Tag Archives: 12.x

Second PoC Exploit for Adobe Flash Player Discovered after the Hackers-For-Hire Company Breach

Yet Another Adobe Flash Player Zero-Day from Hacking Team Breach.Read More

Vulnerabilidade de Dia-Zero do Internet Explorer está a Solta

zero_day_IE_concept.png

A Symantec está ciente dos relatórios de vulnerabilidade de Dia Zero, Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), que afeta todas as versões do Internet Explorer.

A Microsoft publicou um aviso de segurança sobre a vulnerabilidade no Internet Explorer, que está sendo utilizada em limitados ataques dirigidos. Atualmente não existe nenhum patch disponível para esta vulnerabilidade e a Microsoft, até o momento em que este texto foi escrito, não ofereceu uma data de divulgação desta correção.

Nossos testes confirmaram que a vulnerabilidade afeta o Internet Explorer do Windows XP. Esta é a primeira vulnerabilidade de Dia-Zero que não será corrigida para os usuários do Windows XP, pois a Microsoft encerrou o suporte deste sistema operacional em 8 de abril de 2014. No entanto, a Microsoft afirmou que o seu avançado kit de ferramentas de Mitigação (EMET) 4.1 e acima poderá mitigar essa vulnerabilidade do Internet Explorer que é suportado pelo Windows XP. Além de usar o EMET, a Symantec incentiva os usuários a mudarem temporariamente para um navegador da Web diferente até que uma correção seja disponibilizada pelo fornecedor.

Symantec protege os clientes contra este ataque, com as seguintes detecções:

Nós vamos atualizar este blog com mais informações assim que estiverem disponíveis.

Atualização – 28 de Abril

Com a finalidade de reduzir a Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776) , a Symantec ofrece as seguintes recomendações

A Microsoft declarou que versões do avançado kit de ferramentas de Mitigação (EMET) 4.1 e superiores podem atenuar essa vulnerabilidade no Internet Explorer. O kit de ferramentas está disponível para usuários do Windows XP também. Se a utilização do EMET não for uma opção, os usuários podem considerar como forma de reduzir o problema anulando o registro de um arquivo DLL chamado VGX.DLL. Este arquivo provê suporte para VML (Vector Markup Language) no navegador. Essa ação não é necessária para a maioria dos usuários. No entanto, ao anular o registro da Library qualquer aplicação que utilize DLL não funcionará de maneira apropriada. Igualmente, algumas aplicações potencialmente instaladas no sistema podem se registrar no DLL. Com isso em mente, a seguinte linha de instruções pode ser executada para tornar imune o sistema de ataques que tentem explorar esta vulnerabilidade. Esta linha de recomendações pode ser usada para todos os sistemas operativos afetados.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

Nós também desenvolvemos um arquivo de lote que pode ser utilizado para executar a tarefa para aqueles que necessitem administrar grandes infra-estruturas de TI.

bat_icon.png

Nota: Os usuários terão de renomear o arquivo usando uma extensão .bat

O arquivo de lote tem a capacidade de verificar o estado atual do arquivo DLL e cancelar o registro da DLL, conforme necessário. O roteiro descrito no arquivo de lote é muito simples e pode ser usado como uma base para customizar o código para atender às necessidades de certos ambientes de sistema.

Apesar de nenhuma ferramenta especial ser necessária para atenuar essa vulnerabilidade, por favor note que as recomendações, como as fornecidas aqui, podem não ser as mesmas possíveis para vulnerabilidades futuras. Recomendamos que os sistemas operacionais não suportados, como o Windows XP, sejam substituídos por versões atualizadas, logo que possível.

Vulnerabilidad Día Cero de Internet Explorer Puesta al Descubierto

zero_day_IE_concept.png

Symantec está al tanto de los reportes de la vulnerabilidad de Día Cero, Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer, que afecta todas las versiones de Internet Explorer.

Microsoft dio a conocer un aviso de seguridad referente a una vulnerabilidad en Internet Explorer que está siendo empleada en limitados ataques dirigidos. Actualmente no existe un parche disponible para esta vulnerabilidad y Microsoft, hasta el momento que este texto fue escrito, no ha proporcionado una fecha de lanzamiento para uno.

