Due 0day exploit usati insieme impensieriscono gli esperti di sicurezza

Due 0day exploit usati insieme impensieriscono gli esperti di sicurezza

Due 0day Exploit documentati online e ancora irrisolti potrebbero creare problemi in ambiti aziendali

di Fabio Boneschi pubblicata il , alle 12:06 nel canale Sicurezza
 

Il patch day di Microsoft è stato particolarmente ricco per il mese di dicembre: sono stati numerosi gli update rilasciati e significativi sul piano della sicurezza i problemi risolti. Un approfondimento dedicato è disponibile a questo indirizzo. Con queste premesse potremmo ipotizzare una fine 2010 in una situazione di sostanziale calma e senza grosse novità, ma PrevX non la pensa così e invita a alzare il livello di guardia proprio per il periodo festivo, e in particolar modo per le reti aziendali.

A destare preoccupazione sono due 0day exploit ancora non risolti da Microsoft e documentati online. Secondo gli esperti di PrevX, l'utilizzo di questi due exploit in modo congiunto potrebbe rivelarsi molto pericoloso. Andiamo per gradi e descriviamo il primo problema di sicurezza.

Il primo exploit riguarda l'esecuzione di codice da remoto su sistemi in cui sia presente Internet Explorer nelle versioni 6, 7 e 8. Utilizzando il browser web su pagine contenenti CSS appositamente creati e attraverso mshtml.dll il malware è in grado di aggirare la protezione ASLR (Address Space Layout Randomization) disponibile sui sistemi operativi Windows Vista e Windows 7. Di fatto viene richiamata mscorie.dll che non utilizza ASLR e offre quindi al malware un accesso per l'esecuzione della propria payload.

Salvo bizzarre configurazioni del sistema, quanto appena descritto non è ancora estremamente pericoloso, infatti di default i contenuti internet gestiti dal browser vengono gestiti nel cosiddetto "Protected Mode". Abbiamo sottolineato come i soli contenuti internet vengano gestiti attraverso il "Protected Mode", mentre quanto gestito in locale o attraverso la intranet aziendale non beneficia di questa opzione di sicurezza nel momento in cui un PC è aggiunto a un dominio di rete, poiché la zona Intranet di Internet Explorer in quel caso viene attivata con le impostazioni di default di sicurezza. Ora, ipotizziamo che venga eseguita una payload in grado di installare sul PC un piccolo webserver, il tutto reso possibile dall'exploit relativo a mscorie.dll. Ipotizziamo poi che tale web server, presente in locale sulla macchina e quindi utilizzato dal browser non in Protected Mode, metta a disposizione lo stesso codice malware.

Il fatto che tale codice venga eseguito in locale sul PC e non in Protectd Mode potrebbe esporre dati utente e dati sensibili a potenziali pericoli. Lo step successivo, certo più ambizioso ma non da escludere a priori, potrebbe prevedere l'accesso a privilegi di amministratore sul sistema, con tutte le ovvie conseguenze. Uno 0day exploit ancora irrisolto è documentato qui.

PrevX suggerisce l'installazione di un tool messo a disposizione da Microsoft stessa che di fatto forza l'utilizzo di ASLR anche per dll che non prevedevano tale opzione. In alternativa è possibile anche modificare le impostazioni del "Protected Mode" prevedendone l'uso anche nell'accesso a risorse locali o in Intranet.

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Paganetor30 Dicembre 2010, 12:08 #1
han fatto la combo?

WarDuck30 Dicembre 2010, 12:30 #2
[..]Ora, ipotizziamo che venga eseguita una payload in grado di installare sul PC un piccolo webserver, il tutto reso possibile dall'exploit relativo a mscorie.dll. Ipotizziamo poi che tale web server, presente in locale sulla macchina e quindi utilizzato dal browser non in Protected Mode, metta a disposizione lo stesso codice malware.[..]


L'installazione del webserver potrebbe avvenire solo da locale però (quantomeno sfruttando IE), perché come avete giustamente detto di default sulla rete internet è attivo il Protected Mode, a meno di usare altri mezzi.

Comunque se una rete aziendale è configurata a dovere sarebbe comunque difficile sfruttare questo exploit: i client usano solo ed unicamente privilegi non amministrativi (in reti configurate bene).
eraser30 Dicembre 2010, 12:35 #3
Originariamente inviato da: WarDuck
L'installazione del webserver potrebbe avvenire solo da locale però (quantomeno sfruttando IE), perché come avete giustamente detto di default sulla rete internet è attivo il Protected Mode, a meno di usare altri mezzi.

