Archive

Archive for the ‘Guvenlik’ Category

Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution

July 22nd, 2010 Comments off

Aşağıdaki makaleleri okumanızı ve önlem almanızı tavsiye ediyorum.

The security advisory and KB article were updated on 7/20/2010 to add a link to an automated workaround.

We released Security Advisory 2286198 on July 16. 2010, which addresses a publicly reported vulnerability in Windows Shell.

Categories: Guvenlik

Security Risk

July 22nd, 2010 Comments off

Aşağıdaki makaleleri okumanızı ve önlem almanızı tavsiye ediyorum.

The security advisory and KB article were updated on 7/20/2010 to add a link to an automated workaround.

We released Security Advisory 2286198 on July 16. 2010, which addresses a publicly reported vulnerability in Windows Shell.

Categories: Guvenlik

Windows Server 2008 R2 Security Baseline

July 15th, 2010 Comments off

Uzun süredir kullandığımız ve R2 desteğini gelmesini beklediğimiz MBSA ın yeni versiyonu beta olarak sunuldu. Aşağıdaki adresten indirerek deneyebilirsiniz.

https://connect.microsoft.com/site715/Downloads/DownloadDetails.aspx?DownloadID=29698

Categories: Guvenlik, windows server 2008

Critical Product Vulnerability – July 2010 Microsoft Security Bulletin Release

July 14th, 2010 Comments off
What is the purpose of this alert?

This alert is to provide you with an overview of the new security bulletin(s) being released on July 13, 2010. Security bulletins are released monthly to resolve critical problem vulnerabilities.

New Security Bulletins

Microsoft is releasing the following four new security bulletins for newly discovered vulnerabilities:

Bulletin ID Bulletin Title Maximum Severity Rating Vulnerability Impact Restart Requirement Affected Software
MS10-042 Vulnerability in Help and Support Center Could Allow Remote Code Execution (2229593) Critical Remote Code Execution May require restart Microsoft Windows XP and Windows Server 2003.
MS10-043 Vulnerability in Canonical Display Driver Could Allow Remote Code Execution (2032276) Critical Remote Code Execution Requires restart Microsoft Windows 7 for x64-based systems and Windows Server 2008 R2 for x64-based systems.
MS10-044 Vulnerabilities in Microsoft Office Access ActiveX Controls Could Allow Remote Code Execution (982335) Critical Remote Code Execution May require restart Microsoft Office Access 2003 and Office Access 2007.
MS10-045 Vulnerability in Microsoft Office Outlook Could Allow Remote Code Execution (978212) Important Remote Code Execution May require restart Microsoft Office Outlook 2002, Office Outlook 2003, and Office Outlook 2007.
Note: The affected software listed in this table is an abstract. To see the complete list, please visit the bulletin at the link in the left column and navigate to the Affected Software section of the page.

Summaries for new bulletin(s) may be found at http://www.microsoft.com/technet/security/bulletin/MS10-jul.mspx.

Microsoft Windows Malicious Software Removal Tool

Microsoft is releasing an updated version of the Microsoft Windows Malicious Software Removal Tool on Windows Server Update Services (WSUS), Windows Update (WU), and the Download Center. Information on the Microsoft Windows Malicious Software Removal Tool is available at http://support.microsoft.com/?kbid=890830.

High Priority Non-Security Updates

High priority non-security updates Microsoft releases to be available on Microsoft Update (MU), Windows Update (WU), or Windows Server Update Services (WSUS) will be detailed in the KB article found at http://support.microsoft.com/?id=894199.

Public Bulletin Webcast

Microsoft will host a webcast to address customer questions on these bulletins:

Title: Information about Microsoft July Security Bulletins (Level 200)

Date: Wednesday, July 14, 2010, 11:00 A.M. Pacific Time (U.S. and Canada)

URL: https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032454299

New Security Bulletin Technical Details

In the following tables of affected and non-affected software, software editions that are not listed are past their support lifecycle. To determine the support lifecycle for your product and edition, visit the Microsoft Support Lifecycle web site at http://support.microsoft.com/lifecycle/.

Bulletin Identifier Microsoft Security Bulletin MS10-042
Bulletin Title Vulnerability in Help and Support Center Could Allow Remote Code Execution (2229593)
Executive Summary This security update resolves a publicly disclosed vulnerability in the Windows Help and Support Center feature that is delivered with supported editions of Windows XP and Windows Server 2003. This vulnerability could allow remote code execution if a user views a specially crafted Web page using a Web browser or clicks a specially crafted link in an e-mail message.

