computer from anywhere in the world using any cell phone with texting capabilities and Mozilla Thunderbird, a Mac, or Microsoft Outlook. It’s pretty simple to accomplish and the video above guides you through the step by step setup process.

Last summer we detailed how to crack a Wi-Fi network's WEP password using BackTrack. Now video blog Tinkernut revisits the subject with a great video step-by-step of the process.

Before you go calling the cops or putting on your bank robber mask, a helpful reminder from our original post:

Knowledge is power, but power doesn't mean you should be a jerk, or do anything illegal. Knowing how to pick a lock doesn't make you a thief. Consider this post educational, or a proof-of-concept intellectual exercise.

BackTrack has also updated to version 4 since we last featured it, but the process appears to have remained basically the same. The interesting thing about BackTrack is how easy it is to crack a WEP-encrypted network, which serves as a very good reminder to use WPA encryption to significantly boost your home network security.

How To Hack Wireless [Tinkernut]
source: lifehacker.com

By now, pretty much everyone has heard that it is easy to hack into WEP protected networks.   As we have seen in our Cracking WEP article, it is terribly easy.   (There have been advances in cracking WEP since that article was published, it is even easier now) Yeah, WiFi is inherently insecure, but we need it... Right?  Well if you ask your local security guy how you can protect your home WiFi network, surely they will come back and say: "WPA or WPA2 cannot be cracked, use it".  They are wrong.

By simply installing a patch to your existing hardware, WPA came in as the "Saving Grace" for wireless networking.  It corrected almost every security problem either created or ignored by WEP. However, WPA was not perfect.  The method in which WPA initializes its encryption scheme is subject to capture and offline brute force attacks. Consequently, it's actually easier to crack WPA which uses a weak password than it is to crack WEP. This article will walk you through the process of retreiving and cracking a WPA network key. In this guide I will skim over some of the powerful things that you can do with graphics cards.   By focusing on my personal setup, you will see it can be done with limited off the shelf equipment.

The first decision is to decide what you want your setup to be.  I personally chose to go with a setup using GeForce card with CUDA support (http://www.nvidia.com/object/cuda_learn_products.html ). You will need to check on the programs you want to use to make sure that they support the graphics card that you choose.

The setup I ultimately decided going with is an EVGA 780i motherboard that has dual SLI support (can support tri SLI).  I ended up going with two GeForce GTX260 cards to utilize the SLI capability.   I also upgraded my power supply to a Corsair 850W to power everything in my machine.

0-Setup

After building the setup, feel free to go play some games, then come back to this guide.  I mean you have work to do!

The BackTrack 4 Release is a perfect platform for you to have some fun with your new setup. For a guide on configuring Backtrack 4 with CUDA and a in depth tutorial on CUDA tools, check out this 25 page guide on it by Pureh@te on the offensive-security website.

Finally lets take a look at my favorite GPU tool Pyrit, which will allow you to run a pass-through dictionary attack against WPA encryption (http://code.google.com/p/pyrit/)  running  it through coWPatty (http://www.willhackforsushi.com/Cowpatty.html).

Using this you can take a capture file with a WPA 4-way handshake and do a pass-through to try to crack it with your dictionary using coWPatty.  Make sure you use a dictionary with words in length starting from 8 and ending in 63 letters long.  Any longer or shorter is just a waste because of the requirements of WPA passphrase's.  One thing to keep in mind is that to be able to crack the passphrase you must have the passphrase in your dictionary file.

The first step will be to put your card into monitor mode.  After that, fire up airodump.   I happen to know the router BSSID and channel so here is what I did below.

airodump-ng  -c (routers channel)  - - bssid (routers bssid) -w (cap filename) interface

 

Airodump will then load up as shown below.  You can see the router and data coming from it.   You can see a client is connected, which is important since you will need to get the 4-way handshake to crack the WPA passphrase.

2-airodump-02

Next it is time to send a de-authentication packet to the client to make it reconnect to the router allowing you to grab that 4-way handshake.

Aireplay-ng -0 (de-authentication attack) 5 (number of de-authentication packets to send) -a  (router bssid) -c (client essid) interface

 

If all goes well, you will see in your airodump window in top right corner showing you have received a  WPA handshake.  I have circled it in red below.  If you don't see this just repeat the last step and de-authenticate the client again.

