franz's profileHKANCPhotosBlogListsMore  |  Tools Help |
|
December 28 Falla DoS in Windows WorkstationAlcune aziende di sicurezza hanno segnalato l'esistenza di una nuova vulnerabilità in Microsoft Windows che può essere sfruttata da utenti malintenzionati per causare un DoS (Denial of Service) di un sistema affetto. Secunia, nota azienda di security monitoring, classifica il nuovo problema di sicurezza come "non critico", mentre FrSIRT segnala un rischio "moderato". L'exploit per la falla è stato pubblicato su ********. La bassa pericolosità legata alla nuova vulnerabilità è dovuta all'impossibilità di eseguire codice arbitrario da remoto in fase di exploit, fattore sempre determinante di un alto livello di rischio per gli utenti. La debolezza interessa i sistemi Microsoft Windows 2000 Service Pack 4, Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 2 e Microsoft Windows XP Professional x64 Edition, anche aggiornati con tutte le patch di protezione disponibili. La vulnerabilità, segnalata originariamente da h07, è causata da un bug presente nel servizio Workstation relativo al codice di gestione delle richieste RPC "NetrWkstaUserEnum()" che presentano un valore grande nel campo maxlen. L'exploit del problema, se condotto con successo, provoca il crash del servizio vulnerabile o un hog delle risorse di memoria sul processo svchost.exe, e può causare una condizione di "unresponsiveness" temporanea del sistema o denial of service. In mancanza di una patch, Secunia consiglia di filtrare le richieste NetrWkstaUserEnum RPC che presentano valori maxlen di grandi dimensioni. FrSIRT suggerisce in aggiunta di bloccare le porte 139 e 445 a livello di firewall. Al momento Microsfot non ha ancora commentato ufficialmente il nuovo problema di sicurezza. 5 giorni fa tramite il blog ufficiale del team MSRC (Microsoft Security Response Center), Microsoft aveva reso noto di star investigando un codice proof of concept pubblico che riguarda una vulnerabilità del Client Server Run-Time Subsystem (sottosistema runtime client/server o CSRSS) di Windows, che affligge anche il nuovo sistema Vista. CSRSS è un sottosistema essenziale, sempre in esecuzione che viene utilizzato per il controllo delle finestre di console, la creazione e/o l'eliminazione dei thread e per la gestione di alcune parti dell'ambiente MS-DOS virtuale a 16 bit. Mike Reavey del team MSRC ha commentato: "Il PoC, secondo quanto riportato, permette l'elevazione di privilegio locale sui sistemi operativi Windows 2000 SP4, Windows Server 2003 SP1, Windows XP SP1, Windows XP SP2 e Windows Vista. Secondo le indicazioni iniziali per poter condurre un attacco con successo, un attacker deve aver avuto già accesso autenticato al sistema vittima. Ovviamente si tratta dei dati preliminari e abbiamo attivato il nostro processo di emergency response che coinvolge una moltitudine di persone che stanno indagando sul problema in profondità per determinare l'esatta portata e il potenziale impatto sui clienti Microsoft. Attualmente non abbiamo notizie di exploit pubblici o attività d'attacco riguardanti questo problema. Sebbene si tratti di una vulnerabilità che affligge anche Vista, sono sicuro che Vista rimane la nostra piattaforma più sicura da sempre". In un documento di "full-disclosure" su grok.org sono stati resi pubblici i dettagli tecnici della vulnerabilità, il cui codice exploit a quanto pare è già largamente diffuso. Nel frattempo varie aziende di security monitoring hanno pubblicato advisory dedicati alla falla. Secunia classifica il problema come "less critical" ed evidenzia nel suo advisory che il buco di sicurezza è generato da un "double-free error" nella gestione dei messaggi HardError all'interno del processo WINSRV.DLL (Windows Server Library). Questo errore può essere sfruttato per eseguire codice arbitrario nel contesto del processo CSRSS con privilegi di SYSTEM impostando il caption o i parametri di testo della funzione "MessageBox()" con una stringa che inizi con "\??\". Anche FrSIRT riporta un rischio moderato nel suo advisory dedicato. Ulteriori dettagli tecnici sul problema sono riportati infine da Determina Security Research che ha però volontariamente omesso i dettagli relativi al codice exploit di attacco. Fonte:tweakness December 23 Phishing posteStavolta è stata usata come esca l'offerta promozionale di fantomatiche novità nei servizi online del sito.  Non bastano le denunce e le indagini della Polizia Postale. I phisher sembrano intenzionati più che mai a continuare la propria attività criminale. Il sito preso di mira è per l'ennesima volta quello delle Poste Italiane.
