La ejecución de códigos maliciosos a través de ataques scripting forman parte del folklore actual de los códigos maliciosos. スクリプティング攻撃を介して 、 悪意のあるコードの実行は 、 現在のマルウェアの民俗学の一部です。 Sin embargo, detrás de toda esta batería de métodos de infección, se encuentran involucradas aplicaciones diseñadas íntegramente para cometer este tipo actos dañinos. しかし、この方法の全体の感染症のバッテリーの後ろには、アプリケーションを完全にそのような悪質な行為を犯すように設計を行っています。

Por lo general, se trata de aplicativos crimeware como zeus, barracuda, chamaleon, YES, etc., o shells remotas escritas en PHP, como en este caso, la conocida r57shell. 通常、このcrimewareアプリケーションゼウス、バラクーダ、 chamaleonとしては、はい、など。またはリモートシェルはPHPで書かれた、この場合、 r57shellとして知られている。

Existen muchas aplicaciones de este estilo (c99shell, c100shell, locus, netshell, etc.) que son implantadas, generalmente, en servidores vulnerados a través de RFI (Remote File Inclusion - Inclusión Remota de Archivos) y utilizadas para realizar massive-defacement; es decir, desfiguración masiva de páginas web.このスタイルの多くのアプリケーション( c99shell 、 c100shell 、 NetShell座などがあります。 )は、 (リモートファイルのインクルード-リモートファイルインクルード) RFIを経由して脆弱性が存在するサーバーは、通常の移植され、大量に使用されることですまめつと言うのWebページの大量まめつ。

Sin embargo, si bien es habitual que el fin sea este, también son plenamente empleadas para ataques vía web a través de códigos maliciosos como DDoS, SQL Injection y reclutamiento de computadoras zombis, entre otros.しかし、この目的のための慣習ですが、完全には、 Web経由の攻撃に、悪意のあるコードを使った分散DoS攻撃、 SQLインジェクションやゾンビコンピュータの採用、などなどを採用しています。

Como podemos apreciar a través de esta segunda captura, las funcionalidades que ofrece r57shell son muchísimas, y no responden a una condición casual ni trivial, ya que la intención es poder controlar completamente el servidor donde se haya implantado.またこの2番目のキャプチャを見抜くことができる、それに持っている多くの機能を提供していますr57shellと、ささいなカジュアルや、意図を完全に制御するためのサーバーが注入されているに対応していません。 Es decir, se trata de un backdoor a partir del cual un atacante toma control total del servidor, y de cada uno de los nodos alojados en el mismo.すなわち、それは、攻撃者がサーバーを完全に制御するには、バックドア、同じ宿泊施設内の各ノードです。

En este caso, la shell en PHP estaba siendo utilizada para propagar malware a través de la explotación de las siguientes vulnerabilidades:この場合においては、マルウェアの普及は、 PHPのシェルの脆弱性を悪用するには、以下が使用されていた:

* SuperBuddy LinkSBIcons . ( CVE-2006-5820 )
* Office Snapshot Viewer . ( CVE-2008-2463 )
* WksPictureInterface . ( CVE-2008-1898 )
*

OurGame various errors . ( SA30469 )
* GomPlayer OpenURL . ( CVE-2007-5779
* QuickTime RTSP . ( CVE-2007-0015 )
* NCTAudioFile2 SetFormatLikeSample .
*

SetFormatLikeSample 。 ( CVE - 2007 - 0018 )
* Creative CacheFolder . ( CVE-2008-0955 )
* Windows Media Encoder . ( CVE-2008-3008
* Yahoo! ヤフー! Webcam Uploader . ( CVE-2007-3147 )
* Aurigma Photo Uploader . ( CVE-2008-0660 )
* Yahoo! ヤフー! Webcam Viewer . ( CVE-2007-3148 )
* Adobe Collab overflow . ( CVE-2007-5659 )
* Adobe util.printf overflow . ( CVE-2008-2992 )

Todos los exploits para estas vulnerabilidades se encuentran en un solo script cuya apariencia es similar al siguiente, que dicho sea de paso, la captura ha sido cortada.これらの脆弱性を悪用し、その外観はすべての方法では、カットされているキャッチに次のように似ている1つのスクリプトの中で発見されています。



Microsoft Windows Enhanced Metafile (EMF) buffer overflow (Image_EMF_Long_Description)