4-airodump-handshake

After that I like to make sure that my graphic cards are working properly.   You can either run a benchmark or list cores in pyrit.  In the below picture I show the benchmark option

To run benchmark: pyrit benchmark

To list cores: pyrit list_cores

 

Below is the command for running pyrit in a pass-through mode through coWPatty.   The great thing about this is you can run it with your dictionary file and not mess around with making a rainbow table or anything.  If you do not have a dictionary file for WPA, you can grab one from the backtrack repository. Command is as follows for the pass-through mode.

pyrit -e (router essid) -f (path to the dictionary file) passthrough | (path to coWPatty) -d - -s (router essid) -r (name of capture file)

Note:   I had installed the latest version of coWPatty manually.  The default location you would put after the pipe (|) in backtrack would be /pentest/wireless/cowpatty/cowpatty

5-pyrit

If all goes well you well, you will start to see it go through passphrases in your dictionary file as shown below.

 

And if all goes well in the end, you will end up with a passphrase as shown below.

8-pyrit-final

It was able to run 15,479.28 passphrases per second, which is an amazing upgrade from the 300 something I was getting with my 2.0 GHz dual core processor.   This is also using the stock graphic cards that are not over-clocked.

 

Credits:

Tools used:

Backtrack - http://www.remote-exploit.org/backtrack.html

Pyrit- http://code.google.com/p/pyrit/

Cowpatty- http://www.willhackforsushi.com/Cowpatty.html

Source: I-Hacked.com

 

Botnets vormen de infrastructuur voor de meeste cybercriminaliteit op het internet, maar met de Kanarie detector is het mogelijk om de malware in een vroeg stadium te detecteren, zo meldt chipgigant Intel. De detector bestaat uit drie veelbelovende anti-botnet strategieën. De eerste strategie is de analyse van netwerkverkeer, om het echte gebruik van het netwerk te ontdekken. Deze analyse toont het verschil tussen het verkeer van gebruikers en een botnet. De tweede strategie is een "end-host" detectie algoritme dat het Command & Controle botnet kanaal kan vinden. Dit is volgens de onderzoekers van Intel te doen door een enkele waarde te berekenen; het meten hoe vaak een remote locatie wordt benaderd door een computer uit het netwerk.

Het voordeel van deze methode is dat er vooraf geen kennis van het nog te ontdekken botnet vereist is, of de inspectie van de lading die het met zich meedraagt. De detectie is op een enkel systeem uit te voeren, maar verder te verbeteren door het over een populatie van systemen te correleren en te zien waar die verbinding mee maken. De onderzoekers van Intel kijken in hun rapport ook naar de werking van botnets, het opzetten van whitelists en het testen van de setup met malware. De presentatie van het rapport is op deze pagina te vinden, of hieronder te bekijken.

bron: Security.nl

Op securityconferentie Black Hat zullen experts weer aantonen hoe makkelijk het is om software te kraken. Met name IE (Microsoft) en Flash (Adobe) worden gepakt.

De beveiligingsconferentie vindt volgende week plaats in de Amerikaanse stad Arlington (Virginia). Securityspecialist Jorge Luis Alvrez Medina zal er bijvoorbeeld laten zien hoe een aanvaller elk bestand op een computer kan lezen als die Internet Explorer gebruikt. De aanval maakt niet gebruikt van fouten, maar van features. Alvarez Medina zal proof-of-concept code openbaar maken op zijn presentatie.

Belachelijke Flash-hacks

Dan is er natuurlijk nog die andere usual suspect wat betreft security, Adobe. Mike Bailey van Foreground Security houdt een presentatie met de titel 'Mooie, nieuwe en belachelijke Flash hacks'. Dat belachelijke slaat op de soms belachelijke complexiteit ervan.

Hij bespreekt nieuwe Flash-gebaseerde aanvallen, het hergebruik van oude aanvallen en hij demonstreert de werking van de aanvallen op een groot aantal websites, waaronder Gmail en Twitter. Die sites zijn al op de hoogte gebracht. “ik wil duidelijk maken dat Flash net zo bruikbaar is voor aanvallers als elk ander onderdeel van het web”, zei Bailey.

'Veelgemaakte fouten'

In een reactie zegt Adobe dat Bailey zich waarschijnlijk richt op veelgemaakte programmeerfouten. Het bedrijf verwijst dan ook naar trainingsmateriaal op hun website.

