Pesquisador de segurança afirma ter encontrado uma falha no Skype a qual permitiria  a injeção de XSS ( Cross Site Scripting). Será? Vamos descobrir ^^

A porta-voz do Skype discorda, e afirmou em   um email ao site TheRegister, que tal falha não existe, e que o pesquisador se equivocou.

O que fora dito pelo pesquisador é que os campos, telefone móvel, casa, e cidade, estariam vulneráveis a ataques XSS. O mesmo diz ter realizado teste e disponibilizou algumas imagens do resultado do teste. O pesquisador ainda afirmou que atacantes poderiam utilizar destas falhas para inserir código maliciosos que levassem  os usuários a sites maliciosos, ou até mesmo se infectarem por algum tipo de WORM (verme em inglês).

Veja abaixo a imagem tida como prova da existência da falha:

Em resposta a porta-voz do Skype enviou um e-mail ao TheRegister (site de noticias) com o seguinte conteúdo:

Eu queria te dizer, que isso não é verdade o que ele disse, porque as entradas na (casa, escritório e telefone celular e até mesmo na “cidade”) são incorporados através de HTML “.

.

Como bom “fuçador” que sou, logo que fiquei sabendo da possível vulnerabilidade tratei logo de tentar reproduzir a falha na minha maquina, e pelo que vi a porta-voz tem razão. Pois dos campos citados pelo pesquisador nenhum deles reproduz o efeito do código para refletir no XSS.

E como  prova do que estou falando tirei algumas snapshots do meu Slype onde “reproduzi” com os mesmos códigos utilizados pelo pesquisador em questão.

Vejam:

Alguns campos até aceitam entradas em HTML (como a porta-voz tinha dito) mas não reproduzem o html, e no campo tel.celular, não é aceito/incorporado de forma alguma o código em HTML. Prestem atenção na imagem que disponibilizei, e vão ver que o campo tel.celular não aceitou o código que tentei inserir.

Tendo isso como base, não quero aqui dizer que o pesquisador esta errado, mas creio que ele deveria ter mais cautela antes de tomar partido de uma noticia tão forte, para um programa amplamente utilizado. Até por uma questão de zelo com sua imagem.

Tempos atrás, ou melhor em julho foi descoberta uma  falha semelhante a esta que o pesquisador “disse ter encontrado”. Porém em julho havia realmente um buraco no Skype que permitia a um atacante inserir códigos maliciosos do tipo Cross Site Scripiting.

E logo que foi descoberta, a equipe do Skype resolveu o problema. Para encerrar  essa postagem peço que se tiverem alguma dúvida sobre o tema abordado neste post, comente que irei responder.

Existe uma nova vulnerabilidade  ao XSS (cross-site scripting)  no Facebook, e  está sendo amplamente utilizado para automaticamente enviar mensagens nos murais dos outros usuários. A vulnerabilidade foi utilizada durante algum tempo, em alguns casos menores, no entanto, agora sendo amplamente utilizada pela primeira vez por muitos grupos diferentes, especialmente na Indonésia, onde é possível ver  milhares de mensagens infectadas sendo postadas por usuários desconhecidos.

A vulnerabilidade existe na versão móvel API do Facebook, devido à insuficiência filtragem JavaScript. Ela permite a qualquer site  incluir, por exemplo, um elemento iframe maliciosamente preparados que contém o JavaScript ou use o atributo http-equiv de valor “refresh” para redirecionar o browser para a URL contendo a JavaScript.

Qualquer usuário que estiver logado no Facebook e visitar a um site que contenha esse elemento ira automaticamente postar uma mensagem arbitrária em seu mural. Não é necessária  nenhuma interação do usuário, e não há truques envolvidos, como clickjacking. Basta visitar um site infectado para enviar uma mensagem de que o atacante escolheu.

Assim, deveria ser nenhuma surpresa que algumas dessas mensagens estão se espalhando muito rapidamente através do Facebook. Alguns estão postando links para sites infectados, criando XSS worms que se espalham de usuário para usuário.

Infelizmente, este tipo de  ataque é muito fácil de recriar, o que torna o problema ainda maior.

O Facebook informou que esta trabalhando para corrigir esta falha, mas até o momento desta postagem não havia sido corrigida.

Você pode evitar este ataque com medidas simples, como usar o add-on Noscript para o navegador Firefox, este add-on detecta o ataque, e o bloqueia evitando assim que você seja infectado.

Ontem a tarde a Microsoft lançou um alerta de segurança, que revela vulnerabilidade em vários de seus produtos de segurança que usam o engine Anti-Malware.

