Рубрика «IT безопасность»

Патч-день у Microsoft

Wednesday, 09 Dec 2009

Вчера мелкомягкие выпустили очередной набор заплаток для всего семейства Windows и их приложений, в который вошло 6 патчей: 3 прикрывающих дырки на стороне клиента, и три закрывающие уязвимости позволяющие провести удаленную атаку. Уязвимости MS09-072, MS09-0071 и MS09-073 признаны критическими и должны быть установлены максимально быстро. Естественно, что если процессы критично важны, то первоначально стоит протестировать жизнеспособность патчей на машинах не выполняющих архиважные задачи.

Критические
MS09-071 – Уязвимость в Internet Authentication Service дающая возможность выполнения удаленного кода (974318)
MS09-072 – Кумулятивное обновление для Internet Explorer (976325)
MS09-074 – Уязвимость в Microsoft Office Project позволяющая выполнить удаленный код (967183)

Важные
MS09-069 – Уязвимость в Local Security Authority Subsystem Service приводящая к отказы в обслуживании (Denial of Service) (974392)
MS09-070 – Уязвимость в Active Directory Federation Services позволяющая выполнить удаленный код (971726)
MS09-073 – Уязвимость в WordPad и Office Text Converters позволяющие выполнить удаленный код  (975539)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

RDP и атака изнутри

Tuesday, 08 Dec 2009

Что делать админу без удаленного доступа к серверу, или рабочей станции. Бегать по этажам, со своего места в серверную, или к клиенту- никаких ног не хватит. Выручает только удаленный доступ, но не ко всем машинам можно достучаться по ssh, у нас же в парке всегда присутствует достаточное количество Windows серверов, и тогда мы прибегаем к помощи RDP.
(more…)

VN:F [1.9.21_1169]
Rating: 6.5/10 (2 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Мировая карта Интернет угроз

Friday, 04 Dec 2009

Компания McAfee выложила на своем сайте карту Internet угроз для пользователя. То есть представлена разблюдовка по странам к которым принадлежат домены верхнего уровня, на которые наиболее опасно заходить конечному пользователю.

Самым опасным признан домен Камеруна (с 36.7% сайтами несущими угрозу посетителю) cm, вытеснивший с этой позиции прошлогоднего лидера Гонконг (в котором, в этой связи, была введена обязательная идентификация личности при регистрации домена в зоне hk).
Такой необыкновенный рост следует приписать схожему написанию домена cm и второго лидера хит-парада, домена com, отвечающего за коммерческие организации, чьим сходством нередко пользуются злоумышленники, размещая в камерунских доменах поддельные сайты, чей синтаксис почти ничем не отличается от написания законопослушного оригинального.

На третьем месте расположился Китай, и наши оба домена стабильно входят в десятку лидеров: 9 и 8 места у российского и постсоветского доменов ru и su.

(more…)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Лечение sfcfiles.dll и sfc.sys

Thursday, 03 Dec 2009

Столкнулся с пакостным вирусом который сидит в двух файлах %SysWin%System32/sfcfiles.dll и %SysWin%System32/drivers/sfc.sys, причем оба видятся NOD32 который кричит что их надо удалить и точка, после чего машина перегружается и NOD видит их снова. Сам он в логах трактует их как троян программы  Win32/Asent.PHC и Win32/Patched FR, по dr.web’овской классификации это Trojan.Siggen.1342 и Trojan.WinSpy.184 соответственно.

(more…)

VN:F [1.9.21_1169]
Rating: 7.5/10 (13 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 10 votes)

SMB уязвимость в Windows 7

Wednesday, 18 Nov 2009

Радостная новость в стане мелкомягких, не успела появиться Windows 7, как обнаружилась DoS уязвимость, причем не абы где, а в самом сердце операционки: она базируется на реализации протокола Microsoft Server Message Block (SMB). Этой уязвимости подвержены серверные платформы Server 2008 и Windows 7, причем для последних это является первой зарегистрированной уязвимостью 0-дня (zero-day).

SMB – это протокол совместного межсетевого использования файлов (ненавижу переводить английскую терминологию) который входит в Microsoft Windows. Уязвимость вызывает ошибку SMB при обработке специально сконфигурированного SMB-пакета. Удаленный злоумышленник может использовать данную уязвимость через специально созданный особым образом сетевой пакет. Удачное использование уязвимости приведет к отказу в обслуживании атакуемой машины и её зависанию, вплоть до ручной перезагрузки системы. Данную уязвимость невозможно использовать для перехвата контроля или установки злонамерного программного обеспечения на атакуемую систему.

Со слов экспертов безопасности код эксплоита уже доступен, хотя специалисты Microsoft и высказывают сомнения относительно возможности использования этого эксплоита для атаки. Пользователям как обычно остается ждать святого дня Microsoft приходящегося на второй вторник месяца, т.е. в данном случае 8.12 и уповать на системы предотвращения вторжений IPS, которые способны предотвратить проникновение в систему не корректно сконфигурированных SMB пакетов.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Spam-bot и его лечение

Thursday, 10 Sep 2009

Вечер вторника ознаменовался битвой: подобно борьбе Геракла с Лернейской гидрой, мне пришлось воевать со старым знакомым спам-ботом, кторого не видит ни один из антивирусов и утилит о которых я писал хвалебную статейку ранее. Антивири видели всякую пакость под 10-15 наименований, пытались вылечить, но после перезагрузки всне начиналось сначала, включая попытки спам- рассылки.
(more…)

VN:F [1.9.21_1169]
Rating: 9.7/10 (3 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Обновление антивируса на шлюзе за прокси сервером

Wednesday, 09 Sep 2009

Перед заказчиком встала проблема обновления антивируса на шлюзе check point находящемся за прокси сервером, и служащего для защиты внутренней фермы серверов.

(more…)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)