Nuestras pruebas confirman que la vulnerabilidad afectó Internet Explorer en Windows XP. Ésta es la primera vulnerabilidad de Día Cero que no será arreglada para los usuarios de Windows XP, pues Microsoft concluyó el soporte para este sistema operativo el pasado 8 de abril de 2014. Sin embargo, Microsoft informó que su Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá mitigar esta vulnerabilidad de Internet Explorer y es compatible con Windows XP.

Symantec Security Response recomienda a los usuarios, adicionalmente al uso de EMET, cambiar temporalmente por un navegador diferente hasta que el parche se encuentre disponible por parte del proveedor. Symantec protege a sus clientes contra este ataque con las siguientes detecciones:

Mantendremos actualizado este blog con información adicional tan pronto esté disponible.

Actualización – 28 de abril de 2014

Con la finalidad de reducir la Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), Symantec brinda las siguientes recomendaciones.

Microsoft declaró que las versiones del Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá disminuir esta vulnerabilidad de Internet Explorer. El kit de herramientas también está disponible para los usuarios de Windows XP. Si el uso de EMET no es una alternativa, los usuarios pueden considerar reducir el problema anulando el registro a un archivo DLL llamado VGX.DLL. Este archivo provee soporte para VML (Vector Markup Language) en el navegador. Esto no es necesario para la mayoría de los usuarios. No obstante al anular el registro del library cualquier aplicación que utilice DLL no funcionará apropiadamente. Igualmente, algunas aplicaciones instaladas en el sistema potencialmente pueden regresar el registro al DLL. Con esto en mente, la siguiente línea de instrucciones puede ser ejecutada para volver inmune al sistema de ataques que intenten explotar la vulnerabilidad. Esta línea de instrucciones puede ser usada para todos los sistemas operativos afectados:

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

También hemos desarrollado un archivo de lote que puede ser usado para llevar a cabo la tarea de aquellos que requieran administrar infraestructuras de TI más grandes.

bat_icon.png

Nota: Los usuarios necesitarán renombrar el archivo usando una extensión .bat

El archivo de lotes tiene la habilidad de verificar el estado actual del archivo DLL y de remover el registro de DLL como se requiere. La secuencia de comandos descrita en el lote de archivos es muy simple y se puede utilizar como base para personalizar el código y  adaptarse a las necesidades de ciertos entornos de sistema.

Aunque no son necesarias herramientas especiales en particular para mitigar esta vulnerabilidad, por favor tome en cuenta que las recomendaciones, como las proporcionadas aquí, pueden que no sean útiles para futuras vulnerabilidades. Recomendamos que los sistemas operativos sin soporte, como Windows XP, sean reemplazados por versiones con soporte tan pronto sea posible.

Internet Explorer ???????????????

      No Comments on Internet Explorer ???????????????

シマンテックは、すべてのバージョンの Internet Explorer に影響するゼロデイ脆弱性(CVE-2014-1776)が報告されていることを確認しています。

Microsoft 社は、限定的な標的型攻撃に悪用されている Internet Explorer の脆弱性についてセキュリティアドバイザリ(2963983)を公開しました。この脆弱性に対するパッチはまだ提供されていません。また、このブログの執筆時点で、パッチのリリース予定日も公表されていません。

シマンテックでテストしたところ、この脆弱性によって Windows XP 上の Internet Explorer がクラッシュすることを確認しています。Microsoft 社は 2014 年 4 月 8 日(日本時間の 2014 年 4 月 9 日)をもって Windows XP のサポートを終了しているため、これは Windows XP ユーザーにパッチが提供されない初のゼロデイ脆弱性となります。ただし、Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)4.1 以降のバージョンによって、Internet Explorer に影響するこの脆弱性が緩和され、EMET を Windows XP 上でも使用できることを公表しています。シマンテックセキュリティレスポンスは、EMET を使うことに加えて、Microsoft 社からパッチが提供されるまでは、一時的に別の Web ブラウザを使用することを推奨します。

シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

  • Bloodhound.Exploit.552

侵入防止シグネチャ

  • Web Attack: MSIE Use After Free CVE-2014-1776

詳しいことがわかり次第このブログでお伝えします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Zero-day Internet vulnerability let loose in the wild

Symantec is aware of a zero-day vulnerability (CVE-2014-1776) that affects all Internet Explorer versions.
Microsoft released recently a security advisory about an Internet Explorer vulnerability (2963983), citing that the security hole was leveraged i…

??? ??? ???? ???? Internet Explorer ???

zero_day_IE_concept.png

시만텍은 모든 버전의 Internet Explorer에 영향을 미치는 제로데이 취약점인 Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)이 보고되고 있음을 확인했습니다.

