Alfonso Maruccia

Mysql.com, spiffero con malware

Il sito del popolare standard di database relazionale cade ancora una volta vittima di ignoti cyber-criminali. Questa volta mysql.com Ŕ stato compromesso per servire malware ai malcapitati visitatori

Roma - Mysql.com ancora sotto il tiro dei cyber-criminali e degli hacker "black hat": il sito web che fa "casa" telematica ufficiale del database relazionale di proprietà di Oracle è stato compromesso per un breve periodo di tempo questo lunedì, e al momento sia gli autori dell'attacco che i danni effettivi provocati sono sconosciuti.

L'esistenza della breccia è stata notata dalla società di sicurezza Armorize, secondo le cui analisi i cyber-criminali hanno piantato codice JavaScript malevolo sui server di mysql.com con l'obiettivo di scovare exploit funzionanti nei browser dei visitatori del sito. A chi avesse avuto installati browser o plug-in datati (Adobe Flash, Adobe Reader o Java) toccava trovarsi il PC infetto con malware.

L'incidente è durato poco, dice Armorize, sicuramente meno di un giorno. Il problema è ora individuare i responsabili, capire le loro motivazioni (il malware scaricato sui PC vulnerabili è in fase di studio) e soprattutto calcolare l'entità effettiva dei danni provocati dalla compromissione di un sito popolare come mysql.com.
Certo è che non si tratta del primo affondo di alto profilo alla casa del database open source di Oracle (ex-Sun): pochi mesi or sono mysql.com era già caduto vittima di un attacco di SQL injection, attacco che in quel caso aveva portato alla compromissione delle password di accesso di vari utenti del sito.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSicurezza online, danni e beffeImportanti siti web cadono vittima di vulnerabilitÓ laddove dovrebbero avere le difese pi¨ forti, societÓ di sicurezza dispensano consigli sui nuovi rischi del cloud computing mentre gestiscono portali-colabrodo
5 Commenti alla Notizia Mysql.com, spiffero con malware
Ordina
  • hai scritto:

    >> A chi avesse avuto installati browser o plug-in datati (Adobe Flash, Adobe Reader o Java) toccava trovarsi il PC infetto con malware. <<

    chi l'ha detto che chi usa un browser web o flash player o java VM non aggiornati quindi vulnerabili si ritrova il pc infetto?

    tutti exploit che bypasserebbero i mitigating factor DEP & ASLR    per eseguirsi + il malware derivante dall'esecuzione dell'exploit bypasserebbe anche anche UAC per installarsi piu' anche l'antivirus + ancora anche l'account Limitato per chi lo usa ?

    ci sono delle prove?

    grazie
    Fiber
    3605
  • - Scritto da: Lumaco Scarafoni
    > - Scritto da: Fiber
    > > l'antivirus
    >
    > Rotola dal ridere
    >
    > http://www.virustotal.com/file-scan/report.html?id
    >
    > Annoiato


    http://www.virustotal.com/file-scan/report.html?id...


    Newbie, inespertoNewbie, inesperto


    Confirmed by Armorize as driveby malware.
    Uses an exploit in non-updated java platforms on non patched browsers to serve an exploit of the Black Hole malware suite. There was a javascript file that was injected to redirect the user's browser to load a file from a .cc.cx domain to download an exploit based on the vulnerability available to it. Different vulnerabilities provide a different piece of malware. In the first video report the system was IE6 on Windows XP.


    Internet Explorer 6 nel 2012 su XP

    = non Dep, no ASLR, no modalità protetta con integrity level ( aka sandbox) no UAC + account Administrator e non Limitato al 100%

    no niente

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere


    sarebbe interessante vedere cosa succede con IE8 su XP Sp3 con Dep permanent attivo di default ( no bypass con return-to-libc ) senza IE8 security fix .....o con IE9 su Windows 7 con Dep + ASLR + anche la modalità protetta senza IE9 security fix o con Firefox 4 con DEP + ASLR senza patch 4.0.1, 4.0.2, 5.0, 5.0.1, 6.0 , 6.0.1 , 7.0 .... o Chrome con DEP + ASLR + Sandbox uguale e non aggiornato all'ultima versione
    -----------------------------------------------------------
    Modificato dall' autore il 28 settembre 2011 20.13
    -----------------------------------------------------------
    Fiber
    3605
  • Proviamo a fare un post costruttivo, anche se dopo le razzate che ho dovuto sopportare su TOR mi viene realmente voglia di mandare a quel paese gran parte di chi legge... Rotola dal ridere

    Premessa a parte, questi sono rischi realmente elevati per chiunque: compromettere un sito fidato per iniettare malware.
    La cosa secondo me preoccupante è la sicurezza applicata ai siti istituzionali: dai comuni agli enti di provincia ecc.ecc.