Comunque se una rete aziendale è configurata a dovere sarebbe comunque difficile sfruttare questo exploit: i client usano solo ed unicamente privilegi non amministrativi (in reti configurate bene).


Un semplice webserver funziona anche a livello di integrità low, lo può fare tranquillamente qualsiasi payload inizializzato dal primo exploit che permetterebbe di eseguire il codice seppur in modalità protetta.

Appunto perché utilizzano privilegi non amministrativi è pericolosa la cosa. Con il primo exploit eseguito da remoto e da locale si ottengono i privilegi dell'utente standard (sebbene limitato). Con il secondo exploit si ottengono i privilegi amministrativi. Ovviamente teoricamente, non ci sono attacchi in the wild al momento che sfruttano questa combinazione
djfix1330 Dicembre 2010, 13:20 #4
...resta sempre l'amaro in bocca quando è proprio ( e sempre) il browser Microsoft a lasciar le strade più assurde aperte ai malware...poi dite che non bisogna usare altri Browser al posto di IE ??? ....e ricordiamo come il 50% degli utenti usi ancora IE...
Chukie30 Dicembre 2010, 13:26 #5
Originariamente inviato da: djfix13
...resta sempre l'amaro in bocca quando è proprio ( e sempre) il browser Microsoft a lasciar le strade più assurde aperte ai malware...poi dite che non bisogna usare altri Browser al posto di IE ??? ....e ricordiamo come il 50% degli utenti usi ancora IE...


veramente sia Firefox che Opera non prevedono al momento nessun sistema di sandboxing, il che significa che un'eventuale falla nel codice del browser e/o in uno dei plugin farebbe immediatamente danni.
Internet Explorer e Chrome sono i browser al momento più sicuri by design
WarDuck30 Dicembre 2010, 13:28 #6
Originariamente inviato da: eraser
Un semplice webserver funziona anche a livello di integrità low, lo può fare tranquillamente qualsiasi payload inizializzato dal primo exploit che permetterebbe di eseguire il codice seppur in modalità protetta.


Una volta creato il web server, il payload dovrebbe aprire il link e quindi IE sempre in low integrity mode o sbaglio?

Comunque correggimi se sbaglio, un firewall avanzato o un antivirus con modulo HIPS dovrebbe rilevare la creazione di un web server (e quindi l'apertura di una porta in locale in listening).

Originariamente inviato da: eraser
Appunto perché utilizzano privilegi non amministrativi è pericolosa la cosa. Con il primo exploit eseguito da remoto e da locale si ottengono i privilegi dell'utente standard (sebbene limitato). Con il secondo exploit si ottengono i privilegi amministrativi. Ovviamente teoricamente, non ci sono attacchi in the wild al momento che sfruttano questa combinazione


Chiaro.
eraser30 Dicembre 2010, 13:30 #7
Originariamente inviato da: WarDuck
Una volta creato il web server, il payload dovrebbe aprire il link e quindi IE sempre in low integrity mode o sbaglio?


Non sbagli. Il problema è che nel momento in cui Internet Explorer riconosce il sito web come localizzato nella Intranet, passa automaticamente a livello di integrità medio (se la zona Intranet è attivata, come specificato nell'articolo)

Comunque correggimi se sbaglio, un firewall avanzato o un antivirus con modulo HIPS dovrebbe rilevare la creazione di un web server (e quindi l'apertura di una porta in locale in listening).


Teoricamente dovrebbe farlo, sì
riazzituoi30 Dicembre 2010, 13:43 #8
.
eraser30 Dicembre 2010, 13:48 #9
Originariamente inviato da: riazzituoi
Per evadere dal protected mode di IE basta un semplice file html locale...


Si, il problema è farlo eseguire da un livello di integrità basso in automatico. IELaunchURL() è eseguibile da livello di integrità basso, ma - se non ricordo male - filtra l'apertura di file locali. Di sicuro invece non filtra l'apertura di un sito web locale che ha un URL standard
share_it30 Dicembre 2010, 15:02 #10
Ironica la pubblicità di IE attorno all'articolo, quando lo sappiamo tutti che storicamente conviene usare altri browser. LOL

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^