Archivi tag: exploit

Anonymous e LulzSec ora pubblicamente negano l’attacco al CNAIPIC !!

Non siamo stati noi a violare i server del Centro Nazionale Anticrimine della Polizia Italiana!

Il gruppo internazionale di hacker Anonymous (che ha ultimamente legato il proprio nome a battaglie a sostegno di Wikileaks e Julian Assange, nonchè a quelle contro Sony) aveva proclamato due giorni fa, 25 luglio 2011, sul proprio account Twitter e tramite un non fraintendibile video ufficiale su YouTube, il proprio attacco portato positivamente a termine contro il C.N.A.I.P.I.C. della Polizia di Stato, definito testualmente come l’accesso al Vaso di Pandora,

Aveva pubblicizzato, peraltro sfrontatamente, la notizia del bottino trafugato (8GB di dati, una minima parte dei quali subito messi a disposizione per il download sui propri server) a suo dire proveniente dal server, di importanza sensibile, utilizzato dal C.N.A.I.P.I.C. come dispositivo di tutte le informazioni ottenute tramite le indagini forensi:

video ufficiale Anonymous dell’attacco al C.N.A.I.P.I.C.

Oggi 27 luglio, a poco più di due giorni di distanza, Anonymous torna incredibilmente indietro sui propri passi, e lo fa con un volantino ufficiale diffuso in rete!!

E’ utile ripercorrere l’andamento dei fatti, e di come immediatamente dopo aver trionfalmente annunciato il (disdicevole) presunto attacco contro il C.N.A.I.P.I.C., quale azione di contrasto agli arresti di una decina di giorni fa, il 25 luglio le agenzie di stampa di mezzo mondo e in particolar modo quelle italiane in rete avevano dato grande risalto, nonché ampio credito e visibilità alla notizia. Allo stato dei fatti possiamo ben dire come i media abbiano agito in maniera alquanto frettolosa e senza mettere in pratica, oltre a un minimo spirito critico, le necessarie attività di verifica che contraddistinguono la serietà e l’obiettività di una corretta informazione.

Piccola parentesi: un esempio lampante di questo tipo di discutibile (dis)informazione, o nel migliore dei casi di informazione all’acqua di rose, è quello reso da alcuni giornalisti di Repubblica. Forti evidentemente di una pseudo-notizia di forte impatto, l’hanno cavalcata alla grande sin dai primissimi momenti, fornendo nei due giorni successivi un reportage completo, a partire dalla propria pagina Facebook:

Abbiamo attaccato i cybersegugi italiani” Su internet migliaia di documenti riservati – Repubblica, lunedì 25 luglio 2011 – h13.58

e a seguire con ben quattro diverse inchieste sul proprio spazio online:

“Abbiamo attaccato i cybersegugi italiani” Su internet migliaia di documenti riservati.

Gli hacker espugnano la Polizia postale “Violato il server, documenti in Rete”

Attacco ai cyber detective italiani Sul web i documenti riservati

I pirati del web, polizia sotto attacco

In maniera tanto evidente Repubblica dava peso, credito e veridicità alle fonti interne ad Anonymous, che nell’ultimo dei quattro articoli pubblicava finanche una serie di (dubbi) documenti a firma della Polizia Postale, resi poco prima disponibili allo scaricamento dagli hacktivisti sui propri server, e partecipando così (si spera inconsciamente ed in buona fede) all’operazione di gratuito discredito ai danni di una delle più importanti,  attive e competenti realtà dell’intelligence italiana.

Come non dare un consiglio ai signori giornalisti di Repubblica interessati alla pubblicazione non-critica delle precedenti notizie: non fareste forse meglio ad impegnarvi maggiormente nel portare a termine altro tipo di informazione? Certo è necessario più tempo, ingegno e fatica per produrre un minimo di verifica alle notizie ricevute, ma almeno evitereste il rischio di cadere facilmente nel ridicolo, assimilandovi agli innumerevoli siti (peraltro non testate giornalistiche come Repubblica) che nient’altro fanno se non far rimbalzare le medesime (false) informazioni.

