woodspeed blogja

NVidia Display Driver Service (Nsvr) Exploit - Christmas 2012
- Bypass DEP + ASLR + /GS + CoE
=============================================================
(@peterwintrsmith)

Hey all!

Here is an exploit for an interesting stack buffer overflow in the NVidia
Display Driver Service. The service listens on a named pipe (\pipe\nsvr)
which has a NULL DACL configured, which should mean that any logged on user
or remote user in a domain context (Windows firewall/file sharing
permitting) should be able to exploit this vulnerability.

PasteBin

Éppen hallgatom a DEF CON XX MUSIC COMPILATION-t(SSHing to your heeaarrtt!!! sálálá), mikor megláttam ezt: Coder girl

Tesztkörnyezet lista

Apróságok, mint AD, DNS, DHCP, IIS, WSUS, WDS: pipa
Windows 8: pipa
MS SQL: pipa
2 node-ból álló fájl klaszter: pipa
McAfee ePO menedzsment konzollal: pipa
SEP menedzsment konzollal: pipa
MS Project Szerver: pipa
SCCM: pipa
OSSEC: pipa
Exchange: még nem
Hyper-v: még nem/talán holnap
Symantec Backup Exec: pipa (update)
TMG: még nem
Citrix XenApp: még nem

Talán év végére kipipálhatok mindent. Már csak a 2x2Gb memória kellene. Szegény dzsunka asztali PC-m. :)

Summary: A hacker associated with the Anonymous collective and the 'AntiSec' movement has released VMware's ESX Server kernel source code online, available through torrent networks.
Forrás: Zdnet

Introduction

This research paper intends to provide a brief summary of the cybercriminal underground and shed light on the basic types of hacker activity in Russia. The bulk of the information in this paper was based on data gathered from online forums and services used by Russian cybercriminals. We also relied on articles written by hackers on their activities, the computer threats they create, and the kind of information they post on forums’ shopping sites.

Online fraud has long since moved from being a mere hobby to a means for cybercriminals to earn a living. This paper examines what is being sold on the most popular cybercrime forums like antichat.ru, xeka.ru, and cardingcc.com; which items are in demand; and what services professional fraudsters offer.

Megérkezett a drágaszág!:] Még kell 2x4GB memória és készen is van a kicsi házi tesztkörnyezetem!

Vmware: 2xWin2k8, 1xWin7/Win8
Szolgáltatások: AD, IIS, WSUS, Exchange, TMG, Project Server2k7, SQL2k8, Citrix, SEP stb
Lehet megnézem a Win2k12-t is. :)

James Bond elbújhat MacGuyver mellett!:D A végén lévő videó egy demó.

James Bond's Dry Erase Marker: The Hotel PenTest Pen

Simán felmegy az adott kis netbookra az operációs rendszer, de ezt máshol is írják. Így kipróbáltam én is!:)
Csak a registryben kell a Display1_DownScalingEnabled kulcsot 0-ról 1-re megváltoztatni és újraindítani az appok működéséhez. A felbontása ugyanis túl kicsi.
A Windows Phone 7 után féltem, hogy mi lesz. De egész korrekt így.

30 perces tapasztalat:
Nem jöttem volna rá, hogy Win+Q behozza a keresőt az app boltban, ha nem keresek rá Google-ön.
Letöltöttem egy RSS reader appot, de kicsit lassúcskának érzem, ellenben tetszik az olvasása. Jobbra nyilacska és új hír képpel. Jól néz ki. :)
Egy más fajta nézetet/hozzáállást kíván az új felület, de nekem egyelőre tetszik. Van egy induló képernyő, ahol a legfontosabb dolgokat kell kitenni és gyorsan elérhető. Nem 100+ kis ikon az asztalon! Minden más "eltűnt" a felhasználó elől, de mégis elérhető.
Win+tab és alt+f4 kell, hogy megszabaduljak a megnyitott programoktól, amik váltáskor visszajönnek. Ez jó is és rossz is. Azt nem néztem, hogy ha váltok az asztalra, akkor mi történik.
Fura Windows 7 :)

Szoktam olvasgatni a Krebs on Security oldalát, és most írt megint az atm skimming-ről. Egész érdekesek.
Ugye a pénz beszél ...
"But it’s far less common to find crooks legitimately selling the more sophisticated fraud devices, as PIN pad overlays + card skimmer sets often cost between $8,000 and $12,000 in the underground, whereas all-in-one skimmers can be had for a few thousand dollars apiece."
http://krebsonsecurity.com/2012/09/a-handy-way-to-foil-atm-skimmer-scam…
http://krebsonsecurity.com/2011/02/having-a-ball-with-atm-skimmers/
http://krebsonsecurity.com/all-about-skimmers/

Most pörgetem a híreket között, hogy NakedSecurity:"PC World is reporting that a Polish security company called Security Explorations reported these 2 vulnerabilities and 17 others to Oracle back in April.". Meg, hogy "It took less than 12 hours from the time the proof of concept for the latest Java zero-day vulnerabilities went public for exploits of those vulnerabilities to be included in a commercial crimeware kit." és Java 0-day exploit served from over 100 sites.
Aki szereti nézegetni az Exploit kit-ekről/kitek-ből készült képernyőmentéseket azoknak itt egy: Blackhole exploit kit java
És a végére a NakedSecurity cikk végéről: "Why critical remote code execution vulnerabilities were not fixed in Oracle's June patch is unknown."
Hogy is szokták mondani? Patch tuesday, exploit wednesday?:D
Egy valamit még nem néztem meg/teszteltem, még pedig az, hogy az EMET megfogja -e az exploitot vagy sem. Ha valaki kipróbálta már, akkor kérem ossze meg velünk.

