DirectShow-haavaan hyökkäillään jo

QuickTimeen hyökkäysvektorina perustuvaan DirectShow-haavoittuvuuteen on havaittu jo hyökkäyksiä. MS:n advisoryn listaama ensijainen suojautumiskeino on rekisterieditorin tai Regsvr32-komennon avulla tehtävä Quartz.dll-kirjaston poiskytkeminen.

Jordanian valtion sivut valjastettiin kalasteluun

Valtionhallinnon palvelimella sijainnut kalastelusivu uteli myös luottokorttimaksamisessa tarvittavaa kortin takapuolelle painettua CVV2-turvakoodia.

Verkkorikolliset ovat onnistuneet pystyttämään henkilötietojen kalasteluun tarkoitetun sivuston Jordanian valtionhallinnon palvelimelle.

Organisaatio jonka sivuilla kalastelusivusto sijaitsi on Jordanian eli Jordanian hasemiittisen kuningaskunnan ammatilliseen koulutukseen ja työturvallisuusasioihin keskittynyt virasto.

Kalastelu- eli phishing-sivu oli suunnattu PayPal-verkkomaksupalvelun käyttäjiä vastaan.

Tapauksesta kertoneen verkkosivustojen krakkerointien tilastointiin keskittyneen Zone-H-sivuston Boris Mutinan mukaan Gov.jo-osoitteessa toimivan huijaussivuston osoite oli http://www.vtc.gov.jo/accounts.paypal.us/www.paypal.com/cgi-bin/webscr/cmd=_login-run/. Niinpä niin, paypal.us- ja  paypal.com-osilla viestin saajaa pyrittiin uskottelemaan viestin olevan aito ja saapuneen PayPalin ylläpidolta.

Palvelimen IP-osoite on rekisteröity Batelco Jordanille, joka on Ammanissa toimiva internet-operaattori.

Englanninkielinen huijausviesti väitti vastaanottajan PayPal-tilin joutuvan kuoletetuksi, ellei vastaanottaja tarkista käyttäjätietojensa oikeellisuutta.

Teknisesti sivusto uteli PayPal-käyttäjän sähköpostiosoitetta, salasanaa, luottokorttinumeroa ja kortin voimassaoloaikaa, tunnuslukua sekä korttiin painettua ns. CVV2-koodia. Card Verification Value on kortin takapuolella allekirjoituksen vieressä oleva kolminumeroinen luku, jota kysytään usein maksettaessa kortilla verkossa.

Tietomurron kohteiksi joutuneita verkkosivuja voidaan käyttää myös haittaohjelmien levittämiseen ja muihin rikollisiin tarkoituksiin, muistuttaa Mutina.

The oldest vulnerability is known - let’s find the oldest data loss incident

Open Security Foundation - an organization behind OSVDB and DataLossDB has launched a competition to find the oldest documented data loss incident.

The last day to make a submission is next Friday - 15th May.

This reminder was posted to my SecuriTeam Blogs section too.

SNORT-suoja Acorobat-nollapäiväaukoille

SNORT-säännöt vielä paikkausta odottaville Acrobat-haavoittuvuuksille on vastikään julkaistu. Lisätietoja täällä.

Haavoittuvuudet (kyseessä siis getAnnots()-aukko CVE-2009-1492 ja customDictionaryOpen()-aukko CVE-2009-1493) korjaava päivitys on Adoben lupaan jakelussa 12. toukokuuta mennessä.

Bloginpitäjällä ei ollut tilaisuutta blogata itse haavoittuvuudesta sen julki tullessa. Blogasin tapauksesta kyllä kahteenkin otteeseen työnantajani julkisessa blogissa.