Durante il fine settimana l'esperto di sicurezza Elia Florio per conto di Symantec, ha scoperto un nuovo ed interessante esempio di sfruttamento di una vulnerabilità ancora non documentata in Windows XP SP1 e SP2 e Windows 2003. La vulnerabilità consentirebbe ad un utente con account limitato di ottenere una "SYSTEM shell" con previlegi più elevati, attualmente Windows Vista sembra immune da questo problema. Ovviamente la vulnerabilità è stata notificata a Microsoft, la quale sostiene di essere già a conoscenza del problema in quanto il componente incriminato è un driver installato di default nella cartella \i386........

Per maggiori dettagli si rimanda all'articolo in lingua inglese

Fonte: Symantec Security Reponse
Link alla notizia: http://www.symantec.com/enterprise/security_response/weblog/2007/10/privilege_escalation_exploit_i.html

vedremo quanto impiegheranno a sanare quella falla... :D

vedremo quanto impiegheranno a sanare quella falla... :D

è meglio non scommettere, rischiamo di rovinarci :D

visto che non si sta sicuri nemmeno con account limitati?

comunque bella notizia socio, sai colpire sempre nel segno! ;)

visto che non si sta sicuri nemmeno con account limitati?



bhe, da quel che dicono non è sfruttabile in remoto ma solo localmente, per cui la buona norma di collegarsi ad internet solo con account limitati continua a valere...

bhe, da quel che dicono non è sfruttabile in remoto ma solo localmente, per cui la buona norma di collegarsi ad internet solo con account limitati continua a valere...
Ma il giovanotto ha un modo tutto suo per capire le cose, il link dice anche un altra cosa riferito agli utenti home;)

bhe, da quel che dicono non è sfruttabile in remoto ma solo localmente, per cui la buona norma di collegarsi ad internet solo con account limitati continua a valere...

diciamo che l'articolo si presta ad entrambe le interpretazioni, vedi prima e seconda parte dell'articolo quando si riferisce agli amministratori.

diciamo che l'articolo si presta ad entrambe le interpretazioni, vedi prima e seconda parte dell'articolo quando si riferisce agli amministratori.
L'articolo dice che è possibile exploitare solo in certe circostanze e bisogna avere certi requisiti, se viene a mancare un requisito o una circostanza non è + possibile exploitare, gli utenti home pare che siano meno esposti al problema, se si rivolge maggiormente alle aziende un motivo ci sarà:)

L'articolo dice che è possibile exploitare solo in certe circostanze e bisogna avere certi requisiti, se viene a mancare un requisito o una circostanza non è + possibile exploitare, gli utenti home pare che siano meno esposti al problema, se si rivolge maggiormente alle aziende un motivo ci sarà:)

era per questo che citavo la prima e la seconda parte dell'articolo, quindo non ho capito se concordi col mio pensiero o no.

era per questo che citavo la prima e la seconda parte dell'articolo, quindo non ho capito se concordi col mio pensiero o no.
il mio post non era riferito a te, ti ho quotato solo perchè mi sono ricollegato a quello che dicevi tu, ho letto l'articolo e mi sono fatto un' idea mia, se qualuno smentisce o modifica quello che è stato detto li me ne farò un altra, secondo me ci sono troppe poche notizie per farsi un idea precisa del problema e pochi dettagli.


Ciao

La vulnerabilita è inerente ad una falla nel DRM di Windows più precisamente alla tecnologia SafeDisc di Macrovison che è parte integrante dei sistemi operativi Windows 2003 - XP e Vista. Nello specifico il file incriminato è il seguente:
"secdrv.sys" la società di Sicurezza Secunia ha classificato la vulnerabilità come "less critical", mentre la stessa Microsoft in un comunicato rilasciato Lunedì ha affermato che sono già in corso attacchi per sfruttare questa ennesima vulnerabilità, la società ha inoltre annunciato il rilascio di una patch per Martedi 13 Novembre.

Fonte: Vnunet.com
Link alla notizia in lingua Inglese: http://www.vnunet.com/vnunet/news/2202909/attackers-target-unpatched

.

Purtroppo la vulnerabilità è stata "scoperta" il 16 Ottobre e l'exploit è pubblico e conosciuto dal 17 Ottobre scorso.

un approfondimento:

security_response/weblog/2007/10/privilege_escalation_exploit_i.html"]aveva reso di pubblico dominio[/URL] a metà ottobre, è contenuta nel driver SafeDisc (secdrv.sys) di Macrovision (http://www.macrovision.com/), una tecnologia utilizzata per proteggere i dischi contenenti giochi o altro genere di software. Sebbene tale driver sia incluso anche in Windows Vista, Microsoft afferma che questo sistema operativo è immune dal problema.

"Siamo a conoscenza di un limitato numero di attacchi che tentano di far leva sulla vulnerabilità da noi segnalata", si legge nell'advisory di BigM. L'azienda spiega tuttavia che la debolezza può essere sfruttata esclusivamente da un aggressore che abbia accesso localehttp://www.macrovision.com/promolanding/7352.htm al sistema: tale limitazione ha indotto Secunia (http://secunia.com/advisories/27285/) a classificare il problema come "less critical", il secondo dei cinque livelli di gravità previsti dalla società danese. L'elevazione dei privilegi in locale è una minaccia modesta per i sistemi desktop, ma senza dubbio più seria per i server aziendali.

Sebbene Microsoft non abbia ancora rilasciato una patch per questa vulnerabilità, sul sito di Macrovision è possibile scaricare un aggiornamento (http://www.macrovision.com/promolanding/7352.htm) al driver incriminato: per installarlo occorre cliccare col tasto destro del mouse sul file ".inf" e selezionare Installa.

C'è chi sostiene da tempo che il driver di Macrovision sia intrinsecamente insicuro, e questo al di là della vulnerabilità scoperta di recente.

"Oltre ad attivare la protezione dalla copia, il driver assicura all'applicazione che sta girando l'accesso al ring 0 (ossia gli stessi privilegi di cui gode il kernel di Windows, NdR)", si legge in questo articolo (http://en.wikipedia.org/wiki/SafeDisc) di Wikipedia dedicato alla tecnologia SafeDisc. "Ciò rappresenta un potenziale rischio per la sicurezza, dal momento che cavalli di Troia e altri malware potrebbero utilizzare il driver per ottenere l'accesso alla macchina con privilegi di amministrazione, e questo persino se i programmi stanno girando con un account limitato".


Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2109336)

Io naturalmente aggiornerò il bug con la patch rilasciata come tutti del resto ma credo (come sempre) che usare un account limitato con Windows,naturalmente s'intende con s.o. fino ad XP, sia più problematico della sicurezza intrinseca che offre questo metodo.
Ed infatti ho sempre preferito navigare riducendo i privilegi del browser e non con account limitato.
Naturalmente la sicurezza (io la chiamo intrinseca è un gradino superiore) ma non sarà mai elevata oltre un certo limite fino a che useremo un s.o. pieno di bugs.
Forse è anche questa la molla per cui prima o poi un utente windows che ama la sicurezza prova un sistema linux.

Meditate gente...meditate !! ;)