SIAMO GEEK

Tag: 0 day

  • Zero-Day contro PowerPoint

    Ieri Microsoft ha rilasciato un bollettino di sicurezza su una vulnerabilità della tecnologia OLE.

    Il bollettino parla di limitati exploit in circolazione che sfruttano PowerPoint, altri non sono così ottimisti. Sono interessate tutte le versioni a 32 bit di Microsoft Office. Attenzione che il 32 bit si riferisce alla versione di Office, non del sistema operativo, quindi un Office a 32 bit che gira su un Windows a 64 bit è vulnerabile.

    Chi ha potuto esaminare l’exploit riporta che, se è attivo UAC, viene richiesto il permesso per eseguire un programma con privilegi elevati, la qual cosa dovrebbe insospettire l’utente (ma ci sono poche speranze).

    Microsoft ha rilasciato anche un QuickFix in attesa della patch definitiva via Windows Update, a testimonianza del fatto che la diffusione dell’exploit potrebbe non essere così limitata.

    Il consiglio è di installare quanto prima il QuickFix e di non aprire allegati di documenti Office (PowerPoint, Word, Excel) che provengono da fonti sconosciute, specialmente se contenuti in file compressi (ZIP).

  • Zero Day in Symantec Endpoint Protection

    I ricercatori di Offensive Security hanno scoperto alcune vulnerabilità in Symantec Endpoint Protection.

    Per il momento l’organizzazione ha deciso di non pubblicare il codice per sfruttare queste vulnerabilità, ma si è limitata a pubblicare un video dove si vede un Windows 7 32 bit SP1 aggiornato con installato l’ultima versione 12.1.4100.4126 aggiornata del software di Symantec in cui un utente non privilegiato esegue uno script in Python per guadagnare il privilegio di SYSTEM.

    Symantec è al corrente del problema e sta investigando. Non ci sono notizie per ora di programmi che possano sfruttare questa vulnerabilità per attaccare un computer.

    Un problema in un software di questo tipo è molto serio, per di più Symantec Endpoint Protection è molto utilizzato anche nelle grosse organizzazioni.

    Il consiglio che vale per tutti, indipendentemente dall’antivirus installato, è che un software di protezione non garantisce l’immunità completa, sia per la grande varietà di malware in circolazione, sia per l’ovvia regola che esce prima il virus della definizione dell’antivirus. (via ISC)

    Security Focus ha assegnato al problema l’ID 68946.

    Aggiornamenti dopo la pubblicazione iniziale

    • Aggiunto link all’articolo di Security Focus

     

  • MSIE + Flash = 0-Day

    Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

    Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

    La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. (altro…)

  • Zero Day per Windows XP e Server 2003

    FireEye ha scoperto un malware che sfrutta una vulnerabilità non ancora corretta del kernel di Windows XP e Winodws Server 2003 che permette un guadagno locale di privilegi.

    Se questa vulnerabilità non permette direttamente di eseguire del codice da remoto, consente comunque di eseguire del codice con privilegi elevati.

    Esiste un documento PDF che sfrutta questa vulnerabilità assieme alla versioni di Acrobat Reader 9.5.4, 10.1.6, 11.0.2 e inferiori; il PDF esegue uno script shell che crea un eseguibile in una directory temporanea e lo esegue. Rer queste versioni di Acrobat reader esiste già un bollettino tecnico e una relativa patch.

    Microsoft ha rilasciato un bollettino tecnico che spiega anche come impedire che questa vulnerabilità venga sfruttata, ma al costo di disabilitare i servizi che si basano sulle API di  Windows Telephony (TAPI), tra cui il Remote Access Service (RAS) e le VPN.

    È verosimile che molti malviventi (e organizzazioni assimilate) che sfruttano le vulnerabilità dei sistemi per scopi illegali stiano aspettando la fine del supporto di Windows XP per utilizzare questi e altri bachi del sistema operativo. Ad oggi basta pazientare solamente per 131 giorni. (via ISC)

  • Un altro zero-day per Internet Explorer

    Questa storia rischia di diventare una rubrica settimanale.

    FireEye Labs ha scoperto un nuovo zero-day di Internet Explorer. Si tratta di un attacco ROP portato al programma quando questo verifica la data dell’header PE di msvcrt.dll. Se l’attacco va a buon fine, il malware può eseguire codice arbitrario sul computer della vittima (remote code execution).