About this signature or vulnerability

Proventia G-Series, Proventia Network IPS, Proventia Desktop, Proventia M-Series, BlackICE Server Protection, Proventia Server for Windows, BlackICE PC Protection, BlackICE Agent for Server, RealSecure Network Sensor, RealSecure Server Sensor:

Trigger if the description field in an Enhanced Metafile (emf) exceeds pam.content.emf.description.threshold which defaults to 128 bytes



Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Network IPS: XPU 1.77, Proventia Desktop: 8.0.812.1770, Proventia M-Series: XPU 1.77, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770, BlackICE PC Protection: 3.6cpi, BlackICE Agent for Server: 3.6epi, RealSecure Network Sensor: XPU 24.38, RealSecure Server Sensor: XPU 24.38

Systems affected

Windows NT: 4.0 Server SP6a, Windows XP: 64-bit Edition SP1, Windows 2000: SP4, Windows Server 2003: Any version, Windows 2000: SP3, Windows XP: SP1, Windows NT: 4.0 Server TSE SP6, Windows XP: 64-bit Edition 2003, Windows Server 2003: 64-Bit Edition, Windows: 98 Second Edition, Windows: XP, Windows: Me, Windows: 98

Type

Unauthorized Access Attempt

Vulnerability description

Multiple versions of Microsoft Windows are vulnerable to a buffer overflow, caused by improper bounds checking when handling Enhanced Metafile (EMF) image formats. By creating a specially-crafted EMF image file containing malicious script, a remote attacker could overflow a buffer and execute arbitrary code on the system with privileges of the victim, once the file is opened. An attacker could exploit this vulnerability by hosting the malicious file on a Web site or by sending it to a victim as an HTML email.

Note: This vulnerability is different than the vulnerability addressed in Microsoft Bulletin MS04-011.

How to remove this vulnerability

Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS04-032. See References.

For Windows Server 2003:
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS05-018. See References.

Microsoft originally provided a patch for this vulnerability in MS04-032, but it was superceded by the patch released with MS05-018.


References

Microsoft Security Bulletin MS04-032
Security Update for Microsoft Windows (840987)
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx

CIAC Information Bulletin P-008
Microsoft Security Update for Microsoft Windows (840987)
http://www.ciac.org/ciac/bulletins/p-008.shtml

Packet Storm Web site
HOD-ms04032-emf-expl2.c
http://packetstormsecurity.nl/0410-exploits/HOD-ms04032-emf-expl2.c

Microsoft Security Bulletin MS05-018
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege and Denial of Service (890859)
http://www.microsoft.com/technet/security/bulletin/MS05-018.mspx

ISS X-Force
Microsoft Windows Enhanced Metafile (EMF) buffer overflow
http://www.iss.net/security_center/static/16581.php

CVE
CVE-2004-0209
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0209



■検知

Date/Time 2006-06-19 06:15:54 JST
Tag Name Image_EMF_Long_Description
Alert Name Image_EMF_Long_Description
Severity High
Observance Type Intrusion Detection
Combined Event Count 1
Cleared Flag false
Target IP Address 192.168.221.106
Target Object Name 34638
Target Object Type Target Port
Target Service unknown
Source IP Address 192.168.221.110
SourcePort Name 80
Sensor IP Address 10.4.6.106
Sensor Name Proventia_M-Series
:accessed yes
:code 200
:Description Length 65535
:protocol http
:Protocol Name TCP
:server 192.168.221.110
:type attack
:URL /ms04032.wmf
:user-defined false
algorithm-id 2104039
Blocked false
IANAProtocolId 6
Namespace pam
POST Default

MSDTC message buffer overflow (MSRPC_MSDTC_Message_GUID_BO)

About this signature or vulnerability

Proventia G-Series, Proventia Desktop, Proventia Network IPS, RealSecure Server Sensor, RealSecure Network Sensor, BlackICE PC Protection, BlackICE Agent for Server, BlackICE Server Protection, Proventia Server for Windows, Proventia M-Series:

This signature looks for a specially-crafted MSRPC MSDTC Request that is used to conduct a buffer overflow.



Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Desktop: 8.0.812.1770, Proventia Network IPS: XPU 1.77, RealSecure Server Sensor: XPU 24.38, RealSecure Network Sensor: XPU 24.38, BlackICE PC Protection: 3.6cpi, BlackICE Agent for Server: 3.6epi, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770, Proventia M-Series: XPU 1.77

Systems affected

Windows 2000: SP4, Windows XP: SP1, Windows Server: 2003, Windows Server 2003: SP1 Itanium, CallPilot: Any Version, Windows Server 2003: Itanium

Type

Unauthorized Access Attempt

Vulnerability description

The Microsoft Distributed Transaction Service Coordinator (MSDTC) could allow a remote attacker to execute arbitrary code on the system, caused by a buffer overflow in the MSDTC. On Windows 2000, a remote attacker could send a specially-crafted network message and execute arbitrary code on the system. On Windows XP SP1 and Windows Server 2003, a local attacker could run a program followed by a specially-crafted application to gain elevated privileges and execute arbitrary code on the system.

Note: On Windows XP SP1, the vulnerability can be exploited remotely if the MSDTC is started. On Windows Server 2003, if support for Network DTC Access has been enabled, the vulnerability can be exploited remotely.

How to remove this vulnerability

Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS05-051. See References.

For Windows 2000:
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS06-018. See References.

Note: Microsoft originally provided a patch for this vulnerability in MS05-051, which was superceded by the patch released with MS06-018.

For CallPilot:
Apply the fix as listed in Security Advisory P-2005-0056-Global, available from the Nortel Networks Web site. See References. A login account is required for access.


References

Microsoft Security Bulletin MS05-051
Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400)
http://www.microsoft.com/technet/security/bulletin/ms05-051.mspx  

Internet Security Systems Protection Alert October 11, 2005
Multiple Microsoft Vulnerabilities ・October 2005
http://xforce.iss.net/xforce/alerts/id/206  

Security Advisory P-2005-0056-Global
Nortel Networks: Log In Required
http://www.nortel.com/  

Microsoft Security Bulletin MS06-018
Vulnerability in Microsoft Distributed Transaction Coordinator Could Allow Denial of Service (913580)
http://www.microsoft.com/technet/security/Bulletin/MS06-018.mspx  

ISS X-Force
MSDTC message buffer overflow
http://www.iss.net/security_center/static/22467.php  

CVE
CVE-2005-2119
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2119  



■検知

Date/Time 2006-06-18 09:07:52 JST
Tag Name MSRPC_MSDTC_Message_GUID_BO
Alert Name MSRPC_MSDTC_Message_GUID_BO
Severity High
Observance Type Intrusion Detection
Combined Event Count 16
Cleared Flag false
Target IP Address 192.168.37.180
Target Object Name 1025
Target Object Type Target Port
Source IP Address 219.147.22.100
Sensor IP Address 10.4.6.100
Sensor Name network_sensor_1
:end-time 2006-06-18T09:07:32+09:00
:intruder-ip-addr 219.147.22.100
:len 16
:Opnum 0x7
:repeat-count 16
:start-time 2006-06-18T09:06:51+09:00
:victim-ip-addr 192.168.37.180
:victim-port 1025
algorithm-id 2118064
IANAProtocolId 6
Packet DestinationAddress 192.168.37.180
Packet DestinationPort 1025
Packet SourceAddress 219.147.22.100

Novell eDirectory iMonitor buffer overflow (HTTP_Novell_iMonitor_BO)

About this signature or vulnerability

Proventia G-Series, Proventia Desktop, Proventia Network IPS, RealSecure Server Sensor, RealSecure Network Sensor, Proventia M-Series, BlackICE Agent for Server, BlackICE PC Protection, BlackICE Server Protection, Proventia Server for Windows:

This signature detects an attempt to overflow Novell eDirectory Server iMonitor by sending a specially crafted URL



Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Desktop: 8.0.812.1770, Proventia Network IPS: XPU 1.77, RealSecure Server Sensor: XPU 24.38, RealSecure Network Sensor: XPU 24.38, Proventia M-Series: XPU 1.77, BlackICE Agent for Server: 3.6epi, BlackICE PC Protection: 3.6cpi, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770

Systems affected

Windows NT: 4.0, Windows 2000: Any version, Novell eDirectory: 8.7.3, Windows 2003: Any version

Type

Unauthorized Access Attempt

Vulnerability description

Novell eDirectory is a software package that uses a Lightweight Directory Access Protocol (LDAP) directory service for integrating enterprise and eBusiness programs. Novell eDirectory version 8.7.3, when running on Microsoft Windows, is vulnerable to a buffer overflow caused by improper bounds checking in the iMonitor. A remote attacker could exploit this vulnerability to overflow a buffer and execute arbitrary code on the system with SYSTEM level privileges or possibly cause dhost.ext to crash.

