www.blackhat.kz

Уязвимые версии: NetBSD-current, NetBSD 4.0.
Тип уязвимости: Denial of service

Неправильная реализация RFC 2710 – Multicast Listener Discovery (MLD) for IPv6 запросов. Сформированный особым образом ICMPv6 пакет может привести к отказу в обслуживании. Эта уязвимость была возложена CVE-2008-2464.

Ошибка возникает при обработке MLD пакет с определенными значениями в поле «Maximum Response Delay» ( максимальное время задержки ).

Хочу заметить что уязвимы ядры скомпилированные с опцией

options INET6

Для того что бы обновить из CVS, пересобрать и переустановить ядро выполните следующие действия.:

# cd src
# cvs update -d -P sys/netinet6/mld6.c
# ./build.sh kernel=KERNCONF
# mv /netbsd /netbsd.old
# cp sys/arch/ARCH/compile/obj/KERNCONF/netbsd /netbsd
# shutdown -r now

Cisco Security Advisory: Remote Access VPN and SIP Vulnerabilities in Cisco PIX and Cisco ASA

В недавно обнаруженной уязвимости в Microsoft Windows версии nslookup.exe, инструмент для поиска IP-адреса с помощью системы DNS, затрагивает :

- Microsoft Windows 2000 Professional SP3
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 98
- Microsoft Windows 98SE
- Microsoft Windows ME
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Workstation 4.0 SP6
- Microsoft Windows NT Workstation 4.0 SP5
- Microsoft Windows NT Workstation 4.0 SP4
- Microsoft Windows NT Workstation 4.0 SP3
- Microsoft Windows NT Workstation 4.0 SP2
- Microsoft Windows NT Workstation 4.0 SP1
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional 

Как считают специлаисты уязвимость во всю используется «in the wild» ( в природе ).
Согласно SecurityFocus, неустановленное уязвимость позволяет злоумышленникам удаленно выполнять код.

В настоящее время не существует патч для проблемы. Microsoft заявила, что они знают о проблеме и идет расследование, однако не известно, когда Microsoft будет предоставлять патч.

Video of Poc (Ivan Sanchez)

Интернет-корпорация ICANN официально одобрила запрос регистратора доменной зоны .org Public Interest Registry на полномасштабное развертывание поддержки протокола DNSSEC. Таким образом, зона .org стала первой из международных доменных зон, организовавшей поддержку безопасного протокола работы с доменной информацией полный текст

Источник: Cybersecurity.ru

Что такое DNSSEC ?
DNSSEC (расширение для безопасность DNS ) добавляет безопасности в системе доменных имен.

DNSSEC была разработана для защиты от некоторых Интернет-атак, таких как DNS cache poisoning [0].
Она представляет собой набор расширений для DNS, которые предусматривают:
а) происхождения подлинности данных DNS.
б) целостность данных.
в) отказ в подлинности своего существования.

Эти механизмы требуют изменений в протокол DNS.
DNSSEC добавляет четыре новых ресурсов запись вида:
- Resource Record Signature (RRSIG)
- DNS Public Key (DNSKEY)
- Delegation Signer (DS)
- Next Secure (NSEC).
Эти новые РРП, подробно описаны в RFC 4034.

Есть идея написать скромный анализатор пакетов на основе сигнатур ( об этом позже ) для Windows, на основе WinPcap. У меня есть привычка, может быть плохая, не могу использовать что-то, не зная как оно работает. Поэтому я начинаю цикл «мини» статей в которых постараюсь хоть не много раскрыть архитектуру драйвера перехватчика WinPcap. Пожалуй начнем.

Что такое WinPcap.
WinPcap происходит от двух слов, Windows и Pcap. Что такое Windows думаю понятно, а вот про Pcap я все таки «копипастну» из вики для ленивых :

Библиотека Pcap (Packet Capture) позволяет создавать программы анализа сетевых данных, поступающих на сетевую карту компьютера. Примером программного обеспечения использующего библиотеку Pcap служит программа Wireshark. Разнообразные программы мониторинга и тестирования сети, снифферы используют эту библиотеку. Она написана для использования языка С/С++ так что другие языки, такие как Java, .NET и скриптовые языки использовать не рационально. Для Unix-подобных систем используют libpcap библиотеку, а для Microsoft Windows NT используют WinPcap библиотеку. Программное обеспечение сетевого мониторинга может использовать libpcap или WinPcap, чтобы захватить пакеты, путешествующие по сети и в более новых версиях для передачи пакетов в сети. Libpcap и WinPcap также поддерживают сохранение захваченных пакетов в файл и чтение файлов содержащих сохранённые пакеты. Программы написанные на основе libpcap или WinPcap могут захватить сетевой траффик, анализировать его. Файл захваченного траффика сохраняется в формате, понятном для приложений, использующих Pcap.

Архитектура драйвера. Начало

Начнем сразу с исходного кода драйвера. Функция DriverEntry, которую вызывает ядро при загрузки драйвера в адресное пространство ядра, находится в файле Packet.c ( WpcapSrc_4_0_2\winpcap\packetNtx\driver\Packet.c ). Сразу говорю, не пугайтесь.Ничего сверх естественного в коде нет, кто когда нибудь писал код для ядра windows поймет сразу что и как происходит в этой функции.

Прочтите эту запись до конца »

Обзор p0f – Анализ сетевого трафика.
Определение версии операционной системы,железа путем пассивного анализа сетевого трафика.

1. Вступление.
2. Термины.
3. Описание p0f.
4. Зачем это нужно ?
5. Как это работает ?
6. Анализ.
7. Ссылки.

1. Вступление.

В данной статье, я хочу показать как можно путем анализа сетевого трафика определить версию ОС генерирующий трафик. Я буду использовать утилиту p0f v2 ( http://lcamtuf.coredump.cx/p0f.shtml ) – универсальный инструмент для пассивного анализа сетевого трафика. Более подробное описание и методы работы утилиты вы можете посмотреть на сайте. Расскажу коротко, программа может пассивно анализировать активный сетевой трафик в среде компьютерной сети, либо анализировать уже перехваченный снифером трафик, предварительно сохраненный в файле. Я буду использовать p0f на виртуальной машине с ОС FreeBSD 7.0. Программу легко можно поставить с портов «cd /usr/ports/net-mgmt/p0f & make install clean». В качестве устройств генерирующих трафик я буду использовать свою машину с установленной на ней Windows XP Sp2, эмулятор Cisco 3725 с IOS’ом версии 12.3(14)T7, и конечно же Allied.

+ Windows XP SP2 RUS – 10.1.10.31
+ Dynamips 0.2.7-RC1 + GNS3. ISO : 12.3(14)T7 – 10.1.10.32
+ Allied Telesyn AT-8724XL version 2.7.4-02 22-Aug-2005 – 10.0.103.2

Прочтите эту запись до конца »