Il titolo del post si spiega con il fatto che ci troviamo di fronte ad una classica pagina inclusa, in maniera nascosta e contenente i consueti proclami, ospitata su sito di Pubblica Amministrazione IT, ma che questa volta contiene anche codice pericoloso.
Si tratta del sito di un noto comune campano
che oltre alla, per cosi dire, 'normale' pagina di hacking presenta anche un exploit tra l'altro abbastanza particolare in quanto coinvolge il Messenger C6 di Alice Tin attraverso un codice identificabile come “C6 Messenger Installation Url DownloaderActiveX Control Remote Download & Execute Exploit “
Questa la pagina inclusa sul sito comunale
di cui vediamo un particolare del source che presenta anche una parte offuscata
che possiamo de-offuscare facilmente
rivelando il codice dell'exploit
Come si nota dalla pagina presente su http://osvdb.org/show/osvdb/45960 si tratta di exploit non recente le cui segnalazioni risalgono alla meta' 2008 e' il cui source e' ampiamente disponibile in rete.
Su questo link http://www.securityfocus.com/archive/1/archive/1/493019/100/0/threaded ulteriori dettagli sul codice dell'exploit e da cui sembrerebbe che non sia ancora risolta la vulnerabilita presente, come si verifica anche da quest'altra info presente su http://xforce.iss.net/xforce/xfdb/42825
Il fatto che questa volta abbiamo un codice offuscato incluso nella pagina di hacking potrebbe anche far pensare a differente fonte dell'exploit rispetto alla pagina “originale” perche' pagine di hacking simili, attribuibili allo stesso personaggio e che propongono stesso layout, non presentano traccia di codice offuscato incluso.
Si tratterebbe quindi di un utilizzo della pagina di hacking per ospitare un codice incluso da altri e non dall'originario creatore della pagina.
A supportare il fatto che invece potrebbero esserci fonti comuni sia all'hacking che all'inclusione dell'exploit nella pagina, abbiamo la presenza sul sito brasiliano compromesso che ospita il malware (questa la homepage)
di questa pagina di hacking
con molte analogie nel layout (scritte presenti nella parte bassa della pagina) a quella inclusa nel sito comunale campano.
Una analisi dei due file scaricati dimostra che l'exploit e' attivo e linka ad indirizzi che permettono di scaricare sia file cab dall'area Comunity Alice download di C6:
che l'eseguibile malware da sito brasiliano
dimostrando la natura pericolosa degli stessi.
Fortunatamente, al momento, essendo comunque la pagina inclusa e nascosta, non parrebbero esserci problemi di sicurezza tranne per chi visitasse specificatamente la pagina inclusa, mentre per chi visita il sito comunale il codice non e' raggiungibile e quindi non attivo.
Resta il fatto che questo dimostra ancora una volta, come le vulnerabilita presenti e diffuse sia su siti che su servers web possano poi essere utilizzate per proporre exploit che invece di essere nascosti , come in questo caso, potrebbero essere inclusi all'interno di una qualsiasi pagina del sito web legittimo e diventare raggiungibili e pericolosi vistando il sito stesso.
Edgar
Si tratta del sito di un noto comune campano
che oltre alla, per cosi dire, 'normale' pagina di hacking presenta anche un exploit tra l'altro abbastanza particolare in quanto coinvolge il Messenger C6 di Alice Tin attraverso un codice identificabile come “C6 Messenger Installation Url DownloaderActiveX Control Remote Download & Execute Exploit “
Questa la pagina inclusa sul sito comunale
di cui vediamo un particolare del source che presenta anche una parte offuscata
che possiamo de-offuscare facilmente
rivelando il codice dell'exploit
Come si nota dalla pagina presente su http://osvdb.org/show/osvdb/45960 si tratta di exploit non recente le cui segnalazioni risalgono alla meta' 2008 e' il cui source e' ampiamente disponibile in rete.
Su questo link http://www.securityfocus.com/archive/1/archive/1/493019/100/0/threaded ulteriori dettagli sul codice dell'exploit e da cui sembrerebbe che non sia ancora risolta la vulnerabilita presente, come si verifica anche da quest'altra info presente su http://xforce.iss.net/xforce/xfdb/42825
-------------------------------------------------------------------------------------
Icona SpA DownloaderActiveX ActiveX Control Module code execution
iconaspa-downloaderactivex-code-execution (42825)
The risk level is classified as HighHigh Risk
Description: The Icona SpA DownloaderActiveX ActiveX Control Module (DownloaderActiveX.ocx) could allow a remote attacker to execute code on the system. By persuading a victim to visit a malicious Web site that passes a specially-crafted argument to the insecure "propDownloadUrl" and "propPostDownloadAction" properties, an attacker could download and load a malicious program, which could allow the attacker to execute arbitrary code on the system with the privileges of the victim.
Consequences: Gain Access
Remedy: No remedy available as of March 13, 2010.
----------------------------------------------------------------------------------------------------
Icona SpA DownloaderActiveX ActiveX Control Module code execution
iconaspa-downloaderactivex-code-execution (42825)
The risk level is classified as HighHigh Risk
Description: The Icona SpA DownloaderActiveX ActiveX Control Module (DownloaderActiveX.ocx) could allow a remote attacker to execute code on the system. By persuading a victim to visit a malicious Web site that passes a specially-crafted argument to the insecure "propDownloadUrl" and "propPostDownloadAction" properties, an attacker could download and load a malicious program, which could allow the attacker to execute arbitrary code on the system with the privileges of the victim.
Consequences: Gain Access
Remedy: No remedy available as of March 13, 2010.
----------------------------------------------------------------------------------------------------
Il fatto che questa volta abbiamo un codice offuscato incluso nella pagina di hacking potrebbe anche far pensare a differente fonte dell'exploit rispetto alla pagina “originale” perche' pagine di hacking simili, attribuibili allo stesso personaggio e che propongono stesso layout, non presentano traccia di codice offuscato incluso.
Si tratterebbe quindi di un utilizzo della pagina di hacking per ospitare un codice incluso da altri e non dall'originario creatore della pagina.
A supportare il fatto che invece potrebbero esserci fonti comuni sia all'hacking che all'inclusione dell'exploit nella pagina, abbiamo la presenza sul sito brasiliano compromesso che ospita il malware (questa la homepage)
di questa pagina di hacking
con molte analogie nel layout (scritte presenti nella parte bassa della pagina) a quella inclusa nel sito comunale campano.
Una analisi dei due file scaricati dimostra che l'exploit e' attivo e linka ad indirizzi che permettono di scaricare sia file cab dall'area Comunity Alice download di C6:
che l'eseguibile malware da sito brasiliano
dimostrando la natura pericolosa degli stessi.
Fortunatamente, al momento, essendo comunque la pagina inclusa e nascosta, non parrebbero esserci problemi di sicurezza tranne per chi visitasse specificatamente la pagina inclusa, mentre per chi visita il sito comunale il codice non e' raggiungibile e quindi non attivo.
Resta il fatto che questo dimostra ancora una volta, come le vulnerabilita presenti e diffuse sia su siti che su servers web possano poi essere utilizzate per proporre exploit che invece di essere nascosti , come in questo caso, potrebbero essere inclusi all'interno di una qualsiasi pagina del sito web legittimo e diventare raggiungibili e pericolosi vistando il sito stesso.
Edgar
Nessun commento:
Posta un commento