It-säkerhet

Outlook: EU-parlamentet blockeras Microsofts nya App på grund av säkerhetsriskerIt Säkerhetsnyheter

Skapad av J. Halex lör, februari 07, 2015 07:36:45

I EU-parlamentet skjuter Microsofts nya Outlook App med lite entusiasm. IT-avdelningen har personalen informeras om att tillgång till e-postkonton med iOS och Android App kommer att blockeras omedelbart, som en publicerad skrivelse av Netzpolitik.org visar. Detta steg gjordes för att "garantera integritet och sekretess för person", skriver generaldirektoratet för innovation och tekniskt stöd (ITEC).

Parlamentsledamöter och personal som redan har installerat appen bör ta bort dem från sin mobila enhet och ändra lösenordet. Meddelar uppgifter till ovan nämnda "allvarliga säkerhetsbrister" inte skriva.

Men anledningen till åtgärden är sannolikt att Outlook App ingen direkt kontakt till e-postserver får, men de e-postmeddelandena till tredje server bort för att ge vissa funktioner för mobila enheter såsom push-meddelanden. Dessutom lagrar Outlook App i samband med vissa e-posttjänster, inklusive Exchange, inklusive användarnamn och lösenord på leverantörens servrar i USA. Outlook-appen är baserad på den mobila mjukvara Accompli att Microsoft hade köpt i december förra året.



Säkerhetsproblem i firmware AMD-processorerIt Säkerhetsnyheter

Skapad av J. Halex tor, januari 08, 2015 22:56:24

Nuvarande AMD-processorer som innehåller ett system för förvaltningsenhet (SMU), innehåller den fasta programvaran en sårbarhet. Detta skulle kunna utnyttjas för att injicera mjukvara.

Den 31 Chaos Communication Congress (31C3) har rapporterat en sårbarhet i en firmware komponent för AMD-processorer, treenigheten, Richland, Kaveri och Kabini serie tjeckiska programmerare Rudolf Marek. En otillräckligt skyddade kodsignatur och ytterligare fel firmware kan vara teoretiskt för hackare att utnyttja att injicera mjukvara. Detta skulle då kunna utföras av sängarna System Management Unit (SMU) till de inblandade processorer och Accelerated Processing Units (APU).

Ett angrepp på SMU kan användas för något ändamål, har Marek inte beskrivits.

Enligt Rudolf Marek, AMD redan klar lappade versioner av de så kallade Agesa komponenter fast programvara. Dessa måste nu integrera tillverkaren av stationära datorer, bärbara datorer och moderkort BIOS-uppdateringar för berörda system. Det finns för närvarande ingen information. De drabbade CPU-typer som springer runt ombord med versionerna FM2, FM2 och AM1 +, men är vanligt för lödning i BGA-versioner.

SMU ansvarar för de drabbade processorerna inklusive för kontroll av energisparande funktioner, utan även för andra konfigurationsuppgifter - liknande den sk Intel Management Engine (ME). Medan Intel använder för många ME firmware körs på ARC styrenheter, är AMD vid SMU på 32-bitars mikro LatticeMicro32 (LM32) från Lattice Semiconductor. Firmware för SMU är en del av Agesa koder (Agesa), vilket i sin tur inkopplad (UEFI) BIOS-kod i systemet. Den Agesa Koden används för att initiera AMD-processorer under uppstart (boot) i systemet.

Två firmware fel

Marek har utvunnits SMU kod från de nedladdade uppdateringarna BIOS för olika moderkort. Han kunde undersöka LM32 koden på emulatorn QEMU vanligt. Han kunde knäcka den hemliga nyckel som AMD använder för SHA1 hash i koden signatur. Dessutom gjorde firmware koden SMU före avrättningen inte kolla ordentligt, så Marek kunde injicera dina egna kommandon.

I slutet av April 2014 hade Rudolf Marek kontaktade AMD, AMD i juli bekräftade felet och har släppt Agesa varianter med lappade firmware SMU till slutet av november.

Endast några moderkortstillverkare dokument, dock exakt vad Agesa version där BIOS-uppdatering smittade. Som ett exempel på nedladdningssidan för MSI namngavs för moderkortet A88XM GAMING: Det finns flera BIOS-uppdateringar med suffixet "Uppdaterad AMD Agesa kod" är i - bara inte med vad specifik version.



US-CERT varnar för ytterligare UEFI BIOS luckorIt Säkerhetsnyheter

Skapad av J. Halex tor, januari 08, 2015 22:49:24

Med nya luckor kan lura skydden igen. Angripare kunde så djupt förankrad en bootkit i systemet, vilket inget virusskydd kan bära något. Igen BIOS-uppdateringar kommer att hjälpa.