Verder mag iedereen die “geïnteresseerd is in Windows forensics” de oren spitsen. De Data Protection API is door Elie Bursztein en Jean-Michel Picod uitgedokterd (reverse engineered). DPAPI is bedoeld om data versleuteld weg te schrijven in Windows. Met deze hack kan de data worden teruggehaald die is versleuteld met deze API. Dat is dus interessant voor onder andere opsporingsdiensten en bedrijfsspionnen.

Microsoft ASP.Net

Dan is er de presentatie van David Byrne en Rohini Sulatycki, waarin zij een kwetsbaarheid laten zien in Apache MyFaces, Sun Mogarra en Microsoft ASP.Net. De hack zal live gedemonstreerd worden en de aanvalscode wordt direct erna vrijgegeven. Met deze hack is het voor aanvallers mogelijk om data op de server te lezen die “niet beschikbaar zou mogen zijn voor welke gebruiker dan ook”, zegt Byrne.

De hack richt zich op hoe de drie webapplicatie programming frameworks omgaan met ViewState, een techniek waarmee frameworks een visuele elementen consistent kunnen houden over meerdere pagina's. De aanval zou niet mogelijk zijn geweest als de drie frameworks de encryptiemogelijkheden zouden gebruiken die ze hebben.

Smartcardchip

Verder zal nog Oracle 11g, de iPhone, hardware in het algemeen en de smartcardchip worden gehackt. Dat laatste wordt gedaan door Christopher Tarnovsky. Zijn hack is erg ingewikkeld en bestaat voor 60 procent uit hardware, maar de huidige generatie smardcards is wel succesvol gehackt. Tarnovsky heeft eerder al parkeermeters gekraakt.

bron: webwereld.nl

Oorspronkelijk is de worm waarschijnlijk geschreven om een Slowaakse motorclub mee te pesten. Maar het ondier is ontsnapt en maakt nu harddisks over de hele wereld onklaar.

Beveiliger ESET meldt dat Zimuse, zoals de worm heet, een antiek beestje is. Het overschrijft de MBR met eigen data, een techniek die veel werd gebruikt door virussen van 20 jaar geleden. Maar deze dino wordt bij de verspreiding geholpen bij de moderne variant van de floppy disk, de usb-stick.

Het doet zichzelf voor als een IQ-test programma, wat misschien iets zegt over de motorclub in kwestie. Of het komt binnen via een geïnfecteerde website. Het vult de eerste 50 kb MBR van elke schijf met nullen, waardoor de data onbenaderbaar wordt. Het terughalen van de data kan moeilijk zijn en vereist gespecialiseerde software, zo waarschuwt ESET.

Blauwe en rode draad

Zeer waarschijnlijk zijn er twee versies, Zimuse.A en Zimuse.B, die zich nu verspreiden buiten Slowakije, vooral in de VS, Thailand, Spanje en Italie, maar ook in andere Europese landen. Het verschil tussen de twee heeft te maken met de tijd die het neemt voordat het zich gaat verspreiden via usb, en waarop het zijn vernietigende werk doet.

De B-variant is de ergste van de twee, omdat het zichzelf eerder gaat vermenigvuldigen, na zeven dagen na de infectie, bovendien heeft het maar 20 dagen nodig voor zijn vernietigende werking. Het verwijderen moet goed gebeuren. Als het verkeerd wordt gedaan, dan gaat het virus over tot vernietiging. ESET vergelijkt dit met de rode en de blauwe draad bij een bom. Knip je de verkeerde door, dan gaat hij af.

Backup

“Hopelijk zal dit zich niet veel verder verspreiden. Maar het herinnert ons eraan dat, nu de meeste bedreigingen tegenwoordig meer geïnteresseerd zijn in het stelen van je data dan in het vernietigen ervan, het toch nooit een slechte tijd is om te controleren of je backup systemen goed werken”, zegt David Harley van ESET in zijn blog.

Vandaag de dag kom je niet vaak meer een virus tegen in de boot sector van een harde schijf. Een recente uitzondering was de vervelende Mebroot rootkit uit 2008. Soms komt oudere malware nog wel eens tot leven, zoals het Stoned.Angelina MBR virus dat in 2007 zijn weg vond naar zo’n 100.000 Medion laptops.

Oorspronkelijk kwam Stoned.Angelina uit januari 1994, een tijd waar Zimuse misschien ook uit stamt. ESET ziet een duidelijke overeenkomst met het One-half virus, dat uit in 1995 uit Slowakije kwam.