How to remove this vulnerability

Upgrade to the patch for this vulnerability, as listed in Novell Technical Information Document TID10098568. See References.


References

Secunia Security Advisory: SA16393
Novell eDirectory iMonitor Buffer Overflow Vulnerability
http://secunia.com/advisories/16393/  

Novell Technical Information Document TID10098568
Buffer overflow vulnerability against eDirectory 8.7.3 imonitor on Windows
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10098568.htm  

Novell Technical Information Document TID2972038
eDirectory 8.7.3 iMonitor for Win32 - TID2972038
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2972038.htm  

CERT Vulnerability Note VU#213165
Novell eDirectory iMonitor vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/213165  

ISS X-Force
Novell eDirectory iMonitor buffer overflow
http://www.iss.net/security_center/static/21794.php  

CVE
CVE-2005-2551
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2551  



■実証コード

===========================

Exploit: Name Default Description
-------- ------ --------------- -----------------------------------

optional SSL Use SSL
required RHOST 192.168.221.180 The target address
optional VHOST The virtual host name of the server
required RPORT 8008 The target port

Payload: Name Default Description
-------- -------- ------- ------------------------------------------

required EXITFUNC thread Exit technique: "process", "thread", "seh"
required LPORT 4444 Listening port for bind shell

Target: Windows (ALL) - eDirectory 8.7.3 iMonitor

msf edirectory_imonitor(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Attempting to exploit Windows (ALL) - eDirectory 8.7.3 iMonitor
[*] Overflow request sent, sleeping for four seconds
[*] Exiting Bind Handler.

msf edirectory_imonitor(win32_bind) >


■検知

Date/Time 2006-06-18 22:26:11 JST
Tag Name HTTP_Novell_iMonitor_BO
Alert Name HTTP_Novell_iMonitor_BO
Severity High
Observance Type Intrusion Detection
Combined Event Count 1
Cleared Flag false
Target IP Address 192.168.37.180
Target Object Name 8008
Target Object Type Target Port
Source IP Address 192.168.221.11
SourcePort Name 1633
Sensor IP Address 10.4.6.100
Sensor Name network_sensor_1
:accessed yes
:evasions uses non-ASCII characters;
:intruder-ip-addr 192.168.221.11
:intruder-port 1633
:server 192.168.221.180:8008
:URL /nds/佞7JBJ・A@GG@荘NJB屁C7J舛7FOFKKHJB傲・Fヨ@'@B櫑O廿GB澄FH'ヨHJI鋒FN桝廂G菅CB姆N妁訂僊O・@鎗@F・・GHON訪・泡OF滲GCO・・訂@C・蜂ヨGO・吏湧・ヨFNB7NF廿敦BK價鵰'ヨ趨K友僭7'@ヨ炉@O崇剞的BGB剞A・・CA只I'H'婁選'呂哲O銭・'O7N
:victim-ip-addr 192.168.37.180
:victim-port 8008
algorithm-id 2106212
IANAProtocolId 6
Packet DestinationAddress 192.168.37.180
Packet DestinationPort 8008
Packet DestinationPortName http-alt
Packet SourceAddress 192.168.221.11
Packet SourcePort 1633


Published: 2006-05-24,
:2006-05 - 24を発表しました、
Last Updated: 2006-05-24 11:55:40 UTC by Johannes Ullrich (Version: 2(click to highlight changes) )
最新アップデート:2006-05-24 ヨハンネス・ウルリッヒによっての11:55:40の UTC (バージョン:2(変更を強調するクリック))

This morning (shortly after 9am UTC, 5am EDT), Cogent experienced an outage resulting in many sites being not reachable. Things are slowly coming back together. Some sites may still not yet be reachable.
今朝(午前9時の UTC 、午前5時東部夏期時間でのすぐ後に)、 Cogent は停電が多くのサイトが到達可能ではないという結果になっているのを経験しました。 ものが一緒にゆっくりと戻って来ます。 若干のサイトがまだまだ到達可能ではないかもしれません。

Keynote shows issues between Cogent and almost all of its peers, as well as some isolated issued with Savvis.
Cogent と、いくらかと同様、その対等者のほとんどすべての間の銘柄が隔離した要旨ショーが Savvis と一緒に発せられました。
http://scoreboard.keynote.com/scoreboard/Main.aspx?Login=Y&Username=public&Password=public
http://scoreboard.keynote.com/scoreboard/Main.aspx?Login=Y&Username=public&Password=public