In una e-mail inviata a moltissimi utenti, si invita a cliccare su un link in modo da confermare l'iscrizione a nuovi servizi di cui poter usufruire su Internet, apparentemente messi a disposizione dalle Poste. Ovviamente il link indirizza ad un sito fasullo, in cui verranno richiesti i dati personali e il numero della carta Postepay, camuffando il furto dei dati con l'iscrizione ai nuovi, inesistenti servizi per gli utenti. Come al solito, si raccomanda sempre massima attenzione alle mail ricevute. Fonte:megalab December 21 Firefox 2.0.0.1 e Fx/Tb 1.5.0.9Mozilla ha rilasciato il primo aggiornamento per la nuova versione del suo browser open-source, Firefox 2.0.0.1, ed i corrispondenti aggiornamenti di stabilità e sicurezza Firefox 1.5.0.9 e Thunderbird 1.5.0.9, per i suoi due prodotti di "prima generazione". Queste release sono disponibili al download sull sito ufficiale (getfirefox.com & getthunderbird.com), in tutte le 41 localizzazioni (italiano compreso) per Windows, Mac, e Linux. Firefox 1.5.0.9 è disponibile al download separatamente. Nota: Firefox 1.5.0.x sarà supportato con aggiornamenti di stabilità e sicurezza fino al 24 Aprile 2007. Mozilla raccomanda a tutti gli utenti del browser di eseguire l'upgrade al nuovo Firefox 2 (http://www.getfirefox.com). Mozilla ha anche reso disponibile la versione 1.0.7 di SeaMonkey, il progetto separato che ha rimpiazzato Mozilla Suite. Le nuove release apportano miglioramenti in stabilità al codice e soprattutto correzioni per una serie vulnerabilità di sicurezza. Le "point release" rientrano nel programma di Mozilla inteso ad offrire una esperienza internet più sicura ai suoi clienti e l'azienda raccomanda caldamente a tutti gli utenti di effettuare l'aggiornamento. Gli utenti di Firefox 2 e delle versioni 1.5.x del browser e del client e-mail riceveranno automaticamente gli aggiornamenti nelle prossime 24/48 ore. Ricordiamo che è possibile comunque cercare manualmente gli update attraverso l'apposito comando (Menu Help – Controllo l'esistenza di aggiornamenti). Dopo l'aggiornamento parziale alcuni programmi di sicurezza potrebbero avvisare di una modifica rilevata al file eseguibile dei prodotti, questo è normale dopo un aggiornamento e si potrà garantire ai file l'accesso ad Internet in sicurezza. Firefox 2.0.0.1 include circa 180 correzioni al codice del prodotto tra cui fix per alcuni problemi di "memory leak" ed alcune importanti patch di protezione. Le nuove patch di sicurezza, integrate in Firefox e Thunderbird, vanno a correggere 9 vulnerabilità isolate nel codice dei due software, di queste in tutto 6 sono classificate come "critiche". MFSA 2006-76 XSS using outer window's Function object [Fx2] MFSA 2006-75 RSS Feed-preview referrer leak [Fx2] - [Fx1.5] MFSA 2006-74 Mail header processing heap overflows [Tb] MFSA 2006-73 Mozilla SVG Processing Remote Code Execution [Fx2] - [Fx1.5] - [Tb] MFSA 2006-72 XSS by setting img.src to javascript: URI [Fx2] - [Fx1.5] - [Tb] MFSA 2006-71 LiveConnect crash finalizing JS objects [Fx2] - [Fx1.5] - [Tb] MFSA 2006-70 Privilege escallation using watch point [Fx2] - [Fx1.5] - [Tb] MFSA 2006-69 CSS cursor image buffer overflow (Windows only) [Fx2] - [Fx1.5] - [Tb] MFSA 2006-68 Crashes with evidence of memory corruption (rv:1.8.0.9/1.8.1.1) [Fx2] - [Fx1.5] - [Tb] [Fx2] => Firefox 2.0.0.1 - [Fx1.5] => Firefox 1.5.0.9 - [Tb] => Thunderbird 1.5.0.9 In due advisory dedicati (SA23282 per Firefox e SA23420 per Thunderbird), Secunia, nota azienda di security monitoring, classifica le falle di sicurezza isolate nel codice dei prodotti Mozilla come "altamente critiche" ed evidenzia che i buchi di sicurezza possono essere sfruttati da malintenzionati per bypassare alcune restrizioni di protezione, accedere ad informazioni senza autorizzazione, condurre attacchi di cross-site scripting e compromettere potenzialmente un sistema vulnerabile. Fonte:tweakness December 11 WMP 10, il pericolo giunge dalle playlistWindows