    Il campione di malware esaminato da FireEye è destinato a Windows XP e 7 con Internet Explorer 7 e 8 versione inglese. Tuttavia la vulnerabilità esiste in tutte le versioni di Internet Explorer e il malware può essere facilmente modificato per attaccare altre versioni e altre localizzazioni del software.

    Non sono disponibili patch per questo problema, l’unica soluzione è evitare di utilizzare Internet Explorer oppure installare e configurare Microsoft EMET. (via ISC)

    Aggiornamento 12/11/2013 – Questo baco verrà corretto con il patch tuesday di oggi.

  • Prodotti Microsoft vulnerabili ai file TIFF

    TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

    Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

    Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

    I programmi interessati sono:

    • Office 2003
    • Office 2007
    • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
    • Lync

    Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

    Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

    Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

    Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

  • Zero-day per Internet Explorer (con fix)

    Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

    Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

    La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

    Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

    La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

    Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

    Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

    Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

  • Vulnerabilità per Internet Explorer 6, 7 e 8

    Microsoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa.

    La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution).

    Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per loro, gli utenti che hanno Windows XP restano per ora vulnerabili, finché non viene pubblicata una patch.

    Tra i fattori mitiganti citati da Microsoft ci sono l’attivazione della enhanced security sui server, ma la nota tecnica dice che questa funzione mitiga il problema, non dice che lo evita. (via Slashdot)

    Aggiornamento 1/1/2013 – Microsoft ha reso disponibile un FixIt per sistemare il problema in attesa di una patch.

    Aggiornamento 5/1/2013Exodus Intelligence è riuscita a bypassare la patch di FixIt e a compromettere un sistema patchato. (via ISC)

  • Pericolosa vulnerabilità di Internet Explorer

    Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

    La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

    Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

    Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

  • Anatomia di un attacco

    Gli 0-day dei software, specialmente quelli molto diffusi, non valgono nemmeno più la pena di essere citati tutti.

    Quello scoperto da poco in Adobe Reader è interessante per come è stato sfruttato. Purtroppo la scansione degli eventi che segue potrebbe essere falsata dalle differenze di fusi orari, ma per ora dobbiamo convivere con questa maledizione. 🙂

    (altro…)

  • Duqu sfrutta uno 0-day del kernel di Windows

    da "The Hacker News"

    Il  Laboratory of Cryptography and System Security (CrySyS) ungherese ha scoperto che la routine di installazione di Duqu sfrutta una vulnerabilità non corretta del kernel di Windows.

    Duqu utilizza un documento Word creato ad arte che riesce a caricare un driver del kernel sfruttando un baco non corretto; il driver carica, quindi, una DLL in Services.exe per avviare l’installazione di Duqu nel computer vittima dell’attacco. La compilazione del driver secondo l’header PE sarebbe avvenuta il 21/02/2008 alle 06:14:47.

    La vulnerabilità non è di Word, ma del kernel, quindi questo vettore di attacco potrebbe essere sfruttato in altri modi, finché Microsoft non decide di correggere questo problema.

    Secondo un’analisi di McAfee, il sistema appena descritto sarebbe già stato presente in Stuxnet.

    Sophos riporta che Microsoft sta lavorando per correggere il problema del kernel. Sempre secondo Redmond [PDF], il loro sistema di pulizia dal malware non residente (il Malicious Software Removal Tool distribuito ogni mese con Windows Update) non ha rilevato alcun 0-day, ma sono dati che lasciano il tempo che trovano, in quanto il tool non è aggiornato come gli antivirus residenti e viene spesso ignorato dagli utenti.

  • Sulle tracce di Stuxnet

    Stuxnet è un malware al momento unico nel suo genere. Non si affida a Internet per la diffusione. È enorme. La sua modalità di attacco primaria è il sabotaggio fisico dell’hardware industriale. È stato (presumibilmente) sviluppato da un governo ostile. È mirato a una ben precisa installazione. Chi lo ha sviluppato ha dimostrato di avere una conoscenza intima della struttura interna del bersaglio. Fa parte di un assalto “multidisciplinare” (o almeno così parrebbe). (altro…)