View Full Version : Problema sicurezza: Word il colpevole
Redazione di Hardware Upg
24-05-2006, 09:24
Link alla notizia: http://www.hwupgrade.it/news/sicurezza/problema-sicurezza-word-il-colpevole_17454.html
Rilevata una vulnerabilità in Mirosoft Word: il pericolo è una backdoor con caratteristiche da rootkit
Click sul link per visualizzare la notizia.
Mah, io direi... Usate il cervello, prima di tutto, ma per ogni evenienza passate ad OpenOffice, se possibile... :|
Cavoli, speriamo si sbrighino con l'aggiornamento; intanto continuo ad usare OpenOffice :)
Personalmente, sono molto favorevole a "filtrare tali file a livello di firewall", o a livello di mail server. Solo così si potrà insegnare a certi utenti che per chiedere al collega dell'ufficio accanto quando intende andare a pranzo non è necessario spedire un allegato da centinaia di KB apribile solo con un costoso software proprietario e potenziale vettore di infezione!
Non per prendermela con Office, che ha il suo motivo di esistere, ma soprattutto con l'uso distorto che si fa degli strumenti (spesso incoraggiati da interfacce utente "amichevoli" ma traditrici).
ma io nn ho ancora capito bene una cosa...
questi bachi ti tipo buffer underrun non vengono automaticamente bloccati dalle funzionalità di Non-execute-bit degli A64 e degli ultimi p4, unitamente a winxp sp2?
se si, la cosa nn è così grave, almeno su macchine recenti.
magilvia
24-05-2006, 09:51
per le aziende viene invece consigliato di filtrare tali file a livello di firewall
Che idiozia, un troian che si rispetti si diffonde in formato compresso. Cosa facciamo blocchiamo tutti gli allegati allora ?
per le aziende viene invece consigliato di filtrare tali file a livello di firewall
Io consiglio di tornare ai piccioni viagiatori... :D
ronthalas
24-05-2006, 10:24
Piccioni viaggiatori... non sai che portano il virus dell'aviara e altri virus avicoli? Come puoi passarli al Nod32 o al Norton? :D
La percentuale di utonza che apre allegati word direttamente da email è molto vicina al 100% da quel che vedo, vuoi per comodità, vuoi per abitudine. E molti, sempre troppi, tendono a non zippare mai le cose che mandano per email... poi si lamentano che la posta va lenta o di gente che non legge/non riceve il messaggio e l'allegato
Che idiozia, un troian che si rispetti si diffonde in formato compresso. Cosa facciamo blocchiamo tutti gli allegati allora ?
Non è che sia un grosso problema espandere un file ZIP e guardarci dentro, come fanno di routine gli antivirus. Magari non a livello di firewall, ma di proxy o di mail server.
macchè piccioni, molto meglio passare a i pizzini, quelli si che sono sicuri :asd:
DevilsAdvocate
24-05-2006, 10:54
Che idiozia, un troian che si rispetti si diffonde in formato compresso. Cosa facciamo blocchiamo tutti gli allegati allora ?
Solo gli allegati con estensione .doc , mentre i files odt (equivalenti "aperti" di OpenOffice)
possono passare tranquillamente. C'e' pure un plugin per produrre file .odt con word, quindi il problema e' minimo...
( http://sourceforge.net/project/showfiles.php?group_id=149265 importa/esporta
files Openoffice in/da word, cosicche' chiunque puo' leggerli con sbattimento minimo)
magilvia
24-05-2006, 11:38
Solo gli allegati con estensione .doc
Non hai capito parlavo dei .doc zippati con i quali un trojan si diffonderebbe più probabilmente...
Non è che sia un grosso problema espandere un file ZIP e guardarci dentro, come fanno di routine gli antivirus. Magari non a livello di firewall, ma di proxy o di mail server.
Si, se ce l'hai il mail server o il proxy. Ma vorrei vedere chi si mette a configurare il mail server in questo modo solo come soluzione temporanea. Ci sono anche diverse problematiche aggiunte:
1) il maggior lavoro computazionale aggiunto di dover scompattare gli allegati e contrallarli
2) Quanti livelli di compressione fai controllare?