Note: Cogent's URL is 'cogentco.com', NOT 'cogent.com'.
ノート: Cogent の URL は、「cogent.com」ではなく、「cogentco.com」です。

Screen shot from Keynote as of 07:50 EDT (11:50 UTC):
東部夏期時間で07時50分(11時50分の UTC)の時点でショットを Keynote から保護してください:
keynote

Possible GNU Strings Denial Of Service Vulnerability (NEW)
可能なGNUは(新しい)サービス弱点の否定を張ります

Published: 2006-05-23,
:2006-05 - 23を発表しました、
Last Updated: 2006-05-23 22:57:48 UTC by David Goldsmith (Version: 2(click to highlight changes) )
最新アップデート:2006-05-23 デイビッド・ゴールドスミス(バージョン:2(変更を強調するクリック))によっての22:57:48の UTC

SecurityFocus has a vulnerability advisory about an issue with the GNU strings command and a potential Denial of Service attack. If a file contains certain character strings, the string command will crash due to a failure to properly handle unexpected user-supplied input.
SecurityFocus はコマンドとサービスの可能性がある否認が攻撃するGNU付帯条件で問題について弱点助言を持っています。 もしファイルがある特定の文字列を含むなら、ストリングコマンドは適切に意外なユーザーによって供給されたインプットを取り扱うという失敗のためにクラッシュするでしょう。

The bugzilla entry 2584 authored by Jesus Olmos Gonzales, who discovered the issue, contains more information. It indicates the the issue actually lies within the bfd_hack_lookup() routine in the BFD library.
問題を見いだしたジーザス・ Olmos ゴンザレスによって著作された bugzilla エントリー2584はもっと多くのインフォメーションを含んでいます。 それが示す問題は BFD ライブラリで bfd_hack_lookup () ルーチンの中で実際に横たわる.

The results of initial testing done by several ISC Handlers made it appear that this was only affecting some Linux/Unix distributions and not others. Further testing indicated that the "exploit" seems sensitive to the content of the triggering file.
数人の ISC 調教師によってされた最初のテストの結果はそれをこれがただ他のものではなく、若干の Linux / Unix 分配に影響を与えていただけであったように思われさせました。 それ以上のテストが「偉業」が引き起こしているファイルの内容に敏感に思われることを示しました。

If the file contained only the following line:
もしファイルがただ次のラインだけを含んだなら:

%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc
%の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc

then running strings on the file would result in a segmentation fault.
それからストリングをファイル上で走らせることは分割欠陥をもたらすでしょう。

If the file contained additional content, such as:
ファイルが追加の内容、そんなものを含んだもし:

This file will not crash
このファイルはクラッシュしないでしょう
%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc
%の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc

then running strings on the file did not result in a segmentation fault.
それからストリングをファイル上で走らせることは分割欠陥をもたらしませんでした。

The potential security impact of this is an attacker might be able to include this character sequence in their executable thereby making it harder to do binary analysis with the strings command.
これの潜在的なセキュリティー影響は、付帯条件が命令するという状態で、2進法の分析をすることをもっと難しくして攻撃者がそれによって(彼・それ)らの実行可能プログラムにこの文字のシーケンスを含めることが可能であるかもしれないということです。

To test if you system is vulnerable to this issue, you can run the following commands:
あなたシステムがこの問題に傷つきやすいかどうか試すために、あなたは次のコマンドを行なうことができます:

echo "%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc" > evil-file
「%の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc」 > 悪 - ファイルに共鳴してください
strings evil-file
悪 - ファイルを張ります

If you get a segmentation fault, you are vulnerable.
もしあなたが分割欠点を受けるなら、あなたは攻撃されやすいです。

Results for some tested operating systems [1]:
若干のテストされたオペレーティング・システム[1]に対する結果:

CentOS 4.3 - vulnerable
CentOS 4.3 - 攻撃されやすいです
Fedora Core 4 - vulnerable
中折れ帽コア4 - 攻撃されやすいです
Mac OS X 10.4.5 - NOT vulnerable
Mac OS X10.4.5 - 攻撃されやすくありません
OpenBSD 3.5 - vulnerable
OpenBSD 3.5 - 攻撃されやすいです
OpenBSD 3.9 - vulnerable
OpenBSD 3.9 - 攻撃されやすいです

