Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Windows exploity. Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu.

Podobné prezentace


Prezentace na téma: "Windows exploity. Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu."— Transkript prezentace:

1 Windows exploity

2 Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu

3 Chyba systemové služby Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability Risk - High Date Discovered: Description A buffer overrun vulnerability has been reported in Microsoft Windows that can be exploited remotely via a DCOM RPC interface that listens on TCP/UDP port 135. The issue is due to insufficient bounds checking of client DCOM object activation requests. Exploitation of this issue could result in execution of malicious instructions with Local System privileges on an affected system. Update : Exploit development is continuing, but at this time there is no evidence that successful worms have been developed. Discovered: W32/Blaster Also Known As: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F- Secure],

4 Sasser LSASS vulnerability Sasser – start vyplacena odměna za dopadení autora.-)

5

6 MyDoom – nová verze MyDoomu, která využívá bezpečnostní díru zveřejněnou o dva dny dříve

7

8 Zero Day MS Honeynet Project našel 287 stránek zneužívajících chybu zveřejněnou později Microsoft Security Bulletin MS –Vulnerability in JView Profiler Could Allow Remote Code Execution (903235)

9 Zero-day exploit: Countdown to darkness Červenec 2004 – první vydání

10 Proč takový vývoj Mohou být nalezeny náhodou Cíleným úsilím bezpečnostní firmy Exploity se hledají a zneužívají pro komerční účely –Cílené útoky – krádeže informací –Vybudováné sítě „poslušných“ počítačů - spam

11 Někdy prakticky nevyužitý Následné patche – není prostor k šíření Snadná detekce Mediální „masáž“

12 JPEG Už o dva roky dříve pokus o zneužití - Perrun Polovina zaří 2004 pokus druhý, tentokrát úspěšnější –Aka GDI exploit (gdiplus.dll) Snadná generická detekce

13 WMF exploit „vánoční dárek“ 2005 Zneužit m.j. k phisingu Na chvíli se objevil na stránkach AMD

14 WMF exploit Aktualizované AV –Přelom 2005/2006 První pomoc –Odregistrovat postiženou knihovnu –Neoficiální patch MS patch (čtvrtek !)

15 Word exploit V polovině května 2006 –První útok Nesouvisí s makroviry Zavislý na verzi Windows a Office První pomoc –Použít alternativní programy WordView nebo WordPad

16 Excel exploit Následoval cca o týden později Využívá jinou bezpečnostní díru na obdobném principu Dropper vypouští kód, který se snaží integrovat do IE Spustil lavinu obdobných exploitů

17 PowerPoint exploit 20. června –Instaluje keylogger –Instaluje backdoor –Původní infikovanou prezentaci nahradí falešnou MS záplata 8. července

18 Word/Excel/PPT Poměrně složité vyrobit –Modifikace připraveného dokumentu Obtížné infikování

19 Pravidelné záplaty (patch) Každé druhé úterý –Nový exploit den poté

20 Office exploity PoC Shell code Škodlivý kód připojený k dokumentu –Vložený vs. připojený Škodlivý kód se stahuje z internetu –Vyšší variabilita –Možnost administrativně zrušit

21 PoC – Proof of Concept V minimální verzi způsobí „pouze“ pád aplikace – 4 byte Neškodný důkaz – např. spustí jinou legální aplikaci (Calc)

22

23 PoC – Proof of Concept V minimální verzi způsobí „pouze“ pád aplikace – 4 byte Neškodný důkaz – např. spustí jinou legální aplikaci (Calc) Sporná detekce –Genericky ne zcela bezpečné –Jak hlásit ?

24 Shell code Co to je Jak je veliký

25

26 Office exploity PoC Shell code Škodlivý kód připojený k dokumentu –Vložený vs. připojený Škodlivý kód se stahuje z internetu –Vyšší variabilita –Možnost administrativně zrušit

27 VML V HTML stránce –Stačí navštívit WEB, netřeba nic spouštět Součást u

28 VML Opraven (mimo pořadí) Dříve alternativní řešení –Odregistrovat postiženou knihovnu regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dllTest –Disable Binary and Script Behaviors in the Internet and Local Intranet security –Alternativní patch

29

30 Nástroje na generování exploitů

31

32

33

34 Informace o exploitech Microsoft Security Response Center (MSRC) Common Vulnerabilities and Exposures (CVE)


Stáhnout ppt "Windows exploity. Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu."

Podobné prezentace


Reklamy Google