The security update addresses the vulnerability by modifying the manner in which data is validated when passed to the Windows Help and Support Center.

This security update also addresses the vulnerability first described in Microsoft Security Advisory 2219475.
Severity Ratings and Affected Software This security update is rated Critical for all supported editions of Windows XP, and Low for all supported editions of Windows Server 2003.
Attack Vectors
  • A maliciously crafted Web page.
  • A maliciously crafted e-mail.
Mitigating Factors
  • Users would have to be persuaded to visit a malicious web site.
  • The vulnerability cannot be exploited automatically through e-mail. For an attack to be successful, a user must click a link listed within an e-mail message.
  • Exploitation only gains the same user rights as the logged on account. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update None
Full Details http://www.microsoft.com/technet/security/bulletin/MS10-042.mspx
Bulletin Identifier Microsoft Security Bulletin MS10-043
Bulletin Title Vulnerability in Canonical Display Driver Could Allow Remote Code Execution (2032276)
Executive Summary This security update resolves a publicly disclosed vulnerability in the Canonical Display Driver (cdd.dll). Although it is possible that the vulnerability could allow code execution, successful code execution is unlikely due to memory randomization. In most scenarios, it is much more likely that an attacker who successfully exploited this vulnerability could cause the affected system to stop responding and automatically restart.

The security update addresses the vulnerability by correcting the manner in which the Canonical Display Driver parses information copied from user mode to kernel mode.

This security update also addresses the vulnerability first described in Microsoft Security Advisory 2028859.
Severity Ratings and Affected Software This security update is rated Critical for x64-based editions of Windows 7 and Important for Windows Server 2008 R2.
Attack Vectors
  • A maliciously crafted image file.
  • Common delivery mechanisms: a maliciously crafted Web page, an e-mail attachment, an instant message, a peer-to-peer file share, a network share, and/or a USB thumb drive.
Mitigating Factors
  • This vulnerability only impacts Windows systems that have the Windows Aero theme installed.
  • By default, Windows Aero is not enabled in Windows Server 2008 R2, and the platform does not include Aero-capable graphics drivers.
  • Users would have to be persuaded to visit a malicious web site.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update None
Full Details http://www.microsoft.com/technet/security/bulletin/MS10-043.mspx
Bulletin Identifier Microsoft Security Bulletin MS10-044
Bulletin Title Vulnerabilities in Microsoft Office Access ActiveX Controls Could Allow Remote Code Execution (982335)
Executive Summary This security update resolves two privately reported vulnerabilities in Microsoft Office Access ActiveX Controls. The vulnerabilities could allow remote code execution if a user opened a specially crafted Office file or viewed a Web page that instantiated Access ActiveX controls.

The update addresses the vulnerabilities by updating specific Access ActiveX controls and by modifying the way memory is accessed by Microsoft Office and by Internet Explorer when loading Access ActiveX controls.
Severity Ratings and Affected Software This security update is rated Critical for supported editions of Microsoft Office Access 2003 and Microsoft Office Access 2007.
Attack Vectors
  • A maliciously crafted Web page.
  • A maliciously crafted e-mail attachment.
Mitigating Factors
  • Users would have to be persuaded to visit a malicious web site.
  • Exploitation only gains the same user rights as the logged on account. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
  • By default, all versions of Outlook, Outlook Express, and Windows Mail open HTML e-mail messages in the Restricted Sites zone.
  • By default, IE on Windows 2003 and Windows Server 2008 runs in a restricted mode.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update None
Full Details http://www.microsoft.com/technet/security/bulletin/MS10-044.mspx
Bulletin Identifier Microsoft Security Bulletin MS10-045
Bulletin Title Vulnerability in Microsoft Office Outlook Could Allow Remote Code Execution (978212)
Executive Summary This security update resolves a privately reported vulnerability. The vulnerability could allow remote code execution if a user opened an attachment in a specially crafted e-mail message using an affected version of Microsoft Office Outlook.