3) Se trovi un zip con dentro un .doc che fai blocchi la mail o solo l'allegato ? E se lo zip contiene dei doc e anche altri file blocchi l'intero allegato o ricomprimi l'archivio dopo aver cancellato i doc ?
...
DevilsAdvocate
24-05-2006, 11:48
1) avverti l'azienda di usare solo files openoffice,linki il plugin e scrivi un txt o una pagina
html con le istruzioni per installare il detto plugin.
2) blocchi tutti gli zip, rar etc. (cosa normale in una azienda) e li quaranteni (1 settimana di backup poi si autocancellano), livello computazionale zero. cancelli i .doc .
3) l'allegato .zip e' bloccato, la mail arriva comunque con un messaggio aggiuntivo:
tutti i files .doc sono cancellati, i files .zip e gli altri archivi sono in quarantena,
contattate l'amministratore se siete sicuri che l'archivio non contenesse files .doc
e non potete farvi ri-inviare i files in formato non compresso.
Bloccare gli archivi puo' sembrare restrittivo ma e' comunque una buona regola per bloccare
svariati files che fanno macello (spesso i piccoli .exe, ad esempio...)
Se preferisci puoi solo controllare l'indice dei files contenuti nell'archivio (la lista coi nomi dei
files) e cancellare solo quelli che all'interno contengono .doc o altri archivi: .zip ,.rar ,.ace,
etc. Livello computazionale molto basso (cancelli/quaranteni tutto lo zip se e' sospetto)
(Se sei un amministratore valido ed hai un PC con linux come firewall ci metti molto poco
a fare tutto cio'.)
Altrimenti ti godi il virus (tu e la rete che amministri e tutti i dipendenti).
DevilsAdvocate
24-05-2006, 12:33
giusto per dimostrare che non e' un task molto impegnativo: questo e'
il prototipo dello script necessario (elabora solo zip ed i rar con unrar , controlla
solo .doc .rar .zip .ace, che lo espanda chi ne ha necessita', la sintassi per ricavare le
estensioni e' quella di gentoo):
#!/bin/bash
FEXT=${1##*.}
if [ "x$FEXT" == "xzip" ] ; then
ACCA=`unzip -l $1 | cut -c 29-130 | grep -E "\."`
elif [ "x$FEXT" == "xrar" ] ; then
ACCA=`unrar lb $1 | grep -E "\."`
else
echo "file $1 unrecognized"
exit 0
fi
COUNT="0"
for line in $ACCA ; do
linext=${line##*.}
if [ "$linext" == "doc" ] || [ "$linext" == "zip" ] || [ "$linext" == "rar" ] || [ "$linext" == "ace" ] ; then
echo "FAIL: $line does not pass the check!!!"
let COUNT=COUNT+1
else
echo "OK, $line passed the check."
fi
done
if [ "$COUNT" == "0" ] ; then
echo "$1 file is safe"
else
echo "$1 file is going to quarantene"
fi
PhirePhil
24-05-2006, 12:57
esistono antivirus per server di posta che fanno controlli negli archivi zip e rar senza bisogno di bloccarli a priori...
inviari messaggi agli utenti che dicono di contattare l'amministratore significa vedere aumentare a dismisura il carico di lavoro del'help desk... chiaro, lavorando in aziende sotto i 100 clients si potrebbe anche adottare questa "soluzione", ma le realtà produttive molto spesso superano il migliaio...
magilvia
24-05-2006, 13:15
1) avverti l'azienda di usare solo files openoffice,linki il plugin e scrivi un txt o una pagina
html con le istruzioni per installare il detto plugin.
2) blocchi tutti gli zip, rar etc. (cosa normale in una azienda) e li quaranteni (1 settimana di backup poi si autocancellano), livello computazionale zero. cancelli i .doc .
