Corporate Security and Intelligence Services
Corporate Security and Intelligence Services
![[Presentazione Tecnica] Force Insecure Temporary Files Creation.](http://www.tigersecurity.it/wp-content/themes/thedawn/images/no-image.png)
Introduzione
Due giorni fa avevamo fatto veicolare, tramite twitter, un video di come poter modificare una sessione php pur stando in due domini completamente diversi.
Subito dopo aver rilasciato la demo, sono arrivate dimostrazioni su come poter editare queste sessioni tramite la semplice lettura del file, dandoci così l’idea che l’attacco avesse destato interesse nell’ambiente.
Executive Summary
La tecnica ‘Force Insecure Temporary Files Creation‘, che risiede all’ interno della categoria “Insecure Temporary Files“, permette ad un utente non privilegiato, di poter leggere/scrivere file non appartenenti a quest’ultimo, senza restrizione alcuna.
Technical Summary
Come precedentemente descritto, la metodologia d’attacco permette la lettura/scrittura di file su cui non si possiedono permessi.
Come premessa il file non deve esistere, e i nomi dei file in questione, devono essere facilmente rintracciabili ( vedi le sessioni di php, rescrivibili tramite cookie, e le socket di pulseaudio, nomi standard che usano l’uid dell’utente ) e in una posizione dove è possibile leggere e scrivere ( ES: /tmp/ ).
La problematica presente in questi applicativi, è il non controllo dell’esistenza dei file e l’utilizzo di questo senza modifica alcuna dei permessi.
Si può iniziare a mostrare come funziona la tecnica, stabilendo come presupposto che in un hosting, tutti i siti, vengono eseguiti con utenti differenti e che dalle configurazioni normali delle sessioni, php tenta di leggere il file chiamato sess_SESSIONID.
Non è quindi possibile poter leggere il contenuto dei file creati da altri utenti.
Come primo passo, la verifica è diretta alla possibilità di poter leggere/scrivere all’interno della directory dove risiedono i file di sessione.
Qualora il risultato è positivo, ci sarebbero tutte le basi per proseguire con l’attacco. L’attaccante ha necessità di creare, dal proprio sito una “sessione fake” dallo stesso php, così da avere già un file di sessione.
Dopo di che, dovranno essere impostati i permessi del file a 0666 ( -rw-rw-rw ), in modo tale che TUTTI gli utenti possano leggerlo/scriverlo senza restrizioni.
A questo punto il gioco è fatto: due o più utenti, possono accedere ad un file di sessione, e quindi poterlo manipolare a loro piacere.
L’unico task rimanente può essere completato impostando i cookie relativi alla sessione nel sito da “attaccare” ( nella maggior parte dei casi viene lasciato il nome di default PHPSESSION ).
Esempio di come poter eseguire un attacco:
session_start();
$sess = session_id();
$sess_path = session_save_path() . "/";
$sess_file = $sess_path . "sess_" . $sess;
if ( chmod($sess_file, 0666) ) {
$body .= "Exploited. <br />";
} else {
$body .= "Exploit Fail. <br />\n";
return;
}
Esempio di come poter leggere la sessione:
if ( isset($_GET['sess']) ){
session_id($_GET['sess']);
}
session_start();
print_r($_SESSION)
Technical Demonstration
Dimostrazione video – Attacco demo con Tecnica di Force Insecure Temporary Files Creation
Techinical Utility
Tiger Security S.r.l. da tempo pone al cuore della propria struttura operativa il concetto di “ricerca“, concetto senza il quale non sarebbe possibile pensare allo sviluppo ed al perfezionamento delle metodologie e della sicurezza di infrastrutture digitali.
Molte le pubblicazioni tecnico scientifiche rilasciate in questi ultimi anni dal “Tiger Team Task Force” di Tiger Security S.r.l., e molti i feedback ricevuti sia da professionisti, da grandi aziende che da agenzie governative e militari per l’ottimo lavoro svolto e per la cura dei dettagli.
Tra le pubblicazioni non confidenziali, possiamo sicuramente citare la tecnica di Cross Application Scripting, lanciata dal Tiger Team Task Force (TTTS) di Tiger Security S.r.l. non meno di un anno fa che oggi rappresenta un pezzo di storia contemporanea anche all’ interno di Wikipedia.