Den USA-CERT varnar för ytterligare säkerhetsöverträdelser i UEFI firmware för PC och bärbara datorer från ledande tillverkare. Genom gapet, kan en angripare skriva över kritiska områden firmware minne och spak som skyddsmekanismer som Secure Boot - om en bootkit att installera.

Skriv Spak skydd

Ganska trivialt men processen är inte: The Mitre forskarna Rafal Wojtczuk och Corey Kallenberg hade tre försvarslinjer till firmware tår innan de tillåts att skriva till firmware minnet.

Först var de tvungna att gå förbi skrivskyddet för SPI flash minneschip. Dessa måste sättas till 1 biten "BIOS Skriv Enable" (BIOSWE) i chipset registren. Men det är lite "BIOS Lock Enable" (BLE) ", som vanligtvis sätts till 1. Försökte om en kärndrivrutin, BIOSWE att sättas till 1 under BLE fortfarande satt till 1, det kommer till ett avbrott och fd värde återställs till 0.

Race skick med kraften av två kärnor

Forskarna arbetar med två CPU-kärnor för att komma runt det här - det innebär inte ett konkurrenstillstånd. Medan koden på den första kärnan "Write Enable" är satt till 1, till tråden på det andra försöket skriva till flashminnet. Resultatet är ett kort fönster i vilket den andra gängan faktiskt kan skriva tillgång till minnet.

Nästa hinder

Med nyare Intel chipset, Intel PCH samtal (Platform Controller Hub), forskarna måste övervinna en annan hinder, nämligen lite SMM_BWP (SMM BIOS skriva skydd) som vet hur man kan förhindra att skrivprocessen samt. Genom ytterligare en lucka Wojtczuk och Kallenberg erhållits men även i detta fall skrivrättigheter: Firmware utför efter uppvaknandet från S3 viloläge en startskript i samband med System Management-läge (SMM). I just det här läget systemet tillåter skrivåtkomst till firmware minnet. Forskarna måste läsa den befintliga start manus och lägga till egna kommandon lyckats - så hon äntligen återigen en illvillig firmware kunde importera.

Forskarna hävdar att var och en av er kontrollerat UEFI systemet var mottaglig för denna sårbarhet. EFI S3 Resume boot script följer en 11-årig Intel (EFI) specifikation.

skyddade områden

Hon upptäckte också en sårbarhet genom vilken de kunde lura de så kallade "Skyddade Range Register". En Skyddad Range (PR) anger vilka adressområden BIOS flashchip inte kan beskrivas - inte ens i systemhanteringsläget. Enligt Wojtczuk och Kallenberg, men ändå bara sätta en HP denna skyddande funktion.

påverkad Tillverkare

Berörda är uppenbart mest kända (UEFI) BIOS Tillverkare: American Megatrends (AMI), Intel och Phoenix. Vad sägs om Dell, är ännu inte känt.

Enligt forskare har Intel minst lappade loppet skick, men det betyder inte alls att denna patch också redan kommit fram till slutkunden. För detta är den första kontakten på moderkortet eller PC-tillverkare. Vem frågar där, men bör inte hoppas på en sund svar: Även vid extrema Privilege Escalation föregående år, många tillverkare inte kunde alls att avgöra om deras produkter påverkas - eller att de helt enkelt vägrat att lämna information

Anledning till panik är gapen som beskrivs ovan får inte igen: Det är tekniskt möjligt att en malware skriver firmware genom att utnyttja sårbarheter, ofta finns det mycket enklare - och speciellt systemoberoende - sätt att göra sig permanent i datorn breda ,

gamla Mössor

På Github är med Chipsec en tid ger en ram med vilken plattform utvecklare kan kontrollera hur väl deras system är beväpnade mot några av de attacker som beskrivs här.

Även attacker som använder PC sårbar när vakna upp från energisparlägen är inte ny: Under 1999 Andreas Stiller gjorde för ett programvaru fördel som skulle kunna vända den förment säkra urkopplingsbar Pentium III serienummer igen. "Lost" Frågan kan ange ett lösenord för hårddisken åtkomst (ATA säkerhetsläge) Vissa BIOS när vakna upp från ACPI S3 (energibesparing) eller S4 (avbryta / viloläge), till skillnad från kallstart eller omstart. En del av attacken visas av Wojtczuk och Kallenberg så att du kan förhindra detta genom att inaktivera strömsparlägen.