Cygwin - vulnerable
Cygwin - 攻撃されやすいです

Update 1:
最新情報1:

Here is a workaround that may work for some folks. Run the strings command with the "-a" option. This says to scan the whole file instead of just the "initialized and loaded sections of object files". When "strings -a evil-file" ran, it did not result in a segmentation fault. (Thanks Swa)
若干の人々のためにここにうまくいくかもしれない回避策があります。 ランストリングは「- で1インチを取得するオプション. これはただ「初期化された(人たち・もの)の代わりにファイル全体を走査するように言って、そしてオブジェクトファイルのセクションをロードしました」。 「ストリング - 害悪 - がファイルする」が走ったとき、それは分割欠陥をもたらしませんでした。 (Swa のおかげで)

[1] - "vulnerable" meaning that the included version of the "strings" command will segment fault.
[1] - 「ストリング」コマンドの含まれるバージョンが分けるであろう「傷つきやすい」意味 - が断層を生じます。

Metasploit Framework 2.6 Released (NEW)
公表された Metasploit のフレームワーク2.6(新しいです)

Published: 2006-05-23,
:2006-05 - 23を発表しました、
Last Updated: 2006-05-23 21:06:53 UTC by David Goldsmith (Version: 1)
最新アップデート:2006-05-23 デイビッド・ゴールドスミス(バージョン:1)によっての21:06:53の UTC

Version 2.6 of the Metasploit Framework was released today. The Metasploit Framework is an open-source penetration-testing / vuln-assessment tool, similar to the commercial tools CANVAS and CORE IMPACT . The latest version now has 3 user interfaces, 143 exploits and 75 payloads.
Metasploit のフレームワークのバージョン2.6は今日公表されました。 Metasploit のフレームワークは商業のツールカンバスとコア影響に類似しているオープンソース浸透テスト / vuln - 査定ツールです。 最新のバージョンは今3つのユーザインタフェース、143の偉業と75の有効搭載量を持っています。

If you already have an older version of the Framework installed (version 2.2 or newer), you can simply run "msfupdate" to update to the latest and greatest parts and pieces.
もしあなたがすでにインストールされたフレームワーク(バージョン2.2、あるいはもっと新しいです)の前のバージョンを持っているなら、あなたは最近の、そして最も大きい部分と小片に更新するためにただ「msfupdate」を走らせることができます。

Update on Word 0-Day Issue (NEW)
Word の上に(新しい)0日間の問題を更新してください

Published: 2006-05-23,
:2006-05 - 23を発表しました、
Last Updated: 2006-05-23 12:19:28 UTC by David Goldsmith (Version: 1)
最新アップデート:2006-05-23 デイビッド・ゴールドスミス(バージョン:1)によっての12:19:28の UTC

Microsoft and eEye have each released advisories related to the issue this evening.
マイクロソフトと eEye はそれぞれ今晩問題と関係がある助言を公表しました。

Microsoft's security advisory can be found here.
マイクロソフトのセキュリティー助言はここで見いだされることができます。

eEye's advisory can be found here.
eEye の助言はここで見いだされることができます。

The information about vulnerable exploits differs a little between the two advisories.
傷つきやすい exploit についてのインフォメーションは2つの助言の間に少し異なります。

Microsoft says the vulnerability only affects Word 2002/XP and Word 2003 and that Word 2000 is not vulnerable. The Microsoft advisory contains information on workarounds including not using Word as the default mail editor in Outlook and running Word in 'Safe Mode' to disable the functionality that is affected by the vulnerability and exploit.
マイクロソフトは弱点がただ Word 2002年 / XP と Word 2003に影響を与えるだけである、そして Word 2000が傷つきやすくないと言います。 マイクロソフト助言はアウトルックで Word をデフォルトメールエディタとして使用しないことと、弱点と exploit によって影響を与えられる機能性を停止するために「安全なモード」で Word を走らせることを含めて回避策についてのインフォメーションを含みます。

eEye says that the vulnerability affects Word 2000 as well. The eEye advisory mentions that they believe there are two variants of this exploit. Thus, it may be that the first variant only affects Word 2002/XP and 2003 and the second variant affects all three versions.
eEye が弱点が同様に Word 2000年に影響を与えると言います。 eEye 助言は(彼・それ)らがこの偉業の2つの変形があると信じると述べます。 それで、最初の変形がただ Word 2002年 / XP に影響を与えるだけである、そして2003と2番目の変形がすべての3つのバージョンに影響を与えるのであるかもしれません。