Partendo da tali basi, Tiger Security S.r.l. ha deciso di iniziare a pubblicare alcune delle proprie scoperte, ad oggi estremamente confidenziali.
Il Tiger Team Task Force pubblicherà con cadenza non definita documentazione fruibile sia da Manager che da Tecnici specializzati, avendo scelto di dividere ogni pubblicazione in quattro parti, rispettivamente: Executive Summary, Technical Summary, Technical Demonstration ed Techinical Utility.
La prima pubblicazione è prevista per oggi 27 Gennaio 2010, seguiteci.
L’attività di ricerca nel campo della sicurezza informatica da parte del team di Tiger Security s.r.l. ha consentito di evidenziare una vulnerabilità in gitweb, la soluzione web più diffusa al mondo per la gestione del ciclo di sviluppo di progetti software. La soluzione è ampiamente utilizzata, ad esempio, nei progetti Samba, Facebook, Kernel e molti altri.
In particolare Emanuele Gentili è riuscito a dimostrare la possibilità di realizzare un attacco di tipo Cross Site Scripting pubblicando un advisory.
Come concordato con il team di gitweb ed il progetto vendor-sec diffondiamo solo ora la notizia in quanto Tiger Security s.r.l. adotta la politica di divulgazione definita “responsible disclosure“.
Tale approccio etico alla diffusione delle informazioni sulle vulnerabilità richiede, infatti, di concordare con il produttore della soluzione un tempo utile a trovare una soluzione ed ad applicarla. Durante tale periodo chi ha scoperto la vulnerabilità si impegna a mantenerla riservata.
La patch è stata resa disponibile dal vendor ed è stato assegnato dal Mitre (Common Vulnerability Exposure) un id riservato (CVE-2010-3906) proprio lo stesso giorno dell’ invio della segnalazione inviata da Tiger Security S.r.l..
Nonostante queste precauzioni, i responsabili dello sviluppo di alcune soluzione software hanno deciso di sospendere l’utilizzo di gitweb.
Tra i progetti più famosi che hanno operato questa scelta possiamo segnalare Samba (la suite di interoperabilità tra i sistemi Windows e Linus/Unix).
Inutile dire che le tecniche di Cross Site Scripting sono sempre piu’ in primo piano per gli attacchi mirati agli utenti, basti ricordare cosa successe alla Apache Software Foundation qualche mese fa quando si trovò vittima della perdita di credenziali da parte dei propri utenti proprio per colpa di un attacco perpetrato sfruttando un bug di sicurezza informatica simile a quello segnalato da Tiger Security S.r.l. per la piattaforma gitweb.
Se non siete sicuri che la vostra infrastruttura sia informaticamente sicura e volete prevenire furto di informazioni da parte di competitor o piu’ semplicemente intrusioni informatiche con fine distruttivo, vi consigliamo di proteggere la vostra immagine ed i vostri dati affidandovi a dei professionisti.
Contatta Tiger Security S.r.l. ed inizia a progettare con noi la sicurezza dei tuoi dati e della tua immagine.
Il Mitre ha recentemente catalogato una vulnerabilità segnalata dal tiger team di Tiger Security S.r.l. relativamente ad un problema di sicurezza della diffusissima soluzione per la gestione dei database Mysql “PhpMyAdmin” e le ha assegnato il codice CVE: CVE-2010-4480.
Il problema segnalato permette la realizzazione di attacchi di tipo Cross Site Scripting utilizzando tag BBcode e consentirebbe ad eventuali malintenzionati di realizzare attacchi di phishing.
Il codice dimostrativo della vulnerabilità è stato rilasciato sul sito del progetto Exploit Database a questa url: http://www.exploit-db.com/exploits/15699
Sans Institute, il più importante istituto che si occupa di sicurezza informatica, ha recentemente commentato un advisory rilasciato dal Tiger Team di Tiger Security S.r.l. relativamente ad una vulnerabilità 0day di Mozilla Firefox.
La vulnerabilità oggetto dell’ advisory va a sfruttare uno Stack Overflow in grado di causare un Denial of Service, vale a dire la negazione del servizio, in tutte le versioni di Mozilla Firefox.
Attualmente il codice che va a sfruttare tale vulnerabilità e’ stato rilasciato all’ interno di The Exploit Database a questo url.