3) l'allegato .zip e' bloccato, la mail arriva comunque con un messaggio aggiuntivo:
tutti i files .doc sono cancellati, i files .zip e gli altri archivi sono in quarantena,
contattate l'amministratore se siete sicuri che l'archivio non contenesse files .doc
e non potete farvi ri-inviare i files in formato non compresso.
Tutto questo è ottimo in un mondo ideale ma come fa notare anche Phirephil troppo restrittivo IMO. Nella mia azienda siamo una 50ina di persone negli uffici ma se dovessero chiamarmi per aver l'allegato di ogni mail che arriva credo che impazzirei...
esistono antivirus per server di posta che fanno controlli negli archivi zip e rar senza bisogno di bloccarli a priori...
Ma gli antivirus non sono ancora pronti per questa vulnerabilità per questo che consigliano di bloccare i doc...
DevilsAdvocate
24-05-2006, 13:19
esistono antivirus per server di posta che fanno controlli negli archivi zip e rar senza bisogno di bloccarli a priori...
inviari messaggi agli utenti che dicono di contattare l'amministratore significa vedere aumentare a dismisura il carico di lavoro del'help desk... chiaro, lavorando in aziende sotto i 100 clients si potrebbe anche adottare questa "soluzione", ma le realtà produttive molto spesso superano il migliaio...
Ok, ragionavo in piccolo, in una realta' simile mandi il messaggio :"l'allegato e' stato
cancellato per motivi di sicurezza: i files .doc e gli archivi sono considerati a rischio.
Fatevi rimandare i files in formati non a rischio"
In questo modo vengono all'helpdesk solo i piu' disperati (i cui files potrebbero essere in quarantena.... nulla dissi nulla saccio :rolleyes: )
Altra soluzione,forse piu' semplice, e' disinstallare office e installare openoffice su ogni
computer aziendale.
PhirePhil
24-05-2006, 13:23
beh, l'articolo diceva che stanno aggiornando in queste ore... usando Antigen for Exchange (secondo me il migliore in assoluto) usi n motori di scansione diversi (i due di CA, command, Karspersky ecc. ecc), uno di questi di certo lo blocca.
in qualunque caso sempre a livello di AV lato server puoi bloccare gli allegati doc con un click, ed al limite li fai spedire via mail zippati e protetti con password, cosa che in genere i virus non fanno.
DevilsAdvocate
24-05-2006, 13:27
beh, l'articolo diceva che stanno aggiornando in queste ore... usando Antigen for Exchange (secondo me il migliore in assoluto) usi n motori di scansione diversi (i due di CA, command, Karspersky ecc. ecc), uno di questi di certo lo blocca.
in qualunque caso sempre a livello di AV lato server puoi bloccare gli allegati doc con un click, ed al limite li fai spedire via mail zippati e protetti con password, cosa che in genere i virus non fanno.
Ehm, con il piccolo dettaglio che cosi' non sei al sicuro dall'infezione..... se funziona come i
vecchi macrovirus qualsiasi .doc creato su un computer infetto e' infetto a sua volta,
nel caso l'unica soluzione e' bloccare del tutto lo scambio dei files .doc (senza contare che
consentire a tutti lo scambio di archivi bloccati da password/criptati in un'azienda sarebbe
sempre e comunque sconsigliabile.....)
PhirePhil
24-05-2006, 13:28
Altra soluzione,forse piu' semplice, e' disinstallare office e installare openoffice su ogni
computer aziendale.
sempre ragionando nel piccolo, immagino...
fare una disinstallazione centralizzata su svariati clients e la seguente installazione di un nuovo pacchetto software non mi sembra affatto "semplice"
PhirePhil
24-05-2006, 13:33
in linea di massima per condividere files di office tra utenti della stessa azienda andrebbero usati fileservers, non messaggi di posta (anche se molti utenti proprio non lo capiscono). altrimenti ottime soluzioni sono rappresentate da applicativi quali sharepoint, che cmq necessitano di training all'utente.
va inoltre considerato le modalità con le quali è sfruttabile tale backdoor, i clients aziendali di solito non sono esposti direttamente su internet
DevilsAdvocate
24-05-2006, 13:38
Concordo, e bisogna vedere anche se il virus/trojan si propaga solo via email
oppure anche infettando tutti i files .doc o usa altre forme di propagazione.