Fördjupad information ger en timmes videoinspelning av föreläsnings Angrepp på UEFI säkerhet, inspirerade av Darth Venamis elände och Speed Racer, de två forskarna som nyligen hölls på Chaos Communication Congress.



Uppdatering fixar DoS sårbarhet i StrongSwan IPSecIt Säkerhetsnyheter

Skapad av J. Halex tor, januari 08, 2015 22:37:36

Ett enda meddelande till IPSec-servern kan betyda slutet, fann forskare och rapporterade problemet till utvecklarna. Den reagerade omgående.

Som en del av nyckelförhandling med IKEv2, en angripare genom speciella paket förlama IPSec tjänsten strong, varnar utvecklaren. Detta påverkar alla versioner sedan 4.5.0 till 5.2.1. Senaste uppdateringar och patchar åtgärda problemet (CVE-2014-9221).

Orsak till krascherna är IKEv2 meddelanden i samband med Diffie-Hellman Group 1025, vilket leder till en ogiltig samtal till en konstruktör. Ytterst få IKE demonen att krascha som en enda IKE_SA_INIT. Men injektionen och exekvering av kod på detta sätt utesluta utvecklare och rena IKEv1 påverkas i allmänhet inte.

Den just släppt version 5.2.2 strong eliminerar problemet; för de äldre versionerna av utvecklarna villiga plåster. Distributörer såsom Debian och Ubuntu är redan släpper uppdaterade paket. Red Hat förklarar strong versioner av Red Hat Enterprise Linux 7 påverkas inte eftersom de "IKEv1 / IKEv2 inte stöd" - vad nu det kan betyda för en fungerande Red Hat IPSec.



Igen i Mode: trojaner i Office-makronIt Säkerhetsnyheter

Skapad av J. Halex tor, januari 08, 2015 22:32:01

Microsoft har klivit observerats de senaste veckorna malware attacker mot Office-dokument som innehåller makron. Denna typ av skadlig kod fördelningen var länge tänkt att vara utdöd.

Makrovirus som riktar Microsoft Office faktiskt försvunnit från scenen - förrän nu. Forskare rapporten säkerhets från Microsofts Malware Protection Center som två trojaner sprids alltmer sedan mitten av december via e-post, bara dra nytta av detta mål. Även inaktiv vid fabriken i Office Makron under ganska lång tid, att hjärnorna bakom attacken orsakar användare men med tricks aktivera det igen.

Med de senaste attackerna, kommer offret att få ett e-postmeddelande, .doc på den infekterade dokumenttypen eller lägga till en .xls. Öppnar en användare dessa filer med makron aktiverade, är skadlig kod exekveras, laddar de mer skadliga filer från Internet. Makron är inaktiverad som standard Office har detta faktum, om ett lämpligt dokument öppnas. Den förbi angriparen dock leda till anser med offren, var dokumentet skapades med en "nyare version av Office" och användaren måste göra det möjligt makron för att visa det på rätt sätt. Hur man gör det, de förklarar träffande direkt i dokumentet.

Vem kommer att få e-post med bilagor sådana, inte under några omständigheter önskemål från avsändaren att möta - Macro funktioner är bättre. Användare som har Office-makron som standard, bör detta beslut ges de förnyade attacker kan nu tänka om.



Säkerhet relaterad sårbarhet i Cisco H.264 modul för FirefoxIt Säkerhetsnyheter

Skapad av J. Halex fre, november 28, 2014 21:21:10

Cisco har släppt en säkerhetsvarning på grund av hans video codecs som nyligen gjorts tillgängliga för Firefox.

Den OpenH.264 Biblioteket Cisco har en sårbarhet som bygger på en ofullständig granskning av den bearbetade videoströmmen. Det är således, enligt nätverksspecialister möjliga tillämpningar som använder funktionerna i detta bibliotek att krascha eller injicera kod som exekveras med samma behörighet ansökan.

I oktober i år var Mozilla Ciscos Bibliotek byggd för videovisning i Firefox. Cisco har släppt en uppdatering, men det har ännu inte funnit sin väg in i nuvarande version 33.1 i webbläsaren för Mozilla Foundation.

Plugin-kan avaktiveras i Add-on Manager: Klicka på de tre horisontella linjerna på upp till höger i webbläsaren, välj Tillägg och "Open H.264 video codec som tillhandahålls av Cisco" inaktivera om det är en version som inte är högre än 1.2.0.



