MondoUnix Unix, Linux, FreeBSD, BSD, GNU, Kernel , RHEL, CentOS, Solaris, AIX, HP-UX, Mac OS X, Tru64, SCO UnixWare, Xenix, HOWTO, NETWORKING, IPV6

28Sep/160

Skype DLL Hijacking

Hi,

There are a dll planting vuln in skype installer. This vuln had been reported to Microsoft but they decided not fix this.

Here is the vulnerability details:
------
Skype installer in Windows is open to DLL hijacking.

Skype looks for a specific DLL by dynamically going through a set of predefined directories. One of the directory being scanned is the installation directory, and this is exactly what is abused in this
vulnerability.

Reproduce Notes:
1. Download this dll https://mega.nz/#!b4ViSLJL!Pv99pN2d_WxsUHGPH0Ej3onwVeSdh41mpyKfQJfAq8E
2. Copy msi.dll to Downloads directory
3. download skype installer
4. execute the downloaded installer from your "Downloads" directory; Observed behavior: message box ahyhya

Another dll can be used to hijack: dpapi.dll cryptui.dll
------

Regards,
Tien
--
Tien Phan
Blog : http://tienpp.blogspot.com
twitter : @_razybo_ (25)

28Sep/160

IRC War

La IRC War era uno scontro su IRC, in particolare su IRCnet, che veniva combattuto dalle varie Crew (gruppo di utenti con interessi e passioni comuni) allo scopo di conquistare il maggior numero di canali e di ottenere il rispetto da parte delle altre Crew. È ormai scomparsa per via della chiusura di vari server e del fallimento di IRC, per via di Messenger Hotmail e dei numerosi social network sorti.

La conquista dei canali avveniva tramite il TakeOver, dove l'operatore (@OP) veniva spodestato del suo potere. Le tecniche più utilizzate durante un TakeOver erano:

Impiego di Fake: utenti che utilizzavano gli stessi dati di un operatore per ottenere la carica di @OP. Veniva spesso impiegata la tecnica del DDoS per mandare in Ping Timeout la vittima e rubare così i suoi dati.

I dati rubati consistevano in Nick, Email, Ident, Description e spesso venivano impiegati dei Pipe o dei Proxy per utilizzare un host o un ip simile a quello della vittima.

Utilizzo di cloni: i più utilizzati erano gli Psotnic o i famosi X-Men. Entrambe noti per la loro velocità.

Bug degli irc server. Effettuando un DDos verso un irc server e scollegandolo quindi dalla rete si creava una sorta di rete parallela separata (Split). I server ad esso collegati venivano quindi a trovarsi con canali sprovvisti di utenti per cui il server assegnava in automatico l'OP al primo utente che vi entrava. Terminato il DDos lo split terminava ed i server univano le informazioni, fornendo quindi l'op all'utente fittizio del server separato. Di solito il Takeover avveniva grazie a dei cloni che prontamente al termine dello split andavano a togliere l'OP ai proprietari.

Dopo parecchi anni i gestori degli IRC Server per mitigare il problema hanno adottato delle contromisure per impedire questo tipo di attacco ed evitare quindi i DDos.

Fonte: wikipedia
(4)

16Sep/160

ethical hacher

Un white hat (letteralmente "cappello bianco"), chiamato anche hacker etico, è un hacker che si oppone all'abuso dei sistemi informatici.
La sua attività è di verifica coordinata e complessiva della sicurezza di una retee dei sistemi che la compongono, al fine di delineare il livello effettivo di rischio cui sono esposti i dati, e proporre eventuali azioni correttive per migliorare il grado di sicurezza.

Si contrappongono ai black hat in quanto hanno finalità positive e altruistiche.

Fonte: Wikipedia
(72)

29Aug/160

Mr. Robot, la serie tv diventa un videogame

Mr. Robot la serie tv diventa un videogame

Per una serie tv così legata al mondo degli hacker e dell’informatica, l’arrivo di un videogioco era praticamente obbligatorio.
Ecco allora che dalla Gamescom, l’annuale fiera di Colonia dedicata al mondo videoludico, è arrivato l’annuncio ufficiale di Mr. Robot 1.51exfiltrati0n, un’app per Android e iOS che pesca a piene mani dall’universo dello show con Rami Malek e Christian Slater.

Il gioco, pubblicato da Telltale Games, riproduce in maniera fedele un’app di messaggistica istantanea sviluppata dalla Evil Corp., la multinazionale che nella serie tv rappresenta l’antagonista del gruppo di hacker fsociety, guidati proprio dal misterioso Mr. Robot.
Tra chat, scambi di file e informazioni segrete, i giocatori potranno dialogare con i personaggi della serie e scegliere di contribuire alla caduta della Evil.
Oppure mettere i bastoni tra le ruote agli hacker, facendo in piena libertà le proprie scelte: al centro della storia, infatti, c’è sempre il giocatore.