DevilsAdvocate
24-05-2006, 13:44
sempre ragionando nel piccolo, immagino...
fare una disinstallazione centralizzata su svariati clients e la seguente installazione di un nuovo pacchetto software non mi sembra affatto "semplice"
Dipende dal tipo di rete e dai privilegi che l'amministratore ha da remoto, c'e' chi un operazione del genere la fa avvertendo i dipendenti di lasciare il computer "acceso ma non
impegnato" durante la pausa pranzo (beh il download del file di installazione in locale viene fatto prima, magari in background, oppure, trattandosi di un software open, non si fa
installazione ma si "iniettano i files in loco")....
(ok, lo ammetto, continuo a ragionare in termini di sistemi linux e non ho la minima idea se una cosa simile sia possibile pure in windows)
PhirePhil
24-05-2006, 13:58
fattibilissimo, se il pacchetto che vuoi installare è distribuito in .msi, a meno di utilizzare strutture di deployment quali SMS
il problema maggiore lo potresti avere nella disinstallazione di office, la quale dipende molto dal modo in cui è stata installata.
un amministratore di dominio ha sempre provilegi di amministratore locale su un client, in quanto il gruppo domain admins viene "nestato" nel gruppo locale administrator durante il processo di join
DevilsAdvocate
24-05-2006, 14:11
allora e' risolto: basta cambiare il programma da usare nel "tipo files" e rimuovere (backuppandoli) i collegamenti ad office nel menu o sul desktop, e magari gli eseguibili
principali. In questo modo sprechi un quarto del tempo e puoi effettuare rapidamente il rollback se prevedi che si possa voler tornare ad office (la cui disinstallazione pero'
resta da farsi, o rimettendo a posto i files dopo l'emergenza ed agendo nel modo classico o usando la cancellazione brutale dei files e delle chiavi di registro)
PhirePhil
24-05-2006, 14:23
un deployment del genere in ambienti di vaste dimensioni crea più problemi che altro, innanzitutto va considerato l'utilizzo della banda, il tempo necessario al deployment, eventuali incompatibilità che potrebbero impattare sul lavoro dell'utenza...
sostituire un applicativo quale office non è cosa semplice ne indolore, senza considerare che il pacchetto office si integra alla perfezione con applicazioni lato server quali, ad esempio, sharepoint. outlook poi è stato studiato soprattutto come client di Exchange, cambiare client costringerebbe ad utilizzare protocolli quali imap o pop3, rinunciando ad una serie infinita di vantaggi derivanti dall'impiego di un profilo MAPI.
tra le altre cose... la politica di supporto di openoffice qual'è?
Al di là delle difficoltà tecniche, il grosso problema sostituendo MSO con OOo (anche temporaneamente) è costituito dagli utenti, cui non si può chiedere di imparare istantaneamente un nuovo software. Anche se non ci si imbattesse in incompatibilità nei documenti usati, il solo cambiamento dell'interfaccia utente è sufficiente a non rendere accettabile questa soluzione. Per non parlare dell'integrazione con altri sistemi, come fa notare PhirePhil. Una transizione del genere si può fare (ed è stata fatta in molte organizzazioni) solo gradualmente e con un training adeguato.
magilvia
24-05-2006, 15:11
Al di là delle difficoltà tecniche, il grosso problema sostituendo MSO con OOo (anche temporaneamente) è costituito dagli utenti, cui non si può chiedere di imparare istantaneamente un nuovo software. Anche se non ci si imbattesse in incompatibilità nei documenti usati, il solo cambiamento dell'interfaccia utente è sufficiente a non rendere accettabile questa soluzione. Per non parlare dell'integrazione con altri sistemi, come fa notare PhirePhil. Una transizione del genere si può fare (ed è stata fatta in molte organizzazioni) solo gradualmente e con un training adeguato.