Crypto PHP Lömsk skadlig kod har infekterat tiotusentals servrarIt Säkerhetsnyheter

Skapad av J. Halex fre, november 28, 2014 21:01:21

Den skadegöraren är dolt i pirat teman och plugin-program för content management system Drupal, Wordpress och Joomla. När smittade, är servern del av ett botnät, manipulerade sökning ranking. Till nackdel för din egen webbplats.

Tiotusentals webbservrar är infekterade med skadlig PHP-kod som distribueras över pirat teman och plugins för content management system (CMS) som Drupal, Wordpress eller Joomla. När smittade av CryptoPHP, ansluter sig till webbservern i ett botnät. Dess Lömsk använder den infekterade servern för att förbättra sökresultat för oseriösa webbplatser på bekostnad av de smittade sidor, rapporterar bevakningsföretag Fox-IT. Även om den skadliga koden teoretiskt skulle kunna fungera i alla PHP baserade CMS dock skurkarna fokusera förmodligen på programvaran som nämns på grund av sin popularitet.

Drabbade mer än 23.000 servrar

Den bevakningsföretag Fox-IT, som upptäckte attacken, har kunnat eliminera många av de lednings servrar botnätet. De flesta av servrarna var belägna i Tyskland och Nederländerna (80%), med enstaka servrar i USA och en vardera i Polen. Inom en vecka efter Fox-IT hade publicerat de detaljer som Lömsk har svarat och anpassade till deras skadliga kod. Utifrån sina observationer av IP-adresser i kontrollservern, forskarna uppskattar att mer än 23.000 webbplatser är angripna. De skadedjur kommunicerar krypterad, vilket gör det svårare för forskare att få information om de systemen i erfarenhet att huset fortfarande den skadliga koden.

Beroende på den drabbade CMS ser infekterat tredje parts program subtilt annorlunda. Under hela den skadliga koden binder dock en include () - Uttalande påstådda PNG-fil. Om du tittar noga på detta PNG, upptäcker du att det faktiskt är kamouflerad PHP-kod. Fox-IT beskriver i sin detaljerad studie av exploatera (PDF) hur exakt du kan upptäcka infekterade teman och plug-ins. För detta ändamål har forskarna också ett skript som du kan testa din egen server för infektioner med CryptoPHP.

Särskilt lömsk aspekt av infekterade Wordpress installationer är det faktum att den skadliga koden skapade ett separat konto administratör så skurkarna fortfarande tillgång till servern, även om den faktiska skadlig kod har tagits bort.



Sandworm och SCADA ConnectionIt Säkerhetsnyheter

Skapad av J. Halex sön, oktober 19, 2014 13:50:18

För några dagar sedan en rapport till Sandworm laget publicerades. Efter forska den relaterade Sandworm med malware och de domäner som Trend Micros expertgrupp insåg snabbt att denna grupp troligen kommer att ta på SCADA fokuserade riktade offer som använder CIMPLICITY HMI-lösning från GE Intelligent Plattforms.

Cyberbrottslingar använder .cim- och .bcl filer som angreppsvägar - både filtyper som används av CIMPLICITY mjukvaran. Ytterligare bevis för detta antagande är att de skadliga filerna butiker i CIMPLICITY installationskatalogen för offrets dator genom att använda miljövariabeln %% CIMPATH.

CIMPLICITY är ett program svit som används i samband med SCADA-system. En nyckelkomponent i alla SCADA system är HMI (Human Machine Interface), en typ av operatör konsol för övervakning och kontroll av anordningar i en industriell miljö. Dessa enheter kan vara ansvariga för kontroll och automationssystem för säkerhetsverksamheten. Figur 2 visar ett exempel på där HMI kan hittas i ett kraftverk. Dessutom HMI i företagets nätverk, som ansvarar för design, utveckling och testning, vara närvarande.

För närvarande CIMPLICITY används som en attack vector, men forskarna fann inga bevis för att detta malware har manipulerat en faktisk SCADA-system eller relaterade data. Eftersom HMI kan hittas både i företagens och kontrollnätverk, skulle denna attack kan användas för att antingen göra en nätverkssegment, eller att byta från företagens för nätverksstyrning.

Vid närmare granskning av rapporten till Sandworm laget det föll en del av C2S. En av de mest slående var 94 [.] 185 [.] 85 [.] 122: a Forskarna säkerhets kunde skapa en fil som heter config.bak (SHA1 hash: c931be9cd2c0bd896ebe98c9304fea9e) hitta. Det var en CimEdit / CimView fil, ett objektorienterat fil för hantering av SCADA-enheter i GE: s Cimplicity SCADA mjukvara.

Ytterligare detaljer om bevis finns intresserade:

http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/

Källa : Trendmicro