A falha permitia a um atacante que tivesse uma conta padrão no sistema operacional, criar uma chave de registro a qual quando escaneada   por uma das ferramentas anti-malwares afetadas, realizava a escalada de privilégios ao atacante transformando sua conta padrão em uma conta LocalSystem

Contas LocalSystem são predefinidas no sistema operacional e atua para o computador na rede, e tem privilégios substanciais. Sendo assim um atacante poderia em tese causar muito estrago.

A falha não chegou a ser divulgada ou explorada, pois a Microsoft foi alertada antes que qualquer ataque fosse registrado. A Microsoft informou que a falha foi relatada em sigilo a ela.

Em seu alerta a Microsoft diz que as ferramentas foram atualizadas automáticamente, porém não informou qual foi a data em que lançou a atualização. Mas informou que  os produtos irão receber tais atualizações após 48 do lançamento da atualização, sendo assim pode-se dizer que a atualização foi liberada a dois dias.

Os produtos afetados por essa vulnerabilidade são:

* Windows Live OneCare
* Microsoft Security Essentials
* Windows Defender Microsoft
* O Microsoft Forefront Client Security
* Microsoft Forefront Endpoint Protection 2010
* Ferramenta de Remoção de Software Mal-Intencionado da Microsoft

Portanto se você utiliza alguma dessas ferramentas, esteja em dia com as atualizações para ficar livre dessa vulnerabilidade.

Mas vale lembrar que as chances de um ataque destes ocorrer são muito remotas, porém não é impossível.

Oracle esta semana lançou uma versão atualizada do seu ambiente de execução Java que corrige 21 vulnerabilidades, sendo que 19 das quais permitem que os atacantes possa instalar remotamente um software malicioso em máquinas dos usuários finais.

A empresa recomenda aos utilizadores instalar o Java 6 Update 24, logo que possível, mas antes que os leitores sigam essa recomendação, permita-nos oferecer uma proposta modesta: Tente desinstalar completamente o Java. Isto irá diminuir dramaticamente a superfície de ataque da sua máquina, ea menos que você use um punhado de aplicações específicas sob JAVA, você nunca vai notar a diferença.

Era uma vez, Java, com o seu mantra de “write once, run anywhere“, que seria o cavaleiro branco que ia salvar a humanidade das garras predatórias do Microsoft Windows. Nunca se trabalhou desse jeito – pelo menos não em Desktops- mas a perspectiva foi suficiente para “assustar o inferno” de Bill Gates.

Apesar da campanha publicitária sobre o modelo superior de segurança Java, o quadro para alguns clientes ultrapassou os aplicativos da Adobe como o pacote de software mais explorados, com milhões de ataques registrados a cada trimestre. Embora a grande maioria das plataformas afetadas sejam o Windows, os ataques, embora os timidos, por agora, estão começando a meta Mac OS X. E dada a insistência de Steve Jobs de pensar diferente, a Apple não costuma lançar atualizações de segurança do Java mesmo  meses depois da publicação da Oracle.

Até ataques Java  contra o Linux já foram registrados.

Nós não vamos gastar muito tempo falando sobre o lado legal da Oracle no sistema operacional Android, mas isso é outra razão pela qual você pode querer evitar Java.

Então vá em frente, experimentá-lo e desinstalar o Java completamente. Você pode sempre reinstalá-lo se for necessário, embora, como já dissemos, se você for como a maioria das pessoas, há pouca chance que você vai precisar.

Nota de esclarecimento:
Não, o OpenOffice não requer Java. Na wiki doOpenOffice é dito:
Java é exigido apenas para completar o OpenOffice. A maioria das funções do OpenOffice funcionam muito bem em máquinas que não possuem o Java instalado.

Texto extraído e traduzido por: Silas Martins da fonte: http://www.theregister.co.uk

Para finalizar uma ilustração que define bem o que Java tem significado ultimamente para usuários finais:

A Microsoft liberou hoje uma ferramenta que visa inibir os ataques utilizando o sequestro de Dll’s, porém esta ferramenta não corrige a falha de modo global, uma vez que ela é voltada apenas para aplicações MS. Sendo assim os desenvolvedores de aplicações que estejam vulneráveis a este tipo de ataque terão que atualizar seus softwares.

A alegação da Microsoft para não ter criado uma atualização de contexto global, é a de que, existem centenas de aplicações já descobertas vulneráveis e outros milhares, as quais ainda não se sabem se são ou não vulneráveis.

Uma coisa é certa esta é sem dúvida a falha mais crítica dos últimos tempos, uma vez que foge do controle da Microsoft a correção.

Existem sites que tem mantido listas atualizadas de aplicações que são vulneráveis a estes ataques, como por exemplo, o http://www.exploit-db.com/dll-hijacking-vulnerable-applications/ que já lista inúmeras aplicações vulneráveis. A todo o momento surgem novas descobertas de aplicações vulneráveis.