Già lo stavo per scrivere io.
LukeHack
25-05-2006, 03:10
che lamerata sto office :asd:
tornados
25-05-2006, 08:06
Scusate visto che siete così esperti, siccome ho la sensazione che questo virus l'ha preso un mio coinquilino, andando ad aprire un file inviato da una sua amica spagnola, e non riesco a trovare dove si è installato il virus, mi potreste dire se lo sapete, dove si installa e il nome del file di installazione.
Altrimenti prima di ricollegare il mio computer alla rete gli formatto il computer
Interessanti questi commenti: in pratica è sufficiente impedire l'invio via mail di allegati zip, rar, ace, xls, doc, jpg, pdf, dwg, ..., ..... Anzi, meglio impedire proprio l'invio di mail. E anche di sms, sia mai che si trasmetta un virus al telefonino.
Torniamo a telex e telescriventi. E per i più moderni ai fax.
Scusate, ma voi la posta elettronica la usate per lavoro o per cosa?
Parlate di sostituire MSO con OOo, ma gli utenti li considerate? Sapete, vero, che il 60/70 % degli impiegati che usa un pc sa giusto accenderlo e usare quelle 4 operazioni solo sul programma che usa ogni giorno?
E proponete di cambiare da oggi a domani l'intera intefaccia???
Beh, chiaramente non riuscendo ad utilizzare il pc, difficilemente questo verrà infettato!!!
LukeHack
25-05-2006, 14:22
Interessanti questi commenti: in pratica è sufficiente impedire l'invio via mail di allegati zip, rar, ace, xls, doc, jpg, pdf, dwg, ..., ..... Anzi, meglio impedire proprio l'invio di mail. E anche di sms, sia mai che si trasmetta un virus al telefonino.
Torniamo a telex e telescriventi. E per i più moderni ai fax.
Scusate, ma voi la posta elettronica la usate per lavoro o per cosa?
Parlate di sostituire MSO con OOo, ma gli utenti li considerate? Sapete, vero, che il 60/70 % degli impiegati che usa un pc sa giusto accenderlo e usare quelle 4 operazioni solo sul programma che usa ogni giorno?
E proponete di cambiare da oggi a domani l'intera intefaccia???
Beh, chiaramente non riuscendo ad utilizzare il pc, difficilemente questo verrà infettato!!!
sarebbe ora che il popolo utonzo venisse addestrato un pò meglio per svolgere i propri compiti al pc, sarebbe ora che acquisisse un pò di elasticità mentale che non la mandi in panico se al posto di Microsozz office c'è scritto OpenOffice.. :rolleyes:
oppure di proporgli come alternativa carta e penna se non gli piace "l'interfaccia nuova"
ci vuole LINEA DURA CONTRO GLI UTONTI! :stordita:
ci vuole LINEA DURA CONTRO GLI UTONTI! :stordita:
Non condivido il tuo approccio. L'informatica, per quanto centrale per noi appassionati, è solo uno dei tanti aspetti della realtà sui quali si può essere utenti esperti o inesperti. Per esempio, in materia di pratiche amministrative non sono un esperto, e quando mi rivolgo ad uno sportello voglio solo che le cose filino lisce lisce, non che l'impiegata mi dia del tonto o si metta a dissertare sull'imprescindibilità della direttiva Q22/b in materia di rilascio di atti previsti dal DL 1211 del 21/04/1995... Non dimentichiamo che l'informatica è un servizio, uno strumento, non un fine. Detto ciò, se gli utenti venissero formati adeguatamente dai datori di lavoro tutto sarebbe più semplice. Poi, se uno è proprio tonto di suo...