The update addresses the vulnerability by modifying the way that Microsoft Office Outlook verifies attachments in a specially crafted e-mail message.
Severity Ratings and Affected Software This security update is rated Important for all supported editions of Microsoft Office Outlook 2002, Microsoft Office Outlook 2003, and Microsoft Office Outlook 2007.
Attack Vectors
  • A maliciously crafted e-mail attachment.
Mitigating Factors
  • An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
  • Cannot be exploited automatically through e-mail, because a user must open an attachment that is sent in an e-mail message.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS09-060
Full Details http://www.microsoft.com/technet/security/bulletin/MS10-045.mspx

Regarding Information Consistency

We strive to provide you with accurate information in static (this mail) and dynamic (web-based) content. Microsoft’s security content posted to the web is occasionally updated to reflect late-breaking information. If this results in an inconsistency between the information here and the information in Microsoft’s web-based security content, the information in Microsoft’s web-based security content is authoritative.

If you have any questions regarding this alert please contact your Technical Account Manager or Application Development Consultant.

Thank you,

Categories: Guvenlik

Data Security – Disk Encryption by Bitlocker – Checkpoint – Safeboot – GE – PGP – Utimaco

June 22nd, 2010 Comments off

Özellikle mobil aygıtlarda çalınmaya karşı güvenlik önlemi olarak kullanılan full disk şifreleme yazılımları güvenlik noktasında bizleri tatmin etmektedir. Ancak bu yazılımları kullanan pek çok firmanın kafasında performans konusunda soru işaretleri yer almaktadır. Bu konuda Checkpoint firmasını bağımsız test sonuçları dikkat çekici .

PassMark Yazılım sonuçları – Performans

DiskMark yazılım sonuçları – Performans

Bu sonuçlara göre CP ilk sırada yer alıyor . Ancak böylesine bir özellik için lisans bedeli ödemek kim ister ? Bitlocker gibi Windows 7 işletim sistemi ile beraber gelen ücretsiz bir yazılım varken bu kadar küçük performans farkı için bence lisans bedeli ödemeye gerek yok .

Son yorum tabiki sizlerin ama benim tercihim zaten parasını ödeyip satın aldığım windows 7 ürünü ile beraber gelen bu ücretsiz özelliği kullanmaktır.

Bitlocker konusunda ÇözümPark Bilişim Portalı üzerinde pek çok makale ve video eğitimleri bulunmaktadır.

Categories: Guvenlik

Logon Type Codes

June 19th, 2010 Comments off

Windows Server 2000, Windows XP, Windows Server 2003 işletim sistemleri üzerindeki event lara bakarsanız eğer 528 ve 540 nolu eventlar başarılı logon işlemlerini göstermektedir ( windows vista ve 2008 de bu event id 4624 ile değişmiş ancak logon type bölümü aynı kalmıştır.. Ancak siz bu logon işlemini nereden gerçekleştiğini öğrenmek için bu event içerisindeki logon type değerini kontrol etmelisiniz.
örnek bir event

Successful Logon:

User Name:administrator

Domain:ELM
Logon ID:(0×0,0x558DD)
Logon Type:2
Logon Process:User32
Authentication Package:Negotiate
Workstation Name:W2MS
Windows XP and Windows Server 2003 add:
Logon GUID:{d39697e4-34a9-b3e0-f30a-d2ba517eb4a2}
Windows Server 2003 adds these fields:
Caller User Name:-
Caller Domain:-
Caller Logon ID:-
Caller Process ID: -
Transited Services: -
Source Network Address:10.42.42.170
Source Port:3165

Logon type karşılığındaki numaraları anlamak için aşağıdaki tabloyu kullanabilirsiniz.

Logon Type
Description
2
Interactive (logon at keyboard and screen of system) Windows 2000 records Terminal Services logon as this type rather than Type 10.
3
 Network (i.e. connection to shared folder on this computer from elsewhere on network or IIS logon – Never logged by 528 on W2k and forward. See event 540)
4
 Batch (i.e. scheduled task)
5
 Service (Service startup)
7
 Unlock (i.e. unnattended workstation with password protected screen saver)
8
 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with “basic authentication”) See this article for more information.
9
 NewCredentials
10
 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11
 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)
Categories: Guvenlik

Parent Paths nedir ?

June 17th, 2010 Comments off

Mevcut IIS Serverınızı eğer MBSA tararsanız böyle bir hata ile karşılaşabilirsiniz. Nedir bu derseniz hemen açıklamak istiyorum.