Nestes momentos o que pode te salvar de uma grande dor de cabeça é o bom e velho bom censo. Pois o exploit não vai entrar em sua maquina sem que você permita.

Algumas pessoas tem me perguntado se por ter um programa vulnerável no PC, significa que ela já esta sendo atacada, a resposta é não. O ataque ocorre de duas formas, sendo elas:

Por compartilhamento de rede, onde o atacante irá tentar convencer o usuário a executar determinado arquivo, e este arquivo irá desencadear o processo de ataque.

Outra forma é via internet, onde sites irão pedir sua permissão para executar determinadas aplicações, e é neste momento que começa o ataque. Este tipo de ataque geralmente é bloqueado pelo firewall, porém em maquinas onde o firewall está mal configurado ou desativado, acaba se tornando um alvo fácil.

Veja abaixo uma ilustração de uma tentativa de ataque via internet:

site tentando realizar o ataque

Após acessar um site que tenha o intuito de atacar irá surgir este a tela abaixo:

O que fazer então para ter o mínimo de segurança?

1º Instalar a atualização http://support.microsoft.com/kb/2264107

2º Instalar e executar a ferramenta Fix-it

http://go.microsoft.com/?linkid=9742148

Feito isto agora é só ter bom censo ao navegar e ficar atento a novas atualizações que a Microsoft liberar.

Recentemente a Microsoft lançou um Security Advisory de um vetor de ataque remoto a uma classe de vulnerabilidades que afetam os aplicativos que carregam DLL’s de forma insegura. A causa raiz desse problema já de conhecimento dos desenvolvedores a algum tempo. No entanto, os pesquisadores publicaram na semana passada um vetor de ataque remoto para estas questões, que  no passado, estas questões foram geralmente considerados locais e relativamente de baixo impacto.

Aqui vão alguns pontos para o entendimento desta vulnerabilidade:

Quando um aplicativo carrega uma DLL, sem especificar um nome de caminho totalmente qualificado, o Windows tentará localizar a DLL pesquisando um conjunto definido de diretórios. Isto ganha o nome de pre-loading, ou seja, um pré-carregamento da DLL.

A Microsoft não sabe determinar quais aplicativos por ela criados, podem conter essa vulnerabilidade. Porém para evitar que esta vulnerabilidade seja utilizada em ataques, a própria MS já desenvolveu “um remendo”  que evitaria o ataque.

Só lembrando que a informação sobre este “remendo” são totalmente voltadas para desenvolvedores e administradores de Workstations, e não para o usuário final. Para quem deseja obter mais informações sobre tal remendo indico a leitura deste KB: http://support.microsoft.com/kb/2264107

A mudança é parte do que Mozilla chama de uma atualização de sua Security Bug Bounty Program, que foi lançado em 2004.

“Muita coisa mudou em seis anos desde que  o programa Mozilla foi anunciado, e nós acreditamos que uma das melhores maneiras para manter a segurança de nossos usuários é torná-lo economicamente sustentável para os investigadores de segurança, para fazer a coisa certa ao divulgar informações”, escreveu Lucas Adamski, diretor de engenharia de segurança, em um blog.

A Mozilla também ampliou o valor da recompensa, que continuará a aplicar-se o Firefox e o cliente de email Thunderbird, e também para o navegador Firefox móvel e outros serviços.

“Estes são produtos que têm, tradicionalmente nos temos pagado prêmios, de qualquer maneira, mas nós quisemos fazer isso explícito”, escreveu Adamski.

Mozilla pode negar uma recompensa para um pesquisador, no entanto, se a organização considera a pessoa agiu de má fé para com os usuários,disse  Adamski.

Outras partes do programa serão mantidas, no entanto. Uma recompensa ainda vai ser pago mesmo que um pesquisador tenha publicado informações sobre as vulnerabilidade ou se o pesquisador não tem tempo para trabalhar em estreita colaboração com a equipe de segurança da Mozilla.

Descoberta vulnerabilidade no navegador Opera versão 10.50 de nível crítico.

A vulnerabilidade descoberta nesta quarta feira pelo pesquisador Marcin Ressel possibilita ao atacante se apoderar da maquina atacada de forma remota.
Outra questão levantada sobre esta vulnerabilidade da conta de que somente sistemas Windows XP com SP3.

Alivio para uns dor de cabeça para outros, pois sendo esta vulnerabilidade explorável apenas na plataforma XP, os  demais usuários do sistema Windows podem ficar tranqüilos. O Opera Browser foi tido por muito tempo como o navegador mais seguro e a prova de fogo, porém esta provado que não existe um sistema 100% livre de falhas de segurança. A Opera ainda não se pronunciou oficialmente sobre a vulnerabilidade e nem tão pouco disponibilizou um patch de correção.