Microsoft는 일부 표적 공격에 이용되고 있는 Internet Explorer의 취약점에 대한 보안 권고를 발표했습니다. 현재 이 취약점에 대한 패치는 없으며, 이 글의 작성 시점에는 Microsoft에서 패치 발표일을 밝히지 않은 상태입니다.

시만텍의 테스트에 따르면, 이 취약점은 Windows XP의 Internet Explorer에서 문제를 일으킵니다. Microsoft에서 2014년 4월 8일 자로 이 운영 체제에 대한 지원을 종료한 가운데 이번 취약점은 Windows XP 사용자에게 패치가 제공되지 않은 최초의 제로데이 취약점입니다. Microsoft는 자사의 EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상으로 이 Internet Explorer 취약점을 완화할 수 있으며 해당 툴킷이 Windows XP에서 지원된다고 밝힌 바 있습니다. 시만텍 보안 연구소는 사용자에게 EMET를 사용하면서 벤더가 패치를 제공할 때까지 임시로 다른 웹 브라우저를 사용할 것을 권장합니다.

시만텍은 아래와 같은 탐지 활동을 통해 이 공격으로부터 고객을 보호합니다.

추가 정보가 입수되는 대로 이 블로그를 통해 게시하겠습니다.

업데이트 – 2014년 4월 28일:

Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)을 완화하기 위한 시만텍 권장 사항은 아래와 같습니다.

Microsoft에 따르면, EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상 버전을 사용하여 이 Internet Explorer의 취약점을 완화할 수 있습니다. 이 툴킷은 Windows XP 사용자도 이용 가능합니다. EMET를 사용하기 어려운 경우 VGX.DLL이라는 DLL 파일을 등록 취소하는 방법으로 이 문제를 완화할 수 있습니다. 이 파일은 해당 브라우저에서 VML(Vector Markup Language)을 지원합니다. 대부분의 사용자는 이 방법을 사용할 필요가 없습니다. 하지만 라이브러리의 등록을 취소할 경우 이 DLL을 사용하는 애플리케이션이 더 이상 정상적으로 작동하지 않을 수 있습니다. 또한 시스템에 설치된 일부 애플리케이션에서 이 DLL을 다시 등록할 가능성도 있습니다. 이러한 사항을 고려하여 이 취약점을 노리는 공격으로부터 시스템을 보호하기 위해 아래의 한 줄짜리 명령어를 실행할 수 있습니다. 이 명령어는 해당 취약점의 영향을 받는 모든 운영 체제에서 사용할 수 있습니다.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

시만텍은 대규모 IT 인프라스트럭처를 관리해야 하는 고객을 위해 배치 파일을 개발했습니다.

bat_icon.png

참고: 사용자는 .bat 확장자를 사용하여 파일 이름을 변경해야 합니다.

이 배치 파일은 DLL 파일의 현재 상태를 확인하고 필요한 경우 DLL을 등록 취소하는 기능을 수행합니다. 배치 파일의 스크립트는 매우 간단하며 이를 바탕으로 특정 시스템 환경의 요구 사항에 맞게 코드를 커스터마이즈할 수 있습니다.

이 취약점을 완화하는 데 특별한 툴이 필요한 것은 아니지만, 향후 발견될 취약점에 대해서는 여기서 소개한 것과 같은 권장 사항의 적용이 불가능할 수 있습니다. 따라서 Windows XP와 같이 지원되지 않는 운영 체제는 가급적 빨리 지원되는 버전으로 대체하는 것이 좋습니다.