Tornando a parlare del gruppo italiano di Anonymous, direttamente sul proprio sito di riferimento (http://anonops-ita.blogspot.com/) si affretta ora a negare in maniera assoluta ogni diretta o indiretta responsabilità riguardo quel presunto attacco alle apparecchiature informatiche del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della Polizia di Stato italiana, scaricando ora in modo ufficiale le colpe esclusivamente sui membri del gruppo Nkwt Load.

Col medesimo messaggio, insieme ad Anonymous si tira fuori da questa vicenda anche LulzSec, l’altra famosa community di pirati informatici: nel comunicato congiunto, fanno sapere:

Non ci sono prove, non conosciamo le tecniche usate per violare i server. In merito alla notizia relativa alla divulgazione di numerosi file sottratti ai server dello Cnaipic della Polizia di Stato, precisiamo che tale attività è da attribuirsi esclusivamente all’operato della crew Nkwt Load, che ad oggi non risulta in alcun modo collegata a noi. Non siamo in possesso dei file sottratti allo Cnaipic – continua il comunicato – né siamo a conoscenza delle tecniche utilizzate per entrare nei server. Non possediamo nemmeno alcun file comprovante le gravi accuse di corruzione e spionaggio rivolte da Nkwt Load agli investigatori dell’anticrimine informatico. Per tutti questi motivi, non possiamo sostenere la causa“.

Gli esperti della Polizia Postale stanno portando avanti gli accertamenti tecnici necessari per comprendere cosa sia realmente accaduto, cosa sia stato effettivamente trafugato e soprattutto come tutto questo possa essersi realmente verificato. L’ipotesi più accreditata rimane, a quanto è trapelato, quella di un’intrusione su un computer sulla rete esterna, probabilmente una di quelle gestite da società esterne che supportano l’infrastruttura di rete del C.N.A.I.P.I.C.

Forti perplessità sussistono, infine, sulla reale autenticità dei documenti pubblicati: “La maggior parte non sono nostri – sostengono al C.N.A.I.P.I.C. – sono stati recuperati su Internet da altre fonti. Molti sono manipolati. Abbiamo verificato alcuni numeri di protocollo dei fogli intestati alla Polizia Postale e abbiamo verificato che non sono originali“.

Alla base della dissociazione di Anonymous e LulzSec potrebbe esserci realmente la davvero scarsa attendibilità del materiale pubblicato e definito “riservato“.

In buona sostanza una situazione che si sta evolvendo in modo evidentemente paradossale, e che comunque mette di certo bene in evidenza almeno una delle caratteristiche di questi gruppi, ovvero l’assoluta mancanza coordinativa al proprio interno: ciò sembrerebbe farne il punto di massima forza e, allo stesso tempo, quello di estrema debolezza. A partire da questa constatazione e considerando lo sviluppo innegabilmente orizzontale del gruppo, privo cioè di ogni gerarchia (caratteristica sostenuta in maniera decisa da Anonymous), la domanda fondamentale che tutti gli osservatori più attenti andranno senzaltro da chiedersi è:

quale dovrebbe essere la logica usata per portare unitariamente il gruppo alla determinazione di una figura di riferimento, la quale possa divenire senza tema di smentite portavoce ufficiale dell’intero movimento!?

Alla luce di quanto accaduto, la valutazione che appare necessario fare è ancora una volta quella di sottolineare come da parte degli attivisti, pur a fronte di una comunione di idee ed intenti, sia impresa difficilmente attuabile il raggiungere un punto d’incontro sulla gestione unitaria e profonda dei mezzi e le modalità con cui portarli a compimento: è spesso invece la diffusa anarchia, unico punto associativo largamente condiviso, a farla da protagonista.