    Siti dai quali migliaia di persone scaricano documenti, software e dati, senza preoccuparsi troppo della sicurezza perchè "è il sito del mio comune/di una istituzione importante".

    Ho dimostrato, quando ero attivo in quest'ambito (la sicurezza), come anche un piccolo sito comunale compromesso possa essere pericoloso.
    Principalmente perchè:
    1) nessuno si occupa attivamente di lui
    2) si può attirare tramite ingegneria sociale e "passaparola" un'ampia parte della popolazione "informatizzata"
    3) da non sottovalutare: si possono inserire notizie fasulle e manipolare una massa.

    Come esempio, in accordo con il comune di $ridentecittadina e con il provider "della provincia" (quindi tengo a sottolineare NIENTE DI ILLEGALE), qualche anno fa ho dimostrato come sia pericolosa la cosa.
    In definitiva:

    1) compromesso il sito, tramite sql injection, e creato un utente admin (avrei potuto usare l'account esistente... le pwd erano in chiaro)
    2) inserito notizia ben curata "registrazione per taglio costi NU", dove si spiegava che registrandosi con l'apposito software si avebbe avuto un forte sconto sulle spese di nettezza urbana. in realtà si trattava di un software che richiedeva di contattare il comune (dove si spiegava lo scopo della cosa)
    3) risultato: dopo una settimana (una settimana. Non un mese. UNA SETTIMANA) su una stima di circa 600 visitatori unici, oltre 400 persone sono cadute nel tranello.

    Quindi antenne sempre dritte: non conta se hai windows, linux,osx o quello che vuoi... in questi casi una parte del cervello umano tende a dimenticare il buon senso e a ... lasciare che l'applicazione faccia il suo scopo.
    non+autenticato
  • - Scritto da: hermanhesse
    > Proviamo a fare un post costruttivo, anche se
    > dopo le razzate che ho dovuto sopportare su TOR
    > mi viene realmente voglia di mandare a quel paese
    > gran parte di chi legge...
    > Rotola dal ridere
    >
    > Premessa a parte, questi sono rischi realmente
    > elevati per chiunque: compromettere un sito
    > fidato per iniettare
    > malware.
    > La cosa secondo me preoccupante è la sicurezza
    > applicata ai siti istituzionali: dai comuni agli
    > enti di provincia
    > ecc.ecc.
    >
    > Siti dai quali migliaia di persone scaricano
    > documenti, software e dati, senza preoccuparsi
    > troppo della sicurezza perchè "è il sito del mio
    > comune/di una istituzione
    > importante".
    >
    > Ho dimostrato, quando ero attivo in quest'ambito
    > (la sicurezza), come anche un piccolo sito
    > comunale compromesso possa essere
    > pericoloso.
    > Principalmente perchè:
    > 1) nessuno si occupa attivamente di lui
    > 2) si può attirare tramite ingegneria sociale e
    > "passaparola" un'ampia parte della popolazione
    > "informatizzata"
    > 3) da non sottovalutare: si possono inserire
    > notizie fasulle e manipolare una
    > massa.
    >
    > Come esempio, in accordo
    > con il comune di $ridentecittadina e con il
    > provider "della provincia" (quindi tengo a
    > sottolineare NIENTE DI ILLEGALE), qualche anno fa
    > ho dimostrato come sia pericolosa la
    > cosa.
    > In definitiva:
    >
    > 1) compromesso il sito, tramite sql injection, e
    > creato un utente admin (avrei potuto usare
    > l'account esistente... le pwd erano in
    > chiaro)
    > 2) inserito notizia ben curata "registrazione per
    > taglio costi NU", dove si spiegava che
    > registrandosi con l'apposito software si avebbe
    > avuto un forte sconto sulle spese di nettezza
    > urbana. in realtà si trattava di un software che
    > richiedeva di contattare il comune (dove si
    > spiegava lo scopo della
    > cosa)
    > 3) risultato: dopo una settimana (una settimana.
    > Non un mese. UNA SETTIMANA) su una stima di circa
    > 600 visitatori unici, oltre 400 persone sono
    > cadute nel
    > tranello.
    >
    > Quindi antenne sempre dritte: non conta se hai
    > windows, linux,osx o quello che vuoi... in questi
    > casi una parte del cervello umano tende a
    > dimenticare il buon senso e a
    ... lasciare che
    > l'applicazione faccia il suo
    > scopo.

    hai scritto un bel post solo che purtroppo e sottolineo purtroppo hai sprecato tempo

    su questo forum regnano solo i troll

    = come gli scrivi 5 righe per accendere il cervello ed i neuroni non replica nessuno ..si sforzerebbero troppo

    ciao
    Fiber
    3605