Media Player soffre di una grave vulnerabilità al momento riscontrata nella versione 10.00.00.4036 ma potenzialmente presente anche nelle altre release del software. Da sottolineare come Microsoft abbia già rilasciato la versione 11 del player, ma nessuna conferma giunge al momento circa la salubrità della nuova edizione. Il problema è stato identificato nell'interpretazione di particolari file di formato ASX. Un possibile exploit (proof-of-concept disponibile, ma nessun attaccato al momento denunciato) potrebbe causare Denial of Service o, secondo le indicazioni da bollettino Secunia (SA22971), accesso da remoto al sistema. La scoperta è accreditata a "sehato" e l'unica soluzione al momento ipotizzabile, non essendo disponibile una specifica patch, è una particolare attenzione nell'apertura di playlist non sicure. Microsoft assicura solerti indagini sul problema, ma ogni intervento è da attendersi per il primo appuntamento del 2007 in quanto l'aggiornamento dicembrino è ormai imminente. In data 12 Dicembre le patch del mese (le ultime per il 2006) saranno disponibili per l'utenza Microsoft nella quantità di 5 per Microsoft Windows ed una per Microsoft Visual Studio. L'apposito comunicato anticipato specifica inoltre come vari aggiornamenti "non-security" saranno disponibile contemporaneamente tramite Microsoft Update. Fonte:webnews December 07 Falla 0-Day in WordMicrosoft ha rilasciato ieri un nuovo Security Advisory (929433) per
avvisare tutti i clienti del pericolo derivante dalla scoperta di una
vulnerabilità priva di patch nel suo software Microsoft Word, già
utilizzata per condurre attacchi zero-day limitati. "Microsoft sta investigando su una nuova segnalazione riguardante attacchi limitati 'zero-day' che sfruttano una vulnerabilità in Microsoft Word 2000, Microsoft Word 2002, Microsoft Office Word 2003, Microsoft Word Viewer 2003, Microsoft Word 2004 per Mac, e Microsoft Word 2004 v. X per Mac, oltre che in Microsoft Works 2004, 2005, e 2006". Il colosso evidenza che per condurre un attacco exploit con successo, un utente malintenzionato deve prima di tutto convincere l'utente vittima ad aprire un file Word nocivo allegato ad un messaggio di posta elettronica o altrimenti trasferito sul PC vulnerabile dall'attacker. Per questo motivo gli utenti devo sempre prestare molta attenzione all'apertura di allegati e-mail non richiesti provenienti da fonti sconosciute ed anche conosciute. Come sempre, una volta completato il processo di indagine, Microsoft prendere i necessari provvedimenti per proteggere i clienti, rilasciando un aggiornamento di protezione tramite il suo programma di aggiornamento mensile "Patch Day" o, se necessario, tramite il rilascio di una patch di emergenza out-of-cycle. Ricordiamo che il prossimo "Patch Day" di Dicembre è fissato per il giorno 12, mentre il 7 Dicembre avremo le prime informazioni sui bollettini di prossimo rilascio. I report sugli attacchi e sulla vulnerabilità arrivano ad un solo giorno dalla pubblicazione della Security Bulletin Advance Notification, sembra quindi improbabile che il colosso riesca a inserire una patch per il problema nell'ambito della prossima tornata di aggiornamenti di protezione. L'azienda comunque non ha fornito indicazioni a riguardo. Nel suo Security Advisory (929433) non fornisce alcun pre-patch workaround utile a proteggersi temporaneamente dall'exploit della falla di Word. Microsoft si limita a suggerire ai clienti di non aprire o salvare file Word, provenienti da fonti non fidate, o anche inaspettatamente ricevuti da fonti fidate. Tra i fattori attenuanti del rischio derivato dalla falla, segnaliamo che gli utenti che hanno installato e usano il tool "Richiesta di conferma all'apertura dei documenti" per le versioni meno recenti di Office saranno avvisati per conferma all'apertura di documenti Office (Word, Excel, PowerPoint e Access) eseguiti dall'interno di Internet Explorer. Secunia, nota azienda di