Local Privilege Escalation Vulnerability (UPDATE)

Burada bahsettiğimiz açığın , 1.2.9.206 sürümleri içindede (CNET) bazı hatalı driver (AntiLog32.sys 1.5.2.755) sürümünün bulunduğu rapor edildi bu yüzden v1.9.2.208 sürümüne güncellemeniz önerilir.

Zemana AntiLogger AntiLog32.sys Local Privilege Escalation Vulnerability

Sık sık ziyaret ettiğim Offensive Security'nin Exploits Database sitesinde, bugün Local Exploitler'ın en üstünde kendi programımıza ait bir exploit ile karşılaştım, şimdiye kadar AntiLogger için irili ufaklı bir çok exploit rapor edilmişti ancak bu aralarında en ciddi olanı diyebilirim ve hemen dev team ile irtibata geçtim, onlarda açığı teyid ettiler ancak son sürümü etkilememesi bize rahat bir nefes aldırdı. Eski sürümü kullananların acilen güncelleme yapmaları gerekiyor!

Çünkü bu exploit sayesinde, local hostunuzdaki kısıtlı kulanıcılardan biri admin yetkilerine ulaşabilir, poc'daki kod, komut istemcisini admin yetkileri ile çalıştırıyor.

Açığa sebebiyet veren, AntiLoger'in kernel driver'ında kullanılan bir özellik. Bu özellik, AntiLogger GUI'nin gerektiğinde administratör yetkilerine ulaştırılabilmesine yarıyordu. Ancak bu özellik Vista kernel'inde kaldırıldığı için AntiLogger'dada kullanımından vazgeçilmişti.

NtSetInformationProcess API'sine ProcessInformationClass = ProcessAccessToken verilmesi ile kısıtlı haklara çalışmakta olan bir process, admin yetkilerine ulaştırılabiliyordu, Vista kernel değişiklikleri ile beraber token impersonate işlemi sadece process çalıştırılmadan önce yapılabilir hale geldi. UAC'in mekanizmasında olduğu gibi.

Gmail Spam Filter

Ara sıra üstteki resimde görüldüğü gibi phishing mailler alıyoruz, bunlara, ekibimizdeki birçok kişi kanmasada, pazarlama bölümümüzdeki gibi teknik konulardan uzak departmandaki takım arkadaşlarımız kanabiliyorlar ve onların mail hesabının hack edilmesi bizide etkiliyor. Mesajda kullanılan sosyal mühendislik çok iyi olduğundan bir çok kişinin buna inanması çok yüksek ve bunu, Gmail spam filtresinin aşsağıdaki kodda olduğu gibi basit bir şekilde engelleyebilmesi gerek.

 
 
 
 
 
 
 
 



 
Gmail Spam filtresinin aslında çok kuvvetli olmasına rağmen, bunun gibi bir durumu engellemesinin altında bir false positive var gibi?

Sizce bu koşulda spam olarak işaretlenmeyecek zararsız bir içerik nasıl olabilir, varsa örneklerinizi bekliyorum.

Hatırlatma: Geçenlerde ortaklığımızı ilan ettiğimiz Commtouch, bu ve bundan çok daha sinsice, tabiri caiz ise şeytanın bile aklına gelmeyecek koşulları analiz edip durdurabiliyor.

Online Banking / Browser Security Test

Bağımımsız malware araştırma grubu MRG, 30 gün sürecek bir test başlattı ve hergün listesindeki tüm güvenlik programlarını, kendilerinin yazdığı bir spyware ile deniyorlar. Eğer spyware başarılı olursa, paypal şifrelerini, güvenlik duvarını aşarak kendi merkezine yolluyor. (Real-time bakılabilmesi için kendi merkezlerinide public etmişler)

30 gün test etmelerindeki amaçta, güvenlik programlarının kendilerini geliştirip (heuristic,behavioral yada signature tabanlı) kaçıncı günde tepki verip durdurabildiğini görmek. Bu testin içine bizide dahil etmişler ve ilk günden beri en iyi sonucu alan biziz, umarız 30 gün boyuncada böyle devam eder.

AntiLogger'in direk olarak Browser koruması odaklı olmadığı halde bu kadar lider güvenlik üreticisinin önüne geçmesi bize çok büyük motivasyon verdi.

Rapora buradan ulaşabilirsiniz.

Zemana blog erişim problemi

Son dönemdeki Google ip adresleriyle yaşanan sıkıntıdan malesef bizde payımızı aldık.

Bloğumuzun alan adı üzerimizde olmasına karşın aslında Google'ın (Blogger) sunucularında host ediliyor ve DNS çözümlemesini CNAME ile yapıyorduk ve kullandığımız CNAME ghs.google.com'in şu an için çözümlemesi 74.125.43.121 olarak çıkıyor ve bu Ip adresi Türkiyeden bloklanmış durumda bu yüzden çözümleme işlemini, DNS sistemimize direk A tipi record (74.125.77.121) girerek yaptık ve ilgili Ip şu an için blok edilmediğinden bloğumuz tekrar açıldı.

 

Hernekadar sorun şimdilik çözülmüş gibi gözüksede aslında bu geçici ve stabil olmayan bir çözüm çünkü CNAME yerine A record girmiş oluyoruz ve ileride Google ilgili Ip adresinde bir değişiklik yaparsa tekrar sorun yaşarız. Umarız bu zaman zarfında Google Ip adresleri ile olan sorun çözülür çünkü bloğumuzu güvenlik nedeni ile kendi sunucumuzda host etmek istemiyoruz.

 

 

Famous Why, Zemana Interview

FamousWhy portalı bizi ünlüler listesine aldı ve ufak bir reportaj verdik.
Thanks guys :)

AntiLogger - TopTenREVIEWS Video

Daha önce bahsetmiş olduğumuz TopTenREVIEWS, AntiLogger için bir Video yayınladı.



TopTenREVIEWS, "We Do The Research So You Don't Have To"