viernes, 31 de julio de 2009
Papers - BlackHat 2009
Este entrada es solo para comentar que ya estan disponibles los papers, slides y videos de las presentaciones que se dieron en BlackHat 2009.
http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
Algunas interesantes como la que dieron Alfredo Ortega y Anibal Sacco de Core Security Technologies en la que nos dieron a conocer de un rootkit que viene preinstalado en casi todas las laptos del planeta :P
Lean!.
Etiquetas:
conferencias,
News,
Papers,
Slides,
Videos
jueves, 23 de julio de 2009
Otra vez sopa! (nuevo 0-day en Adobe Flash)
Parece que anda circulando un nuevo worm explotando una nueva vulnerabilidad (todavia no patcheada) en Flash Player. Parece que ademas, este worm, afecta a Adobe Reader al poder embeber un .swf dentro de un .pdf.
Hasta el momento no hay mas noticias publicas. En Milw0rm se publico un supuesto PoC:
http://milw0rm.com/exploits/9233
Pero aparentemente segun Symantec este no tiene relacion con este nuevo 0day.
Para mayor informacion pueden visitar los siguientes sites:
http://twitter.com/Str0ke
http://twitter.com/hdmoore
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
http://www.kb.cert.org/vuls/id/259425
UPDATE1:
http://xorl.wordpress.com/2009/07/23/adobe-vulnerability-on-milw0rm/
http://blog.fireeye.com/research/2009/07/actionscript_heap_spray.html
http://isc.sans.org/diary.html?storyid=6847
http://extraexploit.blogspot.com/2009/07/something-about-cve-2009-1862-poc.html
Saludos.
Etiquetas:
News
lunes, 20 de julio de 2009
while(1), simple as that!.
Hola!,
queria contarles de un problema que tuve y como lo solucione muy facilmente.
La situacion era la siguiente: tenia un webserver corriendo y ademas otro programa que fowardeaba los requests http de determinada clase al webserver. Determinado request hacia que se cargue una dll on-demand que yo queria tracear. En principio, sospechaba del proceso responsable de cargar dicha dll pero probando con Olly varias cosas como por ejemplo, setearlo para que se detenga cuando una dll nueva es cargada, no funcionaba, ni tampoco un BPX en LoadLibraryA. La cosa se ponia dificil.
Conversando un rato con un amigo (Yibam) y comentandole el problema que tenia, ideamos un par de soluciones que podian llegar a resultar, como por ejemplo, utilizando un driver y desde kernel seteando un callback para que cuando se carguen las dlls podamos determinar que proceso era y que dll cargaba. Otra idea fue implementar eso mismo pero desde user-mode con uhooker....todas eran soluciones un tanto liosas para algo tan simple.
Luego, hablando con otro amigo (marciano) me dijo: "y si pones un INT3 en el DllMain?", la idea era buena, la probe pero resulta que el webserver parecia catchear la excepcion y tirar un error :(
Finalmente di con la solucion (gracias marciano nuevamente), por que en lugar de un INT3 no colocamos un JMP EIP (while(1))?. Pues dicho y hecho, eso fue lo que hice y pum!!!! habia un proceso que se "comia" el 99% del CPU!, attacheandome a dicho proceso pude comprobar que era el causante de cargar la dll que tanto buscaba.
Al final, un problema que parecia sencillo, para el cual habiamos diseñado soluciones algo complejas, termino solucionandose con algo super sencillo!, como era de esperar.
Bueno, eso, una estupidez pero queria contarselas!.
Hasta la proxima!.
queria contarles de un problema que tuve y como lo solucione muy facilmente.
La situacion era la siguiente: tenia un webserver corriendo y ademas otro programa que fowardeaba los requests http de determinada clase al webserver. Determinado request hacia que se cargue una dll on-demand que yo queria tracear. En principio, sospechaba del proceso responsable de cargar dicha dll pero probando con Olly varias cosas como por ejemplo, setearlo para que se detenga cuando una dll nueva es cargada, no funcionaba, ni tampoco un BPX en LoadLibraryA. La cosa se ponia dificil.
Conversando un rato con un amigo (Yibam) y comentandole el problema que tenia, ideamos un par de soluciones que podian llegar a resultar, como por ejemplo, utilizando un driver y desde kernel seteando un callback para que cuando se carguen las dlls podamos determinar que proceso era y que dll cargaba. Otra idea fue implementar eso mismo pero desde user-mode con uhooker....todas eran soluciones un tanto liosas para algo tan simple.
Luego, hablando con otro amigo (marciano) me dijo: "y si pones un INT3 en el DllMain?", la idea era buena, la probe pero resulta que el webserver parecia catchear la excepcion y tirar un error :(
Finalmente di con la solucion (gracias marciano nuevamente), por que en lugar de un INT3 no colocamos un JMP EIP (while(1))?. Pues dicho y hecho, eso fue lo que hice y pum!!!! habia un proceso que se "comia" el 99% del CPU!, attacheandome a dicho proceso pude comprobar que era el causante de cargar la dll que tanto buscaba.
Al final, un problema que parecia sencillo, para el cual habiamos diseñado soluciones algo complejas, termino solucionandose con algo super sencillo!, como era de esperar.
Bueno, eso, una estupidez pero queria contarselas!.
Hasta la proxima!.
Etiquetas:
Misc
lunes, 13 de julio de 2009
Nuevo 0day en Microsoft Office (Web Components) CVE-2009-1136
Hola!,
Parece que MS ha publicado un nuevo advisory sobre una vulnerabilidad en Web Components instalado por varias versiones de Office (XP, 2003, 2007). Aparentemente es un ActiveX cuyo CLSID es {0002E541-0000-0000-C000-000000000046}.
Aqui la lista de software afectado:
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006
Aqui esta el advisory de Microsoft:
http://www.microsoft.com/technet/security/advisory/973472.mspx
Algunos links de interes mas:
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx
PoCs:
http://downloads.securityfocus.com/vulnerabilities/exploits/35642.html
http://downloads.securityfocus.com/vulnerabilities/exploits/35642.rb
A patchear sus sistemas!.
Parece que MS ha publicado un nuevo advisory sobre una vulnerabilidad en Web Components instalado por varias versiones de Office (XP, 2003, 2007). Aparentemente es un ActiveX cuyo CLSID es {0002E541-0000-0000-C000-000000000046}.
Aqui la lista de software afectado:
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006
Aqui esta el advisory de Microsoft:
http://www.microsoft.com/technet/security/advisory/973472.mspx
Algunos links de interes mas:
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx
PoCs:
http://downloads.securityfocus.com/vulnerabilities/exploits/35642.html
http://downloads.securityfocus.com/vulnerabilities/exploits/35642.rb
A patchear sus sistemas!.
viernes, 10 de julio de 2009
Crackinglandia ahora en twitter!
Hola!,
Si, como dice el titulo del post, ahora Crackinglandia en Twitter!:
http://twitter.com/crackinglandia
Eso, un update rapido!.
Nos vemos!.
Si, como dice el titulo del post, ahora Crackinglandia en Twitter!:
http://twitter.com/crackinglandia
Eso, un update rapido!.
Nos vemos!.
Etiquetas:
News