(出展:SANS)

May 18 2006 7:52AM
2006年5月18日午前7時52分




With Myspace popularity exploding it was only a matter of time. There have been reports of a phishing attack which targets Myspace customers by requesting login details via a login page. The site was originally reported on "Technocrats" blog here: (http://djtechnocrat.blogspot.com/2006/05/myspace-phishing-attacks-on-rise.html ). Although the site was down at the time we tested it, we have no reason to believe this was not live bait and expect more attacks in the future.
Myspace 人気でそれを爆発させることはただ時間の問題に過ぎませんでした。 ログインページによってログインの詳細を求めることによって、 Myspace 顧客をターゲットにするフィッシング攻撃の報告がありました。 サイトはここで「専門技術者」ブログで当初報告されました: (http://djtechnocrat.blogspot.com/2006/05/myspace-phishing-attacks-on-rise.html) 。 サイトが我々がそれをテストした時にダウンしていたけれども、我々はこれが電流が通じたえさではなかったと信じる理由を持っていないそして将来もっと多くの攻撃を予想します。

Site screenshot from "Technocrats" blog:
「専門技術者」ブログからのサイトスクリーンショット:


(出展:Websense)

Hacktivism...wide scale defacement on more than 20,000 sites.
Hacktivism ...20,000以上のサイトの上の広いスケール defacement 。

May 19 2006 9:10AM
2006年5月19日午前9時10分




Zone-H, the popular defacement reporting website, reported that more than 20,000 websites have been compromised and defaced. The sites were hacked by someone with the handle "Iskorpitx" and displayed the Turkish flag along with other information. See screenshot below. Luckily there appears to be no malicious code on the sites, however this shows the potential of how vulnerable machines are being exploited and have the potential for spreading malicious code in a widespread manner.
地域H、人気が高い defacement 報告ウェブサイト、が 20,000以上のウェブサイトが妥協解決されて、そして落書きされたと報告しました。 サイトはハンドル「Iskorpitx」と一緒の誰かによってたたき切られて、そして他のインフォメーションとともにトルコのフラグを表示しました。 見てください、下のスクリーンショット。 運良くサイトに悪意があるコードがあるように思われません、しかしながらこれは傷つきやすいマシンがどのように利用されていて、そして広範囲にわたる方法で悪意があるコードを広める可能性を持っているかの可能性を示します。

Zone-H information details: http://www.zone-h.org/news/read/id=206009 (*warning, language that maybe offensive to some is on this site*)
ゾーンHインフォメーションの細部: http://www.zone-h.org/news/read/id=206009 (* 多分いくらかへの攻撃がこのサイトの上にあるという言語警告 *)

Example site screenshot:
例サイトスクリーンショット:


(出展:Websense)

There's been quite a lot of buzz about the new 0-day Word vulnerability.
新しい0日間の Word 弱点について非常に多くのブンブンいう音がありました。

While talking about details of the vulnerability, it's easy to forget what the vulnerability was actually used for.
弱点の詳細について話をしている間に、弱点が実際に何のために使われたか忘れることは容易です。

According to the information we have, a US-based company was targeted with emails that were sent to the company from the outside but were spoofed to look like internal emails.
我々が持っているインフォメーションによれば、合衆国ベースの会社が外部から会社に送られた、しかし内部電子メールのように見えるために偽装された電子メールで狙いを定められました。

8866The emails contained a Word DOC file as an attachment. DOCs are a nasty attack vector. Few years ago, when macro viruses were the number one problem, many companies were not allowing native DOC files through their email gateways. Now that has changed, and DOCs typically get through just fine. But Word has vulnerabilities and users typically don't install Word patches nearly as well Windows patches.
電子メールはアタッチメントとして Word ドクターファイルを含みました。 DOCs は不快な攻撃ベクトルです。 ほとんど年前に、マクロウイルスがナンバー1の問題であったとき、多くの会社が(彼・それ)らの電子メールゲートウェイを通ってネイティブのドクターファイルを許していなくはありませんでした。 今それは変化しました、そして DOCs は典型的にただ素晴らしくて成し遂げます。 けれども Word は弱点を持っています、そしてユーザーが典型的にほとんど元気な Windows のパッチとして Word のパッチをインストールしません。