ESET heeft informatie en een tool online gezet waarmee je Zimuse kunt verwijderen.

bron: techworld.nl

Een zero-day beveiligingslek in Adobe Reader en Acrobat is Google, Adobe en 32 andere bedrijven noodlottig geworden, aldus een beveiligingsbedrijf dat zegt dat de aanvallers het op broncode hadden voorzien. Volgens iDefense zijn ook financiële instellingen en defensie-aannemers getroffen, maar daar wil het de naam niet van noemen. Zowel Adobe als Google hebben de aanvallen inmiddels opgebiecht. De aanvallen lijken veel op die afgelopen juli plaatsvonden. De aanvallers gebruikten ook toen een geprepareerd PDF-document om malware op het netwerk te krijgen.

IDefense spreekt van een "bijzonder geraffineerde aanval", gericht op het stelen van broncode bij verschillende hi-tech bedrijven in Silicon Valley, alsmede financiële instellingen en militaire bedrijven. Volgens het beveiligingsbedrijf opende een werknemer van Google een PDF bijlage, waarin een Trojaans paard verstopt zat. "Het was zo geconfigureerd dat het in staat was om een enorme hoeveelheid gegevens te ontvangen." Naar alle waarschijnlijkheid gaat het om het beveiligingslek in Adobe Reader en Acrobat dat al sinds december bekend is, maar pas vandaag werd gepatcht.

Patch
Analyse van de malware wijst uit dat die verschilt van de aanval van juli, maar dat er wel met soortgelijke command en controle servers contact werd gemaakt. IDefense houdt dan ook de mogelijkheid open dat het om dezelfde aanvallen gaat. Adobe patchte vandaag in totaal 8 lekken in Adobe Reader en Acrobat, die in de meeste gevallen aanvallers willekeurige code lieten uitvoeren, wat in veel gevallen volledige controle over het systeem betekent. Zeven van de acht lekken werden door externe onderzoekers gevonden. Meer informatie is in de advisory te vinden.

bron: security.nl

De Nederlander Tim de Koning heeft een Commodore 64-emulator naar javascript geport, waarbij hij gebruikmaakte van het Canvas-element zoals gestandaardiseerd door de Web Hypertext Application Technology Working Group.

De port moet gezien worden als een proof-of-concept, schrijft De Koning op de website van zijn bedrijf, Kingsquare. Jsc64, zoals de applicatie heet, is een port van de C64-emulator die Darron Schall en Claus Wahlers in ActionScript schreven. De javascript-versie is wel minder snel dan die applicatie, moet De Koning toegeven.

Voor het scriptmatig dynamisch renderen van bitmapbeelden maakte De Koning gebruik van het Canvas-element. Dit element is gestandaardiseerd door het WHATWG, gaat mogelijk deel uitmaken van html5 en wordt al ondersteund door de laatste versies van Firefox, Chrome en Safari. De Nederlandse programmeur heeft de broncode op zijn site geopenbaard en demonstreert Jsc64 op zijn site met verschillende roms, zoals die van Galaga, Hellgate en Voidrunner.

bron: tweakers.net

httpbotnetsHet aantal botnets dat HTTP gebruikt om met besmette computers te communiceren is het afgelopen half jaar verdubbeld. Traditioneel werden botnets via Internet Relay Chat (IRC) bestuurd, maar daar zit geen groei meer in. Het aantal IRC-gebaseerde botnets bleef rond de 400 steken, terwijl HTTP-gebaseerde botnets van 800 naar 1.600 groeide. De groei is volgens Team Cymru, een non-profit organisatie die zich met de bestrijding van cybercrime bezighoudt, te verklaren door de lage prijzen van HTTP botnet-toolkits.

Toolkits
Deze toolkits worden toegankelijker en de eenvoudiger te gebruiken HTTP interface, zorgt ervoor dat botnetbeheerders massaal IRC als communicatiekanaal links laten liggen. HTTP botnets worden daarnaast vaker voor Distributed Denial of Service (DDoS)-Aanvallen ingezet. "Er zijn verschillende manieren om aan dit soort aanvallen te verdienen, hoewel ze minder geliefd zijn dan andere alternatieve gebruiken voor botnets die meer opbrengen met minder risico."