Questa caratteristica porta alla mancanza di un valore accettabile di affidabilità in merito ai proclami manifestati da alcuni, in quanto improbabile la risultanza di certificarne la reale condivisione ed accettazione su larga scala o da parte di un ben determinato numero di aderenti in seno al movimento stesso.

Annunci

Mozilla Firefox and Thunderbird CVE-2011-2365 Memory Corruption Vulnerability

Mozilla Firefox and Thunderbird CVE-2011-2365 Memory Corruption Vulnerability

Mozilla Firefox and Thunderbird are prone to a remote code-execution vulnerability due to memory-corruption.
Attackers can exploit this issue to execute arbitrary code in the context of the affected application. Failed exploit attempts will likely result in denial-of-service conditions.

NOTE: This issue was previously discussed in BID 48354 (Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2011-19 through -28 Multiple Vulnerabilities) but has been given its own record to better document it.

(Mozilla Firefox e Thunderbird sono soggetti ad una esecuzione di codice remoto a causa di una vulnerabilità di corruzione della memoria.
Gli aggressori possono sfruttare questo problema per eseguire codice arbitrario nel contesto dell’applicazione interessata. Tentativi di exploit riuscito probabilmente porteranno a condizioni di Denial-of-Service.

NOTA: Questo problema è già stato discusso nel BID 48354 – Mozilla Firefox / Thunderbird / SeaMonkey MFSA 2011-19 attraverso -28 Vulnerabilità multiple – ma è stato dato un proprio record per meglio documentarlo.)

La vulnerabilità è applicata a:

