Mercoledi 24 Novembre 2010

http://img.prevx.com/images2/nl_prevxlogo.gif


This isn't exactly what could be defined a lucky year for Microsoft. If Windows 7 sales are booming, on the other hand the operating system made-in-Redmond has been hit hard by a lot of targetted attacks during these months. Aurora exploit is just the first of the year, but the most serious attack has definitely been the Stuxnet case. Finding a 0day exploit is always difficult, but using four 0day exploits all together is actually impressive.

Yesterday another serious 0-day flaw has been publically disclosed on a chinese board.

This is a serious flaw because it resides in win32k.sys, the kernel mode part of the Windows subsystem. It is a privilege escalation exploit which allows even limited user accounts to execute arbitrary code in kernel mode.........continua (http://www.prevx.com/blog/160/New-Windows-day-exploit-speaks-chinese.html)



Fonte: Prevx Blog (http://www.prevx.com/blog.asp)

Autore: Marco Giuliani

http://www.prevx.com/blog/161/Windows-day-exploit-update.html

Windows sotto minaccia: spunta una grave “0 day” (http://www.webnews.it/2010/11/25/windows-sotto-minaccia-spunta-una-grave-0-day/) su webnews

Windows, allarme kernel 2 (http://punto-informatico.it/3045943/PI/News/windows-allarme-kernel.aspx) su punto informatico

Being a privilege escalation exploit, it bypasses by design even the protection given by the User Account Control and Limited User Account technology implemented in Windows Vista and Windows 7. All Windows XP/Vista/7 both 32 and 64 bit are vulnerable to this attack.
Piuttosto grave, anche se non è stato ancora sfruttato speriamo che venga corretto al più presto.

http://www.prevx.com/blog/162/Windows-day-exploit-QA-session.html

http://www.prevx.com/blog/162/Windows-day-exploit-QA-session.html

Il cui punto fondamentale ovviamente è (come era prevedibile malgrado il ricorrente terrorismo informatico attorno a Windows):

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw

Il cui punto fondamentale ovviamente è (come era prevedibile malgrado il ricorrente terrorismo informatico attorno a Windows):

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw

Per fare una valutazione di più ampio respiro è necessario prendere in considerazione anche questo passaggio, decisamente importante:

"3) Why is this flaw considered critical? This flaw allows all software, even if run from a limited account, to gain system privileges. We see many of drive-by attacks, which make use of application exploits to drop malware on vulnerable machines. While there are still a huge number of customers who are used to run their operating system with administrative privileges, most users are using limited accounts or