De meeste Command & Controle servers, zowel voor IRC als HTTP, zijn in de Verenigde Staten ondergebracht. Ook Noord-Europa, met onder andere Nederland, speelt een belangrijke rol. Ondanks dat het aantal IRC-gebaseerde botnets niet groeide, was er ook geen daling zichtbaar. Daarom voorspelt Team Cymru dat dit soort botnets een rol zullen blijven spelen, maar dat de toekomst bij HTTP-gebaseerde botnets ligt.

Het Trojaanse paard dat het netwerk van Google infiltreerde, gaf aanvallers de mogelijkheid om live mee te kijken wat er op de desktop van besmette machines gebeurde. Uit analyse van anti-virusbedrijf Symantec blijkt dat één van de componenten op VNC (Virtual Network Computer) was gebaseerd. Een programma dat computers op afstand kan besturen. De virusbestrijder noemt de Trojan "Hydraq". Eenmaal actief op het systeem downloadt het verschillende bestanden, waaronder VedioDriver.dll en Acelpvc.dll. Analyse wijst uit dat de bestanden en het communicatieprotocol, door aangepaste VNC code te gebruiken, specifiek voor gebruik met Hydraq zijn geschreven.

Een aanvaller kan op afstand een live video feed van een besmette computer opzetten. Ook Symantec ontdekte dat sommige bestanden van de malware al in 2006 zijn gemaakt. "Andere onderdelen van Hydraq hebben data in 2009. Wat mogelijk aangeeft dat de exemplaren die we vandaag zien, in de loop van de tijd zijn ontwikkeld", zegt Symantec's Peter Coogan. Een andere mogelijkheid is dat de datum op de computer tijdens het compileren van de bronbestanden verkeerd stond ingesteld. Onderstaande video laat zien hoe de Trojan werkt.

bron: security.nl

The big news hit earlier this week that the attack vector that allowed bad actors presumably from China into the networks of Google, Juniper, Adobe, and some 29 other firms was an Internet Explorer zero day, a use after free vulnerability on an invalid pointer reference affecting IE 6, 7, and 8 but only used by attackers on IE 6 according to Microsoft. Per Microsoft’s Advisory 979352: “In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution. Earlier today this entry from yesterday at Wepawet (an online analysis engine for malware) was pointed out to H.D. Moore, and within hours Metasploit has an exploit of the vulnerability integrated. McAfee has confirmed that the exploit is out and the same one they saw during the investigation. The video below demonstrates how crackers initially gained access to the corporate networks of Google, et al. using this zero day attack.

Here It Is

The video below demonstrates how Google and the rest have been, according to most news reports, exploited via the “Aurora” vulnerability in Internet Explorer, and had their “intellectual property” taken.

In the video you will see Metasploit set up a listening session, set up a web site that serves up the malicious code, and watch as an unsuspecting user visits the web site, triggers the attack that uses the IE vulnerability, and unknowingly opens a connection to a computer owned by the attacker. The attacker then lists the user’s processes, and elects to kill Notepad where the user was working on an important document. IE 6.0 is used, as this is the version Microsoft references as having been used in the “targeted attacks” on some 30+ U.S. companies.

A silly example for demonstration to be sure, but once the backdoor is open to the user’s PC the attacker can use it as a pivot point for other attacks against the internal network, escalate his or her privileges, take information off the PC, basically do anything the user can do.

The Vector

The attack scenario is that users were pointed to a web site (probably through a targeted Spam e-mail, an attack called spear phishing) containing a JavaScript that references this invalid pointer and injects the included shell code. The code below was released publicly yesterday.

<html><script>var sc = unescape("..........

</script> <span id="sp1"> <IMG SRC="aaa.gif" onload="ev1(event)"> </span> </body> </html>

Finally

“At this time, we are aware of limited, active attacks attempting to use this vulnerability against Internet Explorer 6. We have not seen attacks against other affected versions of Internet Explorer.” – Microsoft.

This situation has the potential to change rapidly now that it appears the exploit has been found. Microsoft last patched a vulnerability off cycle in July of 2009, they could elect to pursue the same response here.

Or as McAfee correctly opines: “What started out as a sophisticated targeted attack is likely to lead to large-scale attacks on vulnerable Microsoft Internet Explorer users.”