LukeHack
25-05-2006, 17:19
Non condivido il tuo approccio. L'informatica, per quanto centrale per noi appassionati, è solo uno dei tanti aspetti della realtà sui quali si può essere utenti esperti o inesperti. Per esempio, in materia di pratiche amministrative non sono un esperto, e quando mi rivolgo ad uno sportello voglio solo che le cose filino lisce lisce, non che l'impiegata mi dia del tonto o si metta a dissertare sull'imprescindibilità della direttiva Q22/b in materia di rilascio di atti previsti dal DL 1211 del 21/04/1995...
ok allora quando vai dal commercialista,e stendi il tuo 740, vuoi che le cose filino "liscie", però se poi dichiari il falso per svoltarci o fai casino colle fatture,ovviamente il commercialista quando se ne accorge, si incazza e GIUSTAMENTE ti da dell'utonto, perchè i suoi strumenti di considerazione sono stai usati MALE, come colla posta elettronica: finiamola di usare outlook per spedire le barzellette, è fastidioso infantile e soprattutto e' INUTILE: bisogna LIMITARE l'uso degli allegati, gli utonti aprono tutto,esattamente come quello che fa casino coi documenti da dare al commercialista: Ci vogliono REGOLE per usare il pc, e no che ogni volta che si fa casino ci si cela dietro le scuse "Ah ma io mica sono nerd come te, io sono un UTONTO!"
ecco bravo,sei un utonto, ti levo il pc (o ti metto permessi da guest :asd: ), e ti metto un virus nel tuo iperfiigomachennsaiusare cell-palmare cosi la pianti di mandare sms ai tuo colleghi che hanno amd sfottendoli xche il loro pc è UN FORNO (sentito per l'ennesima volta ieri,mi son cascate le palle :rolleyes: e non perchè abbia amd,anzi v.signa )
Non dimentichiamo che l'informatica è un servizio, uno strumento, non un fine. Detto ciò, se gli utenti venissero formati adeguatamente dai datori di lavoro tutto sarebbe più semplice. Poi, se uno è proprio tonto di suo...
non solo: l'informatica è come l'automobile, è una responsabilità oltre che uno strumento, se sei utonto, fai guidare un altro al posto tuo :asd:
comunque sono d'accordo che la colpa sia di quei PULCIARI che siedono all'ultimo piano che assumono cani bastonati e non impartiscono loro un'acca..
Ho un dubbio...
Forse dico una cagata, ma ... Outlook non usa Word come editor di default delle e-mail?
Ed allora, non è che è possibile ricevere/trasmettere il virus semplicemente inviando un messaggio con Outlook (non O Express)?
(lo so che tutti voi usate un programma alternativo per la posta, ma non sempre puoi scegliere...)
Qualcuno ne sa qualcosa?
Ho detto una cagata?
raga ma mi spiegate come fa un file di word ad installare un rootkit?
LukeHack
25-05-2006, 18:32
raga ma mi spiegate come fa un file di word ad installare un rootkit?
si tratta di un classico buffer overflow che porta il registro di esecuzione a puntare ad un comando arbitrario
Office documents can contain embedded objects. For example, a malicious Word document could be embedded in an Excel or PowerPoint document. Office documents other than Word documents could be used as attack vectors.
si tratta di un classico buffer overflow che porta il registro di esecuzione a puntare ad un comando arbitrario
quindi il DEP dei processori a 64 bit dovrebbe bloccare l'infezione, o sbaglio?
LukeHack
26-05-2006, 15:28
quindi il DEP dei processori a 64 bit dovrebbe bloccare l'infezione, o sbaglio?
mmm bella domanda, ma non ho mai potuto verificare di persona la bontà di questa protezione hw ;)
Lighthouse
27-05-2006, 10:01
Non vedo perchè dare altri soldi a Bill Gates quando esiste Open Office...
JohnPetrucci
27-05-2006, 16:40
macchè piccioni, molto meglio passare a i pizzini, quelli si che sono sicuri :asd:
Bella questa! :D
mmm bella domanda, ma non ho mai potuto verificare di persona la bontà di questa protezione hw ;)
beh, sarebbe molto molto importante saperlo...
vogliamo una recensione in merito!!!!!!!!!!!!!!!!!!!!!!!!!!1
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.