security monitoring, ha classificato il problema di sicurezza come "estremamente critico", il massimo livello di pericolosità usato nel suo sistema di rating, evidenziando che un exploit condotto con successo consente agli eventuali attacker di eseguire codice arbitrario su un sistema vulnerabile sfruttando un errore di corruzione della memoria nel programma di word processing. A quanto pare inoltre la maggior parte delle aziende antivirus non ha ancora aggiornato i propri prodotti con definizioni di rilevamento utili a proteggere i clienti dai codici exploit per la falla. Probabilmente questo livello di protezione verrà fornito nelle prossime ore. Si tratta del secondo attacco zero-day significativo contro Microsoft Word emerso durante il 2006. A Maggio scorso un altro sofisticato attacco exploit, originato in Cina e Taiwan, era stato diffuso utilizzando un Trojan dropper e un backdoor con funzionalità rootkit antirilevamento. Advisor: http://www.microsoft.com/technet/security/advisory/929433.mspx Fonte:tweakness December 04 Pagine MySpace defacciateCos'e' un defacment? cambiare la pagina di un sito [detto banalmante] ma esistono vari tipo di defacemant... --------------------------------------------------------------------------------------------------------------- Un accesso con Internet Explorer, un filmato .mov, uno Javascript e la frittata è fatta: vari utenti MySpace si sono trovati il proprio spazio defacciato con l'aggiunta di un piccolo menu nella parte alta della pagina (vedi immagine sottostante) contenente link indirizzanti a server esterni con cui, ovviamente, il titolare dello spazio MySpace non ha nulla a che vedere. MySpace è uno dei nomi più in vista del momento nella sfera del web statunitense. La popolarità raggiunta dal social network di Rupert Murdoch rende però le sue pagine particolarmente golose e per i malintenzionati riuscire a colpire gli autori dei contenuti immessi diventa una manna di particolare utilità. Secondo quanto segnalato da F-Secure l'accesso alle pagine modificate implica il download del file "piAF2iuswo.mov" il quale lancia un codice "js.js" in grado di aprire alla modifica sul server MySpace. Una nuova versione dell'infezione sarebbe già comparsa tramite la riproposizione del filmato embedded sotto altro nome. L'attacco si è progressivamente affinato e le conseguenze principali sono l'installazione dell'adware "Zango" sul computer della vittima dell'attacco ed il furto dei dati utili al controllo del proprio spazio su MySpace. Fonte:webnews December 03 L'avviso dell'avvocato"Sono l'avvocato (...) mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di posta elettronica messaggi dal contenuto esplicito". E' questo l'incipit del messaggio che sta giungendo in queste ore nella casella di posta elettronica di un gran numero di italiani. L'e-mail evidentemente truffaldina, invita a collegarsi con un sito web attraverso il quale - si dice - è possibile prelevare un antivirus che consente di risolvere il problema. Si tratta di un classico esempio di malware che sfrutta tecniche di "ingegneria sociale" per diffondersi: l'utente più credulone e sprovveduto, sfruttando l'espediente della falsa minaccia di azione legale, viene infatti spinto a scaricare un file che, in realtà, non è un antivirus: denominato "removal_tool.exe", una volta insediatosi sul sistema, installa una libreria DLL maligna (webdesk.dll) nella cartella di sistema di Windows (a meno che l'account dell'utente non contenga nomi a dominio riferibili a Polizia, Carabinieri od altre Istituzioni italiane). La DLL viene installata come Browser Helper Object (BHO) di Internet Explorer, ovvero come modulo che verrà caricato dal browser Microsoft ad ogni avvio. Future Time, azienda che in Italia distribuisce l'antivirus NOD32 ed il firewall Agnitum Outpost, ha pubblicato sul suo sito web il programma che consente di rimuovere l'infezione. http://spambot.cleaner.nod32.it/ Fonte: ilsoftware |
|
|