A vulnerabilidade esta ligada ao um erro de buffer que quando o processamento se dá de forma inadequada abre brechas de segurança. Usando deste erro um cracker poderia fazer com que o um internauta fosse redirecionado para um site malicioso sem nem ao menos perceber. Esta vulnerabilidade foi considerada de nível crítico uma vez que atacado o PC fica a total mercê do atacante.

Qual sistema não é vulnerável? Linux, Windows, ou Mac OS?

A verdade é que não existe um sistema totalmente livre de vulnerabilidades, por mais trabalhado que seja a parte de um sistema sempre irão existir falhas. São essas falhas que abrem brechas para ataques de criminosos virtuais. Uma prova disso é a recente pandemia que se tornou o Conficker. E o que seria o conficker? Bom ele  nada mais é do que vírus que  explora  uma falha de segurança no sistema Windows, falha essa que persistia desde o Win XP ao Vista só foi corrigida depois que explorada.

Qualquer falha de segurança possui características únicas. Cada sistema operacional e cada programa autônomo apresentam as suas, mas grande parte das vulnerabilidades permite o acesso a áreas até então consideradas restritas (como por exemplo, o vazamento de dados dos computadores da Casa Branca) trocando em miúdos toda estrutura de diretórios HD’s portáteis ou não, estão sujeitas a serem acessadas por meio de uma vulnerabilidade presente no sistema.

Os tipos de falhas mais exploradas são:

• Falhas que permitem acesso limitado ao sistema
• Falhas que afetam a disponibilidade do sistema (tira-lo do ar)
• Falhas que permitem a execução de códigos maliciosos (como a usada pelo conficker).

Porém como essas vulnerabilidades são descobertas? Simples para cada novo computador existe um novo superlammer, e esse hacker vai usar de um scan e vulnerabilidades para achar um ponto fraco no seu sistema. Eles utilizam um portscans que verifica os serviços ativos em um dado de sistema. Uma vez que ele já obteve os serviços ele vai atacá-los até que uma porta se abra.

Erros comuns que facilitam a vida dos hackers. Existe uma grande parte dos administradores de rede que deixam a configuração dos softwares instalados no seu sistema, como de fabrica, o que facilita a penetração em um sistema. Outro erro grave é achar que um já presente no sistema dará conta em uma possível tentativa de invasão. E o erro mais grave é a combinação óbvias de usuário e senha (user:Fabio/ senha:Junior), fujas desses erros e seus sistema terá maior chances de não ser invadido.

Considerações finais, na pense que só por que você usa um “super” antivírus você estará livre de um ataque, ou então por que você usa Linux “ele não pega vírus” esse pensamento é retrógrado e não procede, pois existem tantos exploits para Linux como para Windows, eu diria que até mais para Linux uma vez que os servidores de grande porte fazem uso de tal sistema e os hackers por sua vez têm total interesse nesses servidores.

Microsoft anunciou nesta quinta que há uma nova falha no Internet Explorer e alertou que um hacker poderia explorá-la para acessar arquivos, desde que com nome e localização conhecidas.

A vulnerabilidade foi discutida esta semana na conferência Black Hat DC por Jorge Luis Alvarez Medina, consultor de segurança da Core Security Technologies. A Microsoft diz que o risco é maior para usuários do IE rodando Windows XP ou que tenham desabilitado o recurso de “Modo Protegido” no navegador.

A apresentação de Medina demonstrou como um atacante pode ler cada arquivo da máquina do usuário do IE. O ataque usou diferentes recursos do IE para maximizar o dano.

Veja um trecho da palestra de Medina, publicada pel DarkReading:

[Medina] diz que recursos populares no IE, tais como as Zonas de Segurança para as URL e o protocolo de compartilhamento de arquivos, podem ser usados juntos para executar um ataque que resulta em amplo acesso de leitura na máquina da vítima. Medina planeja liberar um código de demonstração do ataque no mês que vem após o Black Hat DC, e depois que a Microsoft liberar um update, que afeta o IE a partir da versão 6.

“Essas vulnerabilidades são apenas recursos … a implementação deles permite que você obtenha certas informações, o que, por si só, é inofensivo. Mas, quando combinados com outros recursos, torna-se uma arma de ataque,” diz Medina. O ataque requer que o usuário clique em um link malicioso.

De acordo com um comunicado da Microsoft,  o Modo Protegido do IE previne a exploração dessa vulnerabilidade. Ele é padrão no Internet Explorer em Windows Vista, Windows Server 2008, Windows 7, e Windows Server 2008.

O problema afeta todas as versões do browser e é considerado mais sério no Windows XP.

Para prevenir-se antes do patch, veja esse comunicado da Microsoft.

Fonte: Threatpost