Ubuntu Ubuntu Linux 10.10 powerpc
Ubuntu Ubuntu Linux 10.10 i386
Ubuntu Ubuntu Linux 10.10 ARM
Ubuntu Ubuntu Linux 10.10 amd64
Ubuntu Ubuntu Linux 10.04 sparc
Ubuntu Ubuntu Linux 10.04 powerpc
Ubuntu Ubuntu Linux 10.04 i386
Ubuntu Ubuntu Linux 10.04 ARM
Ubuntu Ubuntu Linux 10.04 amd64
SuSE SUSE Linux Enterprise Teradata 10 SP3
SuSE SUSE Linux Enterprise Software Development Kit 11 SP1
SuSE SUSE Linux Enterprise Server 11 SP1
SuSE SUSE Linux Enterprise Server 10 SP4
SuSE SUSE Linux Enterprise Server 10 SP3
SuSE SUSE Linux Enterprise SDK 10 SP4
SuSE SUSE Linux Enterprise SDK 10 SP3
SuSE SUSE Linux Enterprise Desktop 11 SP1
+ Linux kernel 2.6.5
SuSE SUSE Linux Enterprise Desktop 10 SP4
+ Linux kernel 2.6.5
SuSE openSUSE 11.4
SuSE openSUSE 11.3
Slackware Linux 13.37 x86_64
Slackware Linux 13.37
Slackware Linux 13.1 x86_64
Slackware Linux 13.1
Slackware Linux 13.0 x86_64
Slackware Linux 13.0
Slackware Linux -current
RedHat Enterprise Linux WS 4
RedHat Enterprise Linux Optional Productivity Application 5 server
RedHat Enterprise Linux ES 4
RedHat Enterprise Linux Desktop Workstation 5 client
RedHat Enterprise Linux AS 4
RedHat Enterprise Linux Desktop version 4
RedHat Enterprise Linux 5 server
Red Hat Fedora 15
Red Hat Enterprise Linux Workstation Optional 6
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Server Optional 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux HPC Node Optional 6
Red Hat Enterprise Linux Desktop Optional 6
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 5 client
Mozilla Thunderbird 3.1.7
Mozilla Thunderbird 3.1.5
Mozilla Thunderbird 3.1.5
Mozilla Thunderbird 3.1.4
Mozilla Thunderbird 3.0.11
Mozilla Thunderbird 3.0.9
Mozilla Thunderbird 3.0.9
Mozilla Thunderbird 3.0.8
Mozilla Thunderbird 3.0.5
Mozilla Thunderbird 3.0.5
Mozilla Thunderbird 3.0.4
Mozilla Thunderbird 3.0.2
Mozilla Thunderbird 3.0.1
Mozilla Thunderbird 2.0 24
Mozilla Thunderbird 2.0 .9
Mozilla Thunderbird 2.0 .8
Mozilla Thunderbird 2.0 .6
Mozilla Thunderbird 2.0 .5
Mozilla Thunderbird 2.0 .4
Mozilla Thunderbird 2.0 .19
Mozilla Thunderbird 2.0 .17
Mozilla Thunderbird 2.0 .16
Mozilla Thunderbird 2.0 .15
Mozilla Thunderbird 2.0 .14
Mozilla Thunderbird 2.0 .13
Mozilla Thunderbird 2.0 .12
Mozilla Thunderbird 3.1.9
Mozilla Thunderbird 3.1.8
Mozilla Thunderbird 3.1.7
Mozilla Thunderbird 3.1.6
Mozilla Thunderbird 3.1.3
Mozilla Thunderbird 3.1.2
Mozilla Thunderbird 3.1.2
Mozilla Thunderbird 3.1.10
Mozilla Thunderbird 3.1.1
Mozilla Thunderbird 3.1
Mozilla Thunderbird 3.0.7
Mozilla Thunderbird 3.0.6
Mozilla Thunderbird 3.0.4
Mozilla Thunderbird 3.0.3
Mozilla Thunderbird 3.0.11
Mozilla Thunderbird 3.0.10
Mozilla Thunderbird 3.0
Mozilla Thunderbird 2.0.0.23
Mozilla Thunderbird 2.0.0.22
Mozilla Thunderbird 2.0.0.21
Mozilla Thunderbird 2.0.0.18
Mozilla Firefox 3.6.13
Mozilla Firefox 3.6.13
Mozilla Firefox 3.6.10
Mozilla Firefox 3.6.9
Mozilla Firefox 3.6.8
Mozilla Firefox 3.6.6
Mozilla Firefox 3.6.4
Mozilla Firefox 3.6.3
Mozilla Firefox 3.6.2
Mozilla Firefox 3.6.2
Mozilla Firefox 3.5.17
Mozilla Firefox 3.5.16
Mozilla Firefox 3.5.14
Mozilla Firefox 3.5.13
Mozilla Firefox 3.5.10
Mozilla Firefox 3.5.10
Mozilla Firefox 3.5.9
Mozilla Firefox 3.5.9
Mozilla Firefox 3.5.8
Mozilla Firefox 3.5.7
Mozilla Firefox 3.5.6
Mozilla Firefox 3.5.5
Mozilla Firefox 3.5.4
Mozilla Firefox 3.5.3
Mozilla Firefox 3.5.2
Mozilla Firefox 3.5.1
Mozilla Firefox 3.5
Mozilla Firefox 3.6.7
Mozilla Firefox 3.6.6
Mozilla Firefox 3.6.17
Mozilla Firefox 3.6.16
Mozilla Firefox 3.6.15
Mozilla Firefox 3.6.14
Mozilla Firefox 3.6.12
Mozilla Firefox 3.6.11
Mozilla Firefox 3.6 Beta 3
Mozilla Firefox 3.6 Beta 2
Mozilla Firefox 3.6
Mozilla Firefox 3.5.19
Mozilla Firefox 3.5.18
Mozilla Firefox 3.5.17
Mozilla Firefox 3.5.15
Mozilla Firefox 3.5.12
Mozilla Firefox 3.5.11
MandrakeSoft Linux Mandrake 2010.1 x86_64
MandrakeSoft Linux Mandrake 2010.1
MandrakeSoft Linux Mandrake 2009.0 x86_64
MandrakeSoft Linux Mandrake 2009.0
MandrakeSoft Enterprise Server 5 x86_64
MandrakeSoft Enterprise Server 5
Debian Linux 6.0 sparc
Debian Linux 6.0 s/390
Debian Linux 6.0 powerpc
Debian Linux 6.0 mips
Debian Linux 6.0 ia-64
Debian Linux 6.0 ia-32
Debian Linux 6.0 arm
Debian Linux 6.0 amd64