Siz IIS üzerinde bir virtual directory açarsanız eğer ; örneğin cozumpark.com/makale ve biris bu dizine erişir ise teknik olarak sadece bu alan için yetki verilir ve bir üst dizin veya dizinleri görmemesi gerekmektedir. Ancak bazı yazılımlar bu konuda sizi üzebilir ve sizde bunu açarsanız ( daha çok plesk kullanan server larda bunu görüyoruz ) bir güvenlik açığı olmuş oluyor . Plesk üzerinde bu normalde kapalı gelir . Açmak için “Plesk kontrol panelden hosting yönetim menülerinden virtual directories (sanal dizinler) tikliyoruz. Açilan sayfada Directory Properties (klasör özellikleri) tıklıyoruz. Açılan sayfadaki “Allow to use parent paths” (Üst dizinlere erişim) seçeneğini aktif edip onaylıyoruz”

IIS 7 üzerinde de standart olara kapalı gelen bu özelliği açmak içinASP özelliklerine girdiğimiz zaman “enable parent path” bölümünü true yapmamız yeterlidir.

Peki güvenlik açığı nerede derseniz ; bunu açarak web sitesinin root dizini dışındaki özel bilgilerinizinde erişimine izin vermiş oluyorsunuz aslında bu nedenle zorunlu kalmadığınız sürece bu özelliği açmayın . Bu açık ise eğer örneğin sizin hosting makinenize bir asp dosyası atıp sonra adresimi yazarım ; www.cozumpark.com/hakan.asp ve buradan sunucunun C , D dizinlerine ulaşabilirim.

Categories: Guvenlik

7 saat 7 dakika süren DDoS saldırısının analizi

June 17th, 2010 Comments off

Bugün sabah 05 itirabiyle Netsec listesi, Bilgi Güvenliği Akademisi ve Lifeoverip.net sunucuları(+aynı ağda bulunan kapı komşumuz ÇözümPark) ulaşılamaz durumdaydı. Önceleri yine kendini agresif bir yolla ispat etmeye çalışan birileri sandım ve pek önemsemeden kahvaltıya devam ettim sonra aynı ağdaki diğer müşterilerden de şikayet gelmeye başlayınca biraz inceleyeyim dedim ve 7 saat 7 dakika süren o tatsız süreç başlamış oldu:)

İnceleme sonuçları:

Her bir site farklı makinede  olunca  ve hepsi birden ulaşılamaz olunca öncelikle fiziksel bir sorun vardır diye ISP ile iletişime geçildi. Sonra ISP’den DDoS saldırısı yapıldığı bilgisi gelince bu bilgiyi teyit edecek bazı denemeler yapıldı(hping ile bazı portlara SYN paketleri gönderip cevap gelmesini beklemek gibi) ve fiziksel bir erişim problemi olmadığı onaylandı.

Bir sonraki adımda sistemin bantgenişliği  arttırmak için için ISP ile tekrar iletişime geçildi. Biz bantgenişliğini arttırdıkça saldırının şiddeti de artıyordu. Bant genişliği arttırımı  esnasında ben sırasıyla tüm sunucularımıza bağlanarak saldırının bize gelip gelmediğini kontrol etttim. Saldırı bizim IP adreslerine yönelik değildi.

Sırasıyla diğer sistemler de kontrol edildi ama ortaya bilinen bir sistem çıkmadı…

Peki sorun neydi?

Ortalama trafiği 10Mb civarı olan sistemlerimize 70 Mb civarı atak gelince ve gelen 70Mb  trafiğe(~200.000 PPS)  benzeri miktarda yanıt dönmeye çalışılınca routerin bize bakan ayağındaki 100Mb sınırlaması aşılmış oldu ve biz tümden sistemlere ulaşamaz olduk. Bunun tek çaresi vardı, saldırı yapılan IP adresi hangisi ise o IP Adresini backbone’daki routerlardan karadeliğe yönlendirme.

Uzun uğraşlarımız sonrası hangi sisteme DDoS yapıldığını bulamadık(20-30 civarı IP adresinden bahsediyorum) ve son çare olarak Çözümpark’tan Hakan’la  taksiye atlayıp ISP’e geldik. Kısa bir sürede saldırının hangi IP adresine yapıldığını bularak o IP adresini sanal dünyadan sildik ve DNS’de yeni IPler tanımladık.