Analysis Brief: Can Consumer AV Products Protect Against Critical Microsoft Vulnerabilities?
Link: AV Teszt

Ma lesz az új verzió (2005-ös) RTL Klubon 16:20-tól.

A mai nap szembe találkoztam néhány igen csak érdekes hírrel!

Megvettem a kicsikét!:]

Még nem laktam be teljesen. Van esetleg valami app, ami musthave?
Lehet, h volt fórum bejegyzés róla, de még nem kerestem. Csak neten kerestem rá erre eddig.
Monitorozó rendszerek android kliensei milyenek? Helpdesk/Ticketing rendszer kliensei milyen? Használ vki ilyeneket?

Gyorsan megelőzöm Hunger-t!:))
Itt a lista: http://pwnies.com/winners/

Érdekesebb IT biztonsági hírek

Frissen végzettként, az uborka szezonban elkezdtem állás után vadászni.
Azt tudtam, hogy nyáron kevesebb munkát hírdetnek meg, ami meg is ijesztett az elején. Ha jól emlékszem az egyik álláskereső portálon írták, hogy kb fele annyit hírdetnek meg az állásokból és több a válaszidő is.
Amit leszűrtem a 2 hétes keresés alatt az a következő, nem sorrendben:

Töltsd ki a Raven teszt-et, és örülj vagy sírj!:) Lehet versenyezni is! :D
Amire figyelni kell, hogy a menü fölé viszed az egeret, akkor szétbomlik magától, és megjelenik a send gomb.
Én rákattintottam a menüre és mellé is nyomtam ezzel, így kezdhettem előről! :(

Gondoltam frissen végzettként hasznosan töltöm el az időmet és a diploma átadóig szakmailag képzem magam. Elsőnek egy 4 nodeból álló Windows 2k8 R2 DFS Failover Cluster-re gondoltam, virtualizálva mindent.
Adott pár dolog, ami egyben korlátozhat és korlátoz is (proxy, Comodo TimeMachine, még nem csináltam ilyet, korlátozott idő és segítség).

Bővebben:
Russian hackers expose 6.5 MILLION 'LinkedIn passwords'
A dump innen elérhető.

Megvettem ma a holnap Mozi maratonra (Kecskemét)! Kicsit későn vettem meg, emiatt nagyrészt elől és középen fogok üllni.
Péntek 12:00-től kezdődik és az utolsó vetítés szombaton 6:00-kor van! 2590Ft-ért, ebből 600Ft büfében levásárolható, 5 filmet nézhetek meg.
Én a következő filmeket fogom megnézni sorrendben: Az erő krónikája, Csempészek, A titánok haragja (3D), Underworld 4 (3D), Szellemlovas 2 (3D).
A szellemlovast 3:00-kor vetítik és kb 5:00kor lesz vége. Maga a maratonom összesen 552 perc, azaz 9,20 óra lesz!
Szerencsére a Csempészek után lesz 1 óra szünetem, Titánok után meg 30 perc szünetem.
Egyiket se láttam még, és a legjobban a csempészeket várom. Megy valaki a hupról esetleg rajtam kívül?:)

Van galéria is az oldalon.
Forbes világ leggazdagabb emberei
Forbes világ legbefolyásosabb emberei

10 év IT biztonsági statisztikája
A spanyol S21 cég 10 év sebezhetőségeiből készített egy statisztikát. 22k termék és 74k sebezhetőség.
Bővebben: Study analyses ten years of security holes

65 nyílt forráskódú biztonsági program
A Datamation összeállított egy 65 tagú listát, ami a zárt forráskódú biztonsági programoknak az alternatíváját tartalmazza.
Bővebben: 65 Open Source Replacements for Security Software

Két új memória védelem az Internet Explorer 10-ben
High Entropy Address Space Layout Randomization (HEASLR) és ForceASLR.
Bővebben: Microsoft beefs up memory protections in IE 10

A Mozilla tudott a Pwn2Own-on kihasznált sebezhetőségről
Az array.join függvényben volt hiba, amiről a Mozilla már tudott.
Bővebben: Mozilla knew of Pwn2Own bug before CanSecWest

Hogy ne untassalak benneteket az Álmatlan éjszakával, így áttérek erre a rövidebb és tömörebb formára.