Malware solo per Windows?

Una delle storielle più false che si raccontano tra loro i fan di sistemi operativi desktop o server non-Windows è che il malware esista solamente su Windows.

Di recente è stato scoperto un rootkit per Linux che aggiunge un IFRAME ai web server basati su nginx.

CrowdStrike ha analizzato il malware, che colpisce il kernel 2.6.32-5, l’ultima versione distribuita da Debian Squeeze.

Il rootkit sembra stato creato ex-novo, non sembra essere una ricompilazione di qualcosa di esistente e sembra di origine russa (come nginx).

La persistenza del rootkit dopo il reboot è garantita da un processo che verifica ogni tre minuti /etc/rc.local e controlla se contiene il comando

insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko

la cui presenza viene però nascosta, come dettagliato nell’articolo di CrowdStrike.

Non è ancora chiaro come avvenga la prima installazione del malware, che richiede privilegi di root. L’analisi della qualità del codice suggerisce che chi l’ha scritto potrebbe non avere le capacità di scrivere un proprio sistema di privilege escalation locale. (via F-Secure)

Exploit di IE in giro

Sophos e Symantec hanno annunciato che un exploit di uno 0-day di Internet Explorer è stato rilevato su Internet.

La vulnerabilità di Explorer in questione è la CVE-2012-1875 corretta con la patch MS12-037 lo scorso martedì. Tutte le versioni di Internet Explorer sono interessate da questo problema.

Per sfruttare questo baco è necessario creare un JavaScript ad hoc in una pagina HTML e indurre la vittima ad aprire la pagina con Explorer.

Anche il framework Metasploit ha un plugin per sfruttare questa vulnerabilità.

Il baco in questione consiste nell’utilizzo di un’area di memoria da parte di Explorer dopo che lo stesso l’ha liberata con un’apposita chiamata al sistema operativo (use after free). In questo caso sia DEP sia ASLR possono essere aggirati, come descritto in dettaglio dall’articolo di Sophos.

L’applicazione delle patch di sicurezza dello scorso patch tuesday è, quindi, assolutamente necessaria per evitare problemi.

Scoperto un problema di sicurezza di Firefox

FirefoxTreatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME, permettendo ad un attaccante di confondere o nascondere l’indirizzo del sito che si sta effettivamente visitando.

Leggi tutto “Scoperto un problema di sicurezza di Firefox”