Soluzioni:

MandrakeSoft Linux Mandrake 2009.0 x86_64

MandrakeSoft Enterprise Server 5

MandrakeSoft Linux Mandrake 2009.0

Riferimenti:


Buffer Overflow di Microsoft Office su documenti RTF

Microsoft Office RTF File Stack Buffer Overflow Vulnerability

Microsoft Office is prone to a remote stack-based buffer-overflow vulnerability because the software fails to perform adequate boundary checks on user-supplied data.
An attacker can exploit this issue by enticing a victim to open a malicious RTF file or view an email in RTF format.
Successfully exploiting this issue would allow the attacker to corrupt memory and execute arbitrary code in the context of the currently logged-in user.

Failed exploit attempts will result in a denial-of-service condition.

(Microsoft Office è soggetto a uno stack-based buffer overflow remoto poiché il software non riesce a eseguire adeguati controlli sui dati forniti.
Un utente malintenzionato può sfruttare questo problema inducendo la vittima ad aprire un file RTF dannoso, o aprire una e-mail in formato RTF.
Sfruttando quanto detto con successo, sarebbe permesso all’attaccante di corrompere la memoria ed eseguire codice arbitrario nel contesto dell’utente attualmente connesso.

Tentativi di exploit falliti si tradurranno in un Denial-of-Service.)

 

La vulnerabilità è applicata a:

Microsoft Open XML File Format Converter for Mac 0 Microsoft Office XP SP3
+ Microsoft Excel 2002 SP3
+ Microsoft Excel 2002 SP3
+ Microsoft FrontPage 2002 SP3
+ Microsoft FrontPage 2002 SP3
+ Microsoft Outlook 2002 SP3
+ Microsoft Outlook 2002 SP3
+ Microsoft PowerPoint 2002 SP3
+ Microsoft PowerPoint 2002 SP3
+ Microsoft Publisher 2002 SP3
+ Microsoft Publisher 2002 SP3

Microsoft Office XP SP2
– Microsoft Windows 2000 Professional SP3
– Microsoft Windows 2000 Professional SP2
– Microsoft Windows 2000 Professional SP1
– Microsoft Windows 2000 Professional
– Microsoft Windows 98
– Microsoft Windows 98SE
– Microsoft Windows ME
– Microsoft Windows NT Workstation 4.0 SP6a
– Microsoft Windows NT Workstation 4.0 SP6
– Microsoft Windows NT Workstation 4.0 SP5
– Microsoft Windows NT Workstation 4.0 SP4
– Microsoft Windows NT Workstation 4.0 SP3
– Microsoft Windows NT Workstation 4.0 SP2
– Microsoft Windows NT Workstation 4.0 SP1
– Microsoft Windows NT Workstation 4.0
– Microsoft Windows XP Home SP1
– Microsoft Windows XP Home
– Microsoft Windows XP Professional SP1
– Microsoft Windows XP Professional

Microsoft Office XP SP1
– Microsoft Windows 2000 Professional SP2
– Microsoft Windows 2000 Professional SP1
– Microsoft Windows 2000 Professional
– Microsoft Windows 98
– Microsoft Windows ME
– Microsoft Windows NT Workstation 4.0 SP6a
– Microsoft Windows NT Workstation 4.0 SP6
– Microsoft Windows NT Workstation 4.0 SP5
– Microsoft Windows NT Workstation 4.0 SP4
– Microsoft Windows NT Workstation 4.0 SP3
– Microsoft Windows NT Workstation 4.0 SP2
– Microsoft Windows NT Workstation 4.0 SP1
– Microsoft Windows NT Workstation 4.0
– Microsoft Windows XP Home
– Microsoft Windows XP Professional