When run, the exploit file ran a backdoor, hid it with a rootkit and allowed unrestricted access to the machine for the attackers, operating from a host registered under the Chinese 3322.org domain.
走らせられるとき、 exploit ファイルはバックドアを走らせて、 rootkit でそれを隠して、そして、中国語の 3322.org ドメインの下で登録されたホストから稼働して、攻撃者にマシンへの無制限のアクセスを割り当てました。

3322.org is a free host bouncing service in China. Anybody can register any host name under 3322.org (like whatever.3322.org) and the service will point that hostname to any IP address you want. There's actually a series of such services, including 8866.org, 2288.org, 6600.org, 8800.org and 9966.org. There are tons of useful things you can do with such host-resolving service. And tons of bad things too.
3322.org は中国でサービスを跳ね上げる無料のホストです。 誰でも(whatever.3322.org のような) 3322.org の下でどんなホスト名でも登録することができます、そしてサービスはあなたが欲するどんな IP アドレスにでもそのホスト名を向けるでしょう。 8866.org 、 2288.org 、 6600.org 、 8800.org と 9966.org を含めて、実際にこのようなサービスのシリーズがあります。 あなたがこのようなホストを変換するサービスですることができる有用なことのトンがあります。 そして同じく良くないことのトン。

Now, we've seen these kinds of attack before.
今、我々は前にこれらの種類の攻撃を見ました。

In March 2005, somebody was sending out dozens of emails to US government email addresses, spoofed to be from Washington Post. The email content talked about "international IPR conventions China has acceded to". The attached DOC file dropped a backdoor that connected to a host under 8866.org.
2005年3月に、誰かが、「ワシントン・ポスト」からであるためにペテンにかけられて、合衆国政府の電子メールアドレスに多数の電子メールを送っていました。 電子メール内容は「中国が応じた国際 IPR 会議」について話をしました。 付加されたドクターファイルは 8866.org の下でホストに接続したバックドアを落としました。

In September 2005, somebody sent several batches of EU-themed emails to addresses at the EU Parliament. Email topics included "Parliamentary Assembly", "Assembly of Council of Europe" and "Parliamentary Assembly Declaration". Emails contained a DOC that connected to a host under 3322.org.
2005年9月に、誰かがEU議会でアドレスに数回分のEUをテーマにした電子メールを送りました。 電子メールトピックが「議会の議会」、「ヨーロッパ会議の議会」と「議会の議会公表」を含みました。 電子メールが 3322.org の下でホストに接続したドクターを含みました。

In March 2006, a big European company received emails that were spoofed to look like internal job applications. The attached DOC file dropped a backdoor that connected to a host under 3322.org.
2006年3月に、大きいヨーロッパの会社が内部の求職申し込みのように見えるために偽装された電子メールを受け取りました。 付加されたドクターファイルは 3322.org の下でホストに接続したバックドアを落としました。

In April 2006, another European company was targeted by a similar attack, this time connecting to a host under 8866.org.
2006年4月に、もう1つのヨーロッパの会社が、今回は 8866.org 以下のホストに接続して、類似の攻撃によって目標を定められました。

And now in May 2006, this latest case complete with a zero-day exploit, connecting to a host under 3322.org.
そして2006年5月、 3322.org の下でホストに接続しているゼロ日 exploit を完備したこの最近の事例で今。

So, should you block access to hosts under 3322.org, 8866.org and others? Depends. It's kind of like blocking access to Geocities: you'd block lots of bad stuff - and lots of good stuff. But then again, most users of these services are in China. If you're not in China and your users are not supposed to access different Chinese services, blocking might not break too many things.
それで、あなたは 3322.org 、 8866.org と他のものの下でホストへのアクセスを阻止するべきですか? 事情によります。 それはまあ Geocities へのアクセスを阻止するようです:あなたはたくさんの良くない物 - そしてたくさんの良い物をブロックするでしょう。 けれどもそれから再び、これらのサービスのたいていのユーザーが中国にいます。 もしあなたが中国にいなく、そしてあなたのユーザーが異なった中国のサービスにアクセスするはずではないなら、ブロックすることはあまりに多くのことを破らないかもしれません。

We'd recommend you'd at least check your company's gateway logs to see what kind of traffic you have to such services.
我々はあなたがあなたがこのようなサービスにどんな種類のトラフィックを持っているか見るために少なくともあなたの会社のゲートウェイが木材を伐採することを調べるであろうことを勧めるでしょう。