 

Update – May 02, 2014:
Microsoft has released an out-of-band security update to address this vulnerability. For more information, see the following Microsoft security advisory:

Out-of-Band Release to Address Microsoft Security Advisory 2963983

Symantec Email Submission Client (SESC) 1.0: NOW AVAILABLE

 

Hi!
 
My last post back in October 2011 introduced the beta program for a new application for our messaging security customers.
I’m delighted to announce that we achieved our Generally Available (GA) milestone yesterday on March 19th meaning that the Symantec Email Submission Client is now available for all of our customers to download and install.  This is my first “1.0” product release so I’m particularly excited to see this product ship 🙂
 
Did I mention that this is provided at no extra charge?  Yup, free.
 
We had some excellent beta participants in this cycle, ranging from large enterprise customers to small businesses and we got some fantastic real world feedback which helped us ship an even better product than we originally scoped.
 
So, what is SESC?
 
The Symantec Email Submission Client (SESC) enables messaging administrators to streamline their process and procedures around one of the highest help desk call generators – missed spam.
 
Without blocking ALL email, no mail security vendor can claim to have a 100% catch rate.  Despite having an externally verified and market leading catch rate, Symantec understands that customers want to be able to report missed spam to us so that we are able to prevent the same spam attack hitting them again.
 
The SESC has been designed with the end user in mind, with the goal of making it SIMPLE TO SUBMIT.
 
Awesome! How does it work?
 
SESC integrates with Microsoft Exchange Server 2007 and 2010, utilising the flexible Exchange Web Services (EWS) platform to provide native support for all rich Exchange clients including Outlook, Outlook:Mac, OWA and Exchange enabled mobile devices.
By integrating directly with the backend of the messaging system, customers can avoid the costly admin overhead associated with deploying a plug-in or client to endpoint devices.
Because of the way EWS works, we are able to recommend that SESC is installed to a non-Exchange server so that there is no additionaly CPU burden placed on your mission critical infrastructure.  You can run SESC on any Windows 2008 R2 server, both physical or virtual (VMware ESX/ESXi or MS Hyper-V) are supported too.
 
What about the user experience?
 
Like I said, we want this to be as simple as possible and actually aimed to make it easier than deleting an item from your Exchange client.
To submit missed spam (aka false negatives) to Symantec, end-users simply move the offending message to an special folder in their mailbox.
This folder name is fully configurable by Administrators, who also have absolute control over which users are enabled for submissions.  Using their existing Active Directory infrastructure, Administrators can use pre-existing or new Groups or OU’s as well a providing a custom LDAP query to opt-in the users.
 
There are two working modes for SESC, Moderated Submissions and Direct Submissions.
With Direct Submission mode, every message moved to the submission folder by an end-user is submitted to Symantec.
With Moderated Mode, Administrators can delegate an approval process to one or more users.  In this mode, the end-user moves the message to the submission folder as normal.  This message is then made available to the ‘approval’ user who can decide whether the message should be submitted to Symantec or not.
This is particularly useful where data privacy may be a concern.
 
With SESC, customers no longer have to use the existing and rather convoluted method of submission; which involves supplying the entire missed spam message as an RFC822 attachment to ANOTHER email and sending it to the correct email address at Symantec.
 
The Symantec Email Submission Client is available today for the following products:
  • Symantec Messaging Gateway
  • Symantec Mail Security for Exchange
Simply sign into http://fileconnect.symantec.com and download the installer.
Note: Symantec Protection Suite Enterprise Edition customers will be able to download SESC from Fileconnnect from April 2012.
 
There are some really fantastic extensions to our submissions process coming in the next release of Symantec Messaging Gateway which not only extend the functionality of SESC but also help to improve your protection even more.  What’s more, the beta for Symantec Messaging Gateway 10 is due to kick off in May 2012 – if you are interested in participating please get in touch either in the comments below or you can email me ian_mcshane@symantec.com.
 
I’m excited to get more feedback as we start to think about the next releases of SESC so please do download, install it, check it out and let me know what you think either in the comments or directly by email.
 
Cheers!
 
Ian McShane
Senior Product Manager | Messaging & Web Security
Endpoint & Mobility | Symantec