Microsoft Office XP
– Microsoft Windows 2000 Professional SP2
– Microsoft Windows 2000 Professional SP1
– Microsoft Windows 2000 Professional
– Microsoft Windows 98
– Microsoft Windows ME
– Microsoft Windows NT Workstation 4.0 SP6a
– Microsoft Windows NT Workstation 4.0 SP6
– Microsoft Windows NT Workstation 4.0 SP5
– Microsoft Windows NT Workstation 4.0 SP4
– Microsoft Windows NT Workstation 4.0 SP3
– Microsoft Windows NT Workstation 4.0 SP2
– Microsoft Windows NT Workstation 4.0 SP1
– Microsoft Windows NT Workstation 4.0
– Microsoft Windows XP Home
– Microsoft Windows XP Professional

Microsoft Office 2011 for Mac

Microsoft Office 2010 (64-bit edition)

Microsoft Office 2010 (32-bit edition)

Microsoft Office 2010

Microsoft Office 2008 for Mac

Microsoft Office 2007 SP2

Microsoft Office 2007 SP1

Microsoft Office 2007
+ Microsoft Access 2003
+ Microsoft Access 2007
+ Microsoft Excel 2003
+ Microsoft Excel 2007
+ Microsoft Excel 2007
+ Microsoft FrontPage 2003
+ Microsoft Groove 2007
+ Microsoft Groove 2007
+ Microsoft InfoPath 2003
+ Microsoft InfoPath 2007
+ Microsoft InfoPath 2007
+ Microsoft Office Communicator 2007
+ Microsoft OneNote 2003
+ Microsoft Outlook 2003
+ Microsoft Outlook 2007
+ Microsoft Outlook 2007
+ Microsoft PowerPoint 2003
+ Microsoft PowerPoint 2007
+ Microsoft PowerPoint 2007
+ Microsoft Project Professional 2007
+ Microsoft Project Standard 2007
+ Microsoft Publisher 2003
+ Microsoft Publisher 2007
+ Microsoft SharePoint Designer 2007
+ Microsoft Visio Professional 2007
+ Microsoft Visio Professional 2007
+ Microsoft Visio Standard 2007

Microsoft Office 2004 for Mac
Microsoft Office 2003 SP2
Microsoft Office 2003 SP1

Microsoft Office 2003
+ Microsoft Excel 2003
+ Microsoft FrontPage 2003
+ Microsoft InfoPath 2003
+ Microsoft OneNote 2003
+ Microsoft Outlook 2003
+ Microsoft PowerPoint 2003
+ Microsoft Publisher 2003

Codice della vulnerabilità:

http://www.securityfocus.com/data/vulnerabilities/exploits/44652.rb

Microsoft ha fornito le seguenti soluzioni:


Microsoft Office 2008 for Mac

Microsoft Office2008-1228UpdateEN.dmg

Microsoft Office XP SP3

Microsoft officexp-KB2289169-FullFile-ENU.exe

Microsoft Office 2007 SP2

Microsoft Office2007-kb2289158-fullfile-x86-glb.exe

Microsoft Office 2010 (64-bit edition)

Microsoft Office2010-kb2289161-fullfile-x64-glb.exe

Microsoft Office 2011 for Mac

Microsoft Office2011-1401UpdateEN.dmg

Microsoft Office 2010 (32-bit edition)

Riferimenti:

Ovviamente il consiglio da seguire, oltre quello di aprire con cautela eventuali file .RTF soprattutto se spediti via e-mail, è di aggiornare al più presto Office con l’update adatto alla versione utilizzata.