Source: Praetorianprefect.com

Een nieuw ontdekt beveiligingslek in talloze mediaspelers geeft hackers de mogelijkheid om op afstand systemen over te nemen. Het probleem zit in de manier waarop de Quicktime Library misvormde .MOV bestanden verwerkt. Bijna alle programma's die dit soort bestanden verwerken zijn kwetsbaar. Via een online verschenen exploit is het mogelijk om "geheugen corruptie" te veroorzaken, maar ook het uitvoeren van willekeurige code lijkt mogelijk. "Omdat dit probleem ook browsers raakt, lijkt het erop dat de aanvalsvector zowel lokaal als remote is", aldus 'Dr_IDE', de alias van de onderzoeker die het probleem ontdekte.

Zowel Mac OS X als Windows systemen zijn kwetsbaar. Op Mac OS X gaat het onder andere om iTunes, QuickTime, Safari, Garageband, Finder, Firefox, VLC, PowerPoint 2008 en Word 2008. Windows XP systemen met iTunes, QuickTimes en Media Player Classic lopen risico. Bij al deze programma's gaat het om de laatste versie. De VLC mediaspeler is op Windows niet kwetsbaar, wat ook gedeeltelijk voor Firefox 3.5.3 geldt. Het lukte de onderzoeker niet om de opensource browser op betrouwbare wijze te laten crashen. De advisory is op deze pagina te vinden, de exploit staat hier.

bron: security.nl

Darren demonstrates cracking Microsoft VPN tunnels using the MS-CHAPv2 authentication protocol using Joshua Wright’s tool ASLEAP and talks about the theory behind the attack.



Continuing on with our VPN series I find it important to highlight the weaknesses in the protocols we have talked about thus far. In my last segment I highlighted a tool that allows an attacker to easily hijack an SSL session using a man-in-the-middle attack. Couple this with Adito (aka OpenVPN-ALS), my favorite open-source SSL VPN server, and you can see the problem.

But what about the basic Microsoft VPN we setup a few weeks back? The VPN servers that we setup on Windows XP and Server 2003 used either active directory or local windows accounts to authenticate users.

And looking back at our discussions on pwdump, rainbow tables and the like you’ll remember the inherent weaknesses in Windows account credentials.

There are two ways Windows stores a user’s account credentials, or password. LAN Manager hashes which are comprised of watered-down weaksauce and NTLM which are succeptable to time-memory tradeoff attacks.

The default VPN server implemented in Windows XP and Server 2003’s Routing and Remote Access service uses Point-To-Point-Tunneling-Protocol. This is convenient because the Windows clients have supported Microsoft PPTP VPN connections natively since 2000, and in Windows 95/98 with Dual Up Networking version 1.3.

The modern authentication protocol of Microsoft’s PPTP is MS-CHAPv2. This Challenge Handshake Authentication Protocol suffers from inherent weaknesses.

As far back at 1999 these weaknesses have been widely known. If you’re interested in reading more on the cryptanalysis of MS-CHAPv2 there’s a nifty paper written by Bruce Schneier and L0pht that I’ll link in the show notes.

And while other options exist such as Radius, this is still the default option for PPTP authentication in Windows environments.

Joshua Wright, author of coWPAtty (See our segment here), released in 2004 a proof of concept tool to demonstrate weaknesses in LEAP and PPTP protocols.

This tool, ASLEAP, was updated in 2007 to include an option to just crack MS-CHAP v2. Either by examining a packet capture that includes a MS-CHAP handshake ASLEAP or specifying an MS-CHAP challenge and response ASLEAP is able to deduce the username and last two bytes of the NT hash. Using this information, and a dictionary file, ASLEAP is able to brute-force the hash.

Source: Hak5

Hacker Samy Kamkar, bekend van de eerste cross-site scripting worm in 2005, heeft een aanval gedemonstreerd waarbij hij eenvoudig hardwarematige firewalls weet te omzeilen. De "Nat pinning" aanval laat de router een port forwarden. Hiervoor moet de aanvaller eerst het slachtoffer naar een website weten te lokken. De pagina dwingt de router of firewall van het slachtoffer, zonder dat die het weet, om een poort naar elk willekeurig poortnummer van de gebruiker z'n computer te forwarden. "Geen XSS of CSRF vereist", aldus Samy. Een aanvaller kan vervolgens via de geopende poort een aanval uitvoeren.

Kamkar merkt op dat niet alle routers de gebruikte methode van "NAT traversal" ondersteunen en dat het uitvoeren van de aanval via FTP de voorkeur verdient. De aanval is succesvol getest op een Belkin N1 Vision draadloze router, maar ook andere modellen en fabrikanten zouden mogelijk kwetsbaar zijn. Op deze pagina kunnen gebruikers hun router of firewall testen en het script van Kamkar een poort laten openen.

Firefox NoScript
Volgens Giorgio Maone, de maker van de populaire Firefox NoScript extensie, misbruikt Kamkar een slim mechanisme in moderne netwerkapparatuur, dat automatisch willekeurige poorten NAT als bepaalde "handshake" patronen in uitgaand verkeer worden gedetecteerd. Zodoende kunnen protocollen die een "call back" functie vereisen, zoals FTP, IRC en SIP, toch functioneren. NoScript's ABE functie kan misbruik voorkomen.

Gebruikers hoeven in dit geval alleen een regel die Maone maakte toe te voegen. "Het slechte nieuws is dat Java, Flash, Silverlight en mogelijk andere plugins raw sockets kunnen openen en daarmee de browser omzeilen, waaronder ABE." Dat is volgens de Italiaan dan ook een goede reden om ze op afstand te houden.

bron: security.nl

usb2MI5, een van de Britse geheime diensten, stelt dat China op grote schaal inbreekt op computers van bedrijven door aan Britse zakenmensen besmette usb-sticks en camera's te 'schenken'. Ook overheids- en defensiesystemen zouden doelwit zijn.

De Britse krant The Sunday Times meldt dat in een uitgelekt MI5-rapport is te lezen dat geheim agenten van de Chinese geheime dienst Britse zakenmensen op onder andere beurzen trakteren op allerhande elektronica, waaronder usb-sticks en camera's. De cadeautjes zijn echter geprepareerd met malware, zo stelt MI5. Als de eigenaar de stick of camera aan een computer koppelt, dan kan het systeem besmet worden door middel van een trojan. Hierdoor kunnen Chinese hackers relatief eenvoudig op afstand inbreken in de systemen.

Een andere breed toegepaste methodiek van de Chinese geheime dienst zou het uitzetten van 'seksvallen' zijn, waarbij de activiteiten van Britse zakenmensen in hotelkamers heimelijk opgenomen worden. Hierdoor kunnen zij naderhand gechanteerd worden. Ook zouden veel hotelkamers in de grote steden standaard voorzien zijn van afluisterapparatuur.

Volgens MI5 heeft de Chinese geheime dienst niet alleen Britse bedrijven in het vizier; Chinese hackers zouden ook defensienetwerken en andere overheidssystemen hebben aangevallen en bovendien verschillende maatschappelijke organisaties de afgelopen jaren hebben bespioneerd. Vorig jaar werd in een ander overheidsrapport gesteld dat de Chinese overheid de mogelijkheid zou hebben om onder andere elektriciteitsnetwerken in Groot Brittannië uit te schakelen en dat ook de waterhuishouding en de distributieketens voor voedsel ernstig ontregeld zouden kunnen worden. Daarnaast klaagt MI5 dat het te weinig mensen heeft om de Chinese aanvallen effectief te kunnen bestrijden, omdat een groot deel van zijn personeel wordt ingezet om het internationaal terrorisme te bestrijden

bron: tweakers.net

Beveiligingsonderzoeker Evgeny Legerov zal het in kader van "0day bewustzijn" de komende weken allerlei nieuwe beveiligingslekken in zakelijk gebruikte software aankondigen, zoals Oracle, Apache en MySQL. De hacker heeft de zero-day lekken, waar geen patches voor zijn, verdeeld in verschillende categorieën. Tijdens de week van de "directory server bugs" komen onder andere lekken in Novell eDirectory, Sun Directory en Tivoli Directory aan bod.

Van 18 tot en met 24 januari staan server bugs in Zeus Web Server, Sun Web Server en Apache centraal. Een week later is het tijd voor "database bugs" in Mysql, IBM DB2, Lotus Domino, Informix, Oracle "en hopelijk meer." Naast de aankondiging, zette Legerov ook een demonstratie van een MySQL exploit online.

bron: security.nl

Versie 2  van de "anti COFEE tool" DECAF is uit. Volgens de Press Release van C is na versie 1.03 de stekker eruit getrokken om juridisch sterker te staan. Versie 2 belt niet meer naar huis volgens de zelfde Press Release en heeft meer functionaliteit zoals ondermeer het monitoren van Forensic Toolkit en CD-Rom.