Sıra geldi saldırı esnasında kaydettiğim trafik dosyasının incelenmesine. Trafik dosyasını incelediğimde hayal kırıklığına uğradım! Topu topu iki tane IP adresi UDP 80 portuna(sanırım saldırgan web sunucuya SYN flood yapmak istiyordu ama yanlışlıkla UDP 80′e göndermeye başladı trafiği) yüklü miktarda paket göndermeye çalışıyordu… Önce routerlardan ACL ile udp 80 e giden paketleri kapatalım dedim bunu yapamayacaklarını söylediklerinde ise ilgili ip adresini sanal dünyadan sildirdik ve sistemler tekrar ayağa kalktı…

Analiz aşaması
root@seclabs:~#tcpdump -n -r DDOS.pcap udp port 80|cut -f3 -d” “|cut -f1,2,3,4 -d”.”|sort -n|uniq -c>2
root@seclabs:~# more 2
….
2097867256364 91.121.135.187
307419089761   91.121.192.60
Hangi IP adreslerinden geldi?

Saldırı anında 1-2 dakikalık alınan paket kaydı sonucu
91.121.192.60
91.121.135.187
IP adreslerinin saldırıda kullanıldığını belirlendi. Iki IP adresinin de Fransa’daki OVH adlı ISP’e ait olduğu belirlenerek ilgili e-posta adreslerine saldırıyı anlatan ve şikayetçi olduğumuzu belirten uyarı maili gönderildi.
inetnum:         91.121.132.0 – 91.121.135.255
netname:         OVH
descr:           OVH SAS
descr:           Dedicated Servers
descr:           http://www.ovh.com
country:         FR

Alınacak dersler

  • ISP seçiminde daha dikkatli olunacak:)
  • Tüm sistemler DDoS engelleme sisteminin arkasına alınacak yoksa aynı ağdaki bir makineye gelen trafik diğerlerinin de ulaşılmaz olmasına neden oluyor
  • ISP’deki bu darboğaz neden oluştu detaylı incelenerek tekrar oluşmasını engelleme
  • En kötü durum senaryosu için DNS’lerin yedeği yurtdışında tutulacak(bizim dnsler zaten bu şekilde ama çoğunluk müşteri tek bir yerde tutuyordu) ve TTL değerleri düşürülecek.
  • Saldırı basittir birazdan kesilir diye rahat davranılmayacak

Sonuç

7 saat 7 dakika süren bu sıkıntı sonrası şunu tekrar net olarak söyleyebilirim ki  ne X, Y, Z ürünü ne de başka birşey, temel TCP/IP bilgisi ve bu bilgiyi pratiğe dökecek basit araçların bilinmesi herşeye bedeldir.

7 saat sonra artık saldırının kendi kendine kesilmeyeceğini düşünerek ISP’e gittiğimizde, Laptop’da Linux’u açıp incelemeye başlamamla birlikte 7 dakika içerisinde hangi sisteme saldırı yapıldığını bulundu ve sistem ayağa kaldırıldı.

Hala TCP/IP nedir ki, neden bu kadar önem veriyorsunuz diyenlere güzel bir cevap oldu:). TCP/IP herşeydir, iletişimin temelidir! Alfabeyi ne kadar iyi bilirseniz anlamanız, sorunları çözmeniz o kadar kolay olur.

root@seclabs:~# more 2….2097867256364 91.121.135.187307419089761   91.121.192.6091.121.192.6091.121.135.187netname:         OVHdescr:           OVH SASdescr:           Dedicated Serversdescr:           http://www.ovh.comcountry:         FR

Categories: Guvenlik

Beşinci Kamu Kurumları Bilgi Teknolojileri Güvenlik Konferansı

June 16th, 2010 Comments off

Tarih: 25 Haziran 2010

Yer: TÜBİTAK Feza Gürsey ve Mustafa İnan Konferans Salonları

TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Bilişim Sistemleri Güvenliği Bölümü tarafından organize edilen Beşinci Kamu Kurumları Bilgi Teknolojileri Güvenlik Konferansı, 25 Haziran 2010 Cuma günü TÜBİTAK Feza Gürsey ve Mustafa İnan Konferans Salonları’nda düzenlenecektir.

  Read more…

Categories: Guvenlik

Gartner Magic Quadrant Firewalls 2010

May 7th, 2010 Comments off

Categories: Guvenlik
UA-2825094-1 model ilanlari model ilanlari