Mr.Robot 1.51exfiltration è già disponibile a circa 3,30 euro sia su smartphone Android che dispositivi iOS.
Per ricevere aggiornamenti sul gioco invece, basta seguire l’account twitter ufficiale @ecorpmessaging.

Fonte: http://www.lastampa.it/2016/08/17/tecnologia/giochi/mr-robot-la-serie-tv-diventa-un-videogame-q58kQJttVFQVGxkdwBHiEO/pagina.html

(93)

29Aug/160

Come evitare che Facebook usi i nostri dati di WhatsApp

whatsapp facebook

WhatsApp e Facebook sono e rimarranno due applicazioni separate sul nostro smartphone. Ma l’aggiornamento dei termini e dell’informativa sulla privacy dell’iconcina di messaggistica (comunicato qui) le avvicina molto. E porta le imprese all’interno delle chat. Il colosso di Mark Zuckerberg ha acquistato WhatsApp nel febbraio del 2014 con la promessa da ambo le parti di non mischiare servizi e dati, soprattutto in considerazione del fatto che il social network si basa sulla vendita di pubblicità mentre l’app verde è priva di annunci.
Adesso qualcosa è cambiato: una serie di informazioni relative a WhatsApp, come il nostro numero di telefono o gli accessi alle finestre di dialogo, verranno condivise con Facebook e con il resto del gruppo di Menlo Park. Instagram o Oculus, ad esempio. Come l’iconcina fondata da Jan Koum ha tenuto a sottolineare, non vengono coinvolti i contenuti degli scambi: la crittografia end to end introdotta in aprile impedisce a chiunque di vedere testi o fotografie in transito da un dispositivo all’altro.

Concretamente cosa vuol dire e cosa cambia per noi? Il social network da 1,7 miliardi di utenti potrà attingere (anche) a questi dati per inviarci messaggi pubblicitari sempre più mirati quando navighiamo sulla sua piattaforma o per consigliarci potenziali amici da aggiungere alla nostra cerchia. Potrà capitare di vedere fra i suggerimenti di Facebook il nome e il volto di una persona con cui si è appena entrati in contatto su WhatsApp. O di imbatterci sul social network nella pubblicità di un’azienda che conosce il nostro numero di telefono.

Non solo, anche l’applicazione di messaggistica da più un miliardo di utenti si sta per aprire direttamente alle imprese. L’intenzione non è di ospitare messaggi pubblicitari classici ma di consentire, ad esempio, alla banca di avvisarci di eventuali movimenti strani sul nostro conto, alla compagnia aerea di tenerci aggiornati sul ritardo del volo che stiamo per prendere o alla pizzeria di comunicarci che il pasto ordinato sta per arrivare. La novità verrà testata nei prossimi mesi, ed era stata annunciata a inizio anno, e sembra propendere per la creazione di chat ufficiali cui potremo decidere o meno di aderire - ma che saranno anche sfruttate per inviarci consigli su prodotti o servizi da acquistare in base alle nostre preferenze - e non dovrebbero interromperci durante le chiacchierate canoniche.

...

Fonte: http://www.corriere.it/tecnologia/social/16_agosto_26/come-evitare-che-whatsapp-condivida-dati-facebokk-bdd8fbea-6ba7-11e6-8bdd-2a860cc068c8.shtml
(58)

26Aug/160

Dropbox email warns users that old passwords must be reset

http://www.theinquirer.net/inquirer/news/2469065/dropbox-email-warns-users-that-old-passwords-must-be-reset (101)

24Aug/160

Malicious QuadRooter Apps Discovered in Google Play Store

Malicious QuadRooter Apps Discovered in Google Play Store

The recent disclosure of a set of vulnerabilities in the Android operating system that could potentially put over 900 million devices at risk may have been patched, but its threat remains.

The QuadRooter flaw, discovered by Check Point, could potentially give cyber attackers complete control over an Android device. The vulnerability was discovered in Qualcomm chips, which are used in smartphones and tablets made by Blackberry, LG, Google and more. This put up to 900 million devices at risk. The flaw was dubbed QuadRooter because there are four interconnected flaws which can be used to gain access to the “root” of the phone, the Guardian said.

Patches to fix the flaw were made available quickly, and Check Point released an app called QuadRooter Scanner on the Google Play store which checked whether a device was at risk.

However, new research has revealed that QuadRooter’s threat is still alive. Researchers at RiskIQ have found a number of malicious apps available for download on various app stores that claim to offer a fix for the flaw, but of course do nothing of the sort.

One of these, called Fix Patch QuadRooter by KiwiApps Ltd was found in the official Google Play store. Although it was removed from there it popped up in a number of unofficial app stores, along with a number of others. In total, 27 malicious apps related to QuadRooter have so far been found.

These have been found available for download in the official Google Play store, as well as others such as BingAPK, SameAPK, AppBrain, and AppChina. All these unofficial sources carry big risks to users and their devices.

These unofficial, third-party app stores are a dangerous place; a lack of quality control means many applications are malicious, containing malware that can steal personal data. While these app stores may seem convenient for users, especially in countries where official apps may not be available, users should stick with the official Google Play Store wherever possible.

Photo © ymgerman/Shutterstock.com

Fonte: http://www.infosecurity-magazine.com/news/malicious-quadrooter-apps/

(105)

23Aug/160

The Hacker Manifesto in italiano

La coscienza di un hacker di The Mentor

Scritto l'8 gennaio 1986

Un altro è stato preso oggi, è su tutti i giornali. "Adolescente arrestate in uno scandalo di crimini informatici", "Hacker arrestato dopo aver truffato una banca"... Dannati ragazzi. Sono tutti uguali.

Ma avete mai, con la volta psicologia da tre soldi e un tecnocervello del 1950, dato un'occhiata dietro gli occhi di un hacker? Vi siete mai chiesti cosa è scattato in lui, quali forze lo muovono, cosa può averlo influenzato? Sono un hacker, entrate nel mio mondo... Il mio è un mondo che inizia con la scuola... sono più intelligente della maggior parte degli altri ragazzi, queste stronzate che ci insegnano mi annoiano... Dannati sottosviluppati. Sono tutti uguali.

Sono nella junior o nella high school. Ho ascoltato insegnanti spiegare per la quindicesima volta come ridurre una frazione. L'ho capito. "No, Ms. Smith, non l'ho scritto. Ce l'ho in testa..." Dannato ragazzo. Probabilmente ha copiato. Sono tutti uguali.

Ho fatto una scoperta oggi. Ho trovato un computer. Aspetta un secondo, è forte. Fa ciò che voglio. Se fa un errore, è perchè ho sbagliato io. Non perchè non gli piaccio... O si sente minacciato da me... O pensa che sono un culo intelligente... O non gli piace insegnare e non dovrebbe essere qui... Dannato ragazzo. Non fa altro che giocare. Sono tutti uguali.

E poi è successo... una porta si è aperta verso un mondo... mi lancio attraverso la linea telefonica come eroina nelle vene di un tossico, un impulso elettronico è stato inviato, ho visto un rifugio dalle incompetente del giorno-dopo-giorno... ho trovato una board (una vecchia chat, ndr). "Ecco... sono a casa..." Conosco tutti qui... anche se non li ho mai incontrati, non gli ho mai parlato, potrei non sentire mai parlare di loro in vita mia... vi conosco tutti... Dannato ragazzo. Tiene di nuovo occupata la linea. Sono tutti uguali...

Potete scommetterci il culo che siamo tutti uguali... ci date gli omogeneizzati col cucchiaino a scuola quando noi avevamo fame di bistecche... i pezzi di carne che avete lasciato cadere erano pre-masticati e insapori. Siamo stati dominati dai sadici, o ignorati dagli apatici. I pochi che avevano qualcosa da insegnarci ci hanno trovati allievi volenterosi, ma quei pochi sono come gocce d'acqua nel deserto.

Questo è il nostro mondo ora... il mondo degli elettroni e degli interruttori, la bellezza del baud. Facciamo uso di un servizio già esistente senza pagare per ciò che dovrebbe costare due soldi se non appartenesse a gente ghiotta di profitti, e voi ci chiamate criminali. Esploriamo... e ci chiamate criminali. Cerchiamo conoscenza... e ci chiamate criminali. Esistiamo senza il colore della pelle, senza nazionalità, senza preferenze religiose...e ci chiamate criminali. Voi costruite le bombe atomiche, fate le guerre, uccidete, imbrogliate, ci mentite e cercate di farci credere che è per il vostro dio, eppure siamo noi i criminali.

Manifesto hacker ...

 

  (121)

23Aug/160

New Pokemon Go Ransomware Creates Windows Backdoor Account

New Pokemon Go Ransomware Creates Windows Backdoor Account

With all the frenzy around the Pokemon GO mobile game, it was only just a matter of time before attackers leveraged its popularity to spread ransomware. A new ransomware was recently discovered impersonating a Pokemon GO application for Windows. Detected by Trend Micro as Ransom_POGOTEAR.A, it appears to be like any other ransomware. However, a closer look revealed that its creators based it on Hidden Tear, an open-sourced piece of ransomware released last August 2015, with the intention of educating people.

The Pokemon GO ransomware developer designed it to create a “Hack3r” backdoor user account in Windows and is added to the Administrator group. The registry is tweaked to hide the Hack3r account from the Windows login screen. Another feature creates a network share on the victim’s computer, allowing the ransomware to spread by copying the executable to all drives. Once the executable is copied to removable drives, it creates an autorun file so the ransomware runs each time someone accesses the removable drive. The executable is also copied to the root of other fixed drives. This way, the Pokemon GO ransomware will run when the victim logs into Windows.

There are numerous indicators that the ransomware is still under development. One of them is that it has a static AES encryption key of “123vivalalgerie”. Additionally, the command & control server (C&C) uses a private IP address which means it cannot connect over the Internet.

Based on the language used by the ransom note, the Pokemon GO ransomware appears to target Arabic-speaking users, with an accompanying ransom screen that features a Pikachu image. In addition, the screensaver executable is also embedded with an image of “Sans Titre”, which is French for “Untitled”, suggesting a clue to the developer's origin.

The Hidden Tear ransomware isn’t new. In January 2015, Trend Micro discovered a hacked website in Paraguay that distributed ransomware detected as RANSOM_CRYPTEAR.B. According to the analysis, the website was compromised by a Brazilian hacker, and that the ransomware was created using a modified Hidden Tear code. Prior to this discovery, when the source code of Hidden Tear was made public for educational purposes, the creator was very specific about not using Hidden Tear as ransomware. Unfortunately, as expected, the following discovery of Ransom_CRYPTEAR.B and this current Pokemon-themed ransomware has shown that even with the best intentions, improper disclosure of sensitive information can lead to troublesome scenarios such as the mentioned discoveries.

To avoid ransomware, users are encouraged to regularly back up files and to have an updated security solution. Trend Micro solutions can protect users from the recent Pokemon Go ransomware. As the game is introduced in new regions, the Pokemon GO craze is expected to continue to gain momentum and cybercriminals will find ways to capitalize on it. In fact, in the month of July alone, malicious Pokemon Go apps were found tricking users into downloading them. This should remind users to remain vigilant of threats that may ride along the popularity of such games.

Visit the Threat Encyclopedia for step-by-step instructions on how to remove Ransom_POGOTEAR.A.

Fonte: http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/new-pokemon-go-ransomware-creates-windows-backdoor-account

(775)

19Aug/160

WordPress Google Maps 2.1.2 Cross Site Scripting

------------------------------------------------------------------------
Cross-Site Scripting vulnerability in Google Maps WordPress Plugin
------------------------------------------------------------------------
Julien Rentrop, July 2016
 
------------------------------------------------------------------------
Abstract
------------------------------------------------------------------------
A Cross-Site Scripting vulnerability was found in the Google Maps
WordPress Plugin. This issue allows an attacker to perform a wide
variety of actions, such as stealing users' session tokens, or
performing arbitrary actions on their behalf. In order to exploit this
issue, the attacker has to lure/force a victim into opening a malicious
website/link.
 
------------------------------------------------------------------------
OVE ID
------------------------------------------------------------------------
OVE-20160712-0038
 
------------------------------------------------------------------------
Tested versions
------------------------------------------------------------------------
This issue was successfully tested on Google Maps WordPress Plugin
version 2.1.2.
 
------------------------------------------------------------------------
Fix
------------------------------------------------------------------------
This issue is resolved in Google Maps version 2.1.4.
 
------------------------------------------------------------------------
Details
------------------------------------------------------------------------
https://sumofpwn.nl/advisory/2016/cross_site_scripting_vulnerability_in_google_maps_wordpress_plugin.html
 
This issue exists due to the lack of output encoding on the id URL parameter. The vulnerable code fragment is listed below:
 
<form action="admin.php?page=hugeitgooglemaps_main&task=edit_cat&id=<?php echo $_GET['id']; ?>" method="post" name="adminform" id="adminform">
 
Proof of concept
 
http://<target>/wp-admin/admin.php?page=hugeitgooglemaps_main&task=edit_cat&id=1%22%3E%3Ch3%3EBREAK%3C%2Fh3%3E
 
------------------------------------------------------------------------
Summer of Pwnage (https://sumofpwn.nl) is a Dutch community project. Its
goal is to contribute to the security of popular, widely used OSS
projects in a fun and educational way.

(131)