Visualizzazione post con etichetta vulnerabilità. Mostra tutti i post
Visualizzazione post con etichetta vulnerabilità. Mostra tutti i post

giovedì 1 dicembre 2016

Android: Malware Gooligan, verificare se il proprio account è stato violato

A partire da Agosto 2016 oltre un milione di account Google sono stati violati al ritmo di 13.000 al giorno dal malware Gooligan.

 Gooligan esegue il root dei dispositivi Android vulnerabili per rubare indirizzi email e i token utilizzati per l'autenticazione dell'utente sulla piattaforma di Google. Con tali informazioni il malintenzionato può accedere all'account Google della vittima e di conseguenza a tutti i dati sensibili (Gmail, Google Photos, Google Docs, Google Play, Google Drive, ecc) presenti; inoltre,  può eseguire comandi da remoto sul dispositivo infetto.

 I dispositivi a rischio sono quelli su cui è installato Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop).

 Il malware si annida su molte App presenti su App-Store di terze parti (alternative a Google Play) e può essere distribuito anche tramite phishing inviando alla vittima un collegamento all'app infetta. Una volta che l'applicazione infetta viene installata sul dispositivo, Gooligan si attiva e procede al download di un rootkit dai server Command and Control (C&C server). Il rootkit sfrutta le vulnerabilità di Android 4 e 5 non aggioranti utilizzando gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). L'attacco in molti casi riesce in quanto le patch di sicurezza che sistemano queste falle non sono state rilasciate per tutti i dispositivi Android o non sono state mai installate dagli utenti. Una volta eseguito il rooting, il malvivente ha pieno controllo del dispositivo è può eseguire comandi da remoto.
Dopo aver ottenuto l'accesso alla root, Gooligan scarica e installa un altro modulo dai server C&C che viene utilizzato per inserire codice malevolo all'interno dell'App Google Play. Questo permette a Gooligan di rubare l'email e il token utilizzati per l'autenticazione dell'utente, di installare e valutare le App da Google Play in modo da incrementarne il rating, di installare adware che visualizzano spot pubblicitari.
Gooligan
FIG 1 - Gooligan

Verificare se il proprio account è stato violato


 Per verificare se il proprio account è stato violato basta andare su https://gooligan.checkpoint.com/ e inserire l'indirizzo email relativo al proprio account Google.

 Nel caso in cui l'account risultasse violato è necessario effettuare un'installazione pulita di Android sul dispositivo (flashing della rom) e successivamente procedere al cambio della password dell'account Google.
Gooligan Checker
FIG 2 - Gooligan Checker
Pubblicato da alle Nessun commento:
Etichette: , , , , , , ,

mercoledì 30 novembre 2016

Windows 10 Exploit: Bypassare BitLocker durante l'aggiornamento del sistema

Premendo la combinazione di tasti SHIFT+F10 quando Windows 10 sta effettuando un'aggiornamento ad una nuova Build, viene aperto una CLI (command-line interface) con i privilegi di SYSTEM. Tramite tale command-line è possibile avere pieno accesso al disco della workstation anche se protetto da BitLocker.
Durante l'update di Windows 10, infatti, il sistema operativo provvede a disabilitare BitLocker mentre Windows PE (Preinstallation Environment) installa una nuova immagine del sistema.

 Un malintenzionato può forzare il sistema ad effettuare l'aggiornamento e, tramite SHIFT+F10, accedere all'intero contenuto del disco o rendere la propria utenza Amministratore del sistema.
La versione Windows 10 LTSB (Long time Servicing Branch) non sembra affetta da tale vulnerabilità.

 La vulnerabilità è stata scoperta dall'esperto di sicurezza Sami Laiho e Microsoft sta lavorando ad una fix per sistemare il problema.
SCCM (System Center Configuration Manager) può bloccare l'accesso alla CLI durante l'update se sulle postazioni viene creato un file con nome DisableCMDRequest.tag all'interno della directory %windir%\Setup\Scripts\.
Pubblicato da alle Nessun commento:
Etichette: , , , , , ,

giovedì 14 maggio 2015

Aggirare il Blocca computer di Windows tramite screensaver in Flash

Windows consente di bloccare la postazione impedendo ad altri utenti di utilizzarla. L'operazione può essere effettuata in Windows sia tramite GUI (in tal caso l'operazione da effettuare varia in base alla versione del Sistema Operativo) oppure tramite la comoda combinazione di tasti Win + L.

 Tale funzione è utile quando ci si allontana momentaneamente dalla postazione, ad es. durante la pausa pranzo, e ci permette di bloccare la sessione impedendo ad altri utenti (o malintenzionati) di operare sulla workstation con le nostre credenziali.

 In molte aziende le workstation sono configurate in modo da eseguire uno screensaver animato quando il computer è bloccato. Spesso lo screensaver è realizzato in Flash e il file swf risultante viene compilato al fine di ottenere un file eseguibile (con estensione .exe) e quindi rinominato in .scr. Questo può rappresentare una grave falla di sicurezza.

 All'interno della seguente chiave di registro è possibile verificare (o specificare) il file .scr dello screensaver
HKEY_USERS\.DEFAULT\Control Panel\Desktop\SCRNSAVE.EXE

 Quando lo screensaver realizzato in Flash è in esecuzione è possibile aggirarlo procedendo nel seguente modo:
  • Senza muovere il puntatore del mouse, cliccare con il tasto destro.
  • Dal menu che appare selezionare Impostazioni globali...

Impostazioni globali...
FIG 1 - Impostazioni globali...

  • Dalla scheda Avanzate cliccare su Impostazioni posizioni attendibile...

Impostazioni posizioni attendibile...
FIG 2 - Impostazioni posizioni attendibile...

  • Nella schermata successiva cliccare su Aggiungi

Impostazioni posizioni attendibile... Aggiungi
FIG 3 - Impostazioni posizioni attendibile... Aggiungi

  • All'interno della finestra di dialogo Aggiungi sito cliccare su Aggiungi file...

Aggiungi sito
FIG 4 - Aggiungi sito

  • Cliccare, con il tasto destro del mouse, su una cartella qualsiasi e dal menu contestuale selezionare Apri in una nuova finestra

Apri in una nuova finestra
FIG 5 - Apri in una nuova finestra
A questo punto si apre una nuova finestra di Esplora file (esplora risorse) ed è possibile aprire i file dell'utente che ha bloccato la postazione oppure eseguire programmi. Un malintenzionato, quindi, può prendere il controllo della postazione ed operare con gli stessi permessi/abilitazioni dell'utente loggato.
Come rimediare alla vulnerabilità
Un metodo per porre rimedio alla vulnerabilità consiste nel modificare il codice sorgente del file SWF al fine di disabilitare il menu contestuale che appare cliccando con il tasto destro del mouse. Avviare il file SWF con il parametro menu=false non risolve il problema in quanto il menu Impostazioni globali... rimane attivo.
Nel caso non fosse possibile mettere mano al codice sorgente è consigliabile non utilizzare lo screensaver realizzato in flash.
Pubblicato da alle Nessun commento:
Etichette: , , , , , , , , , , ,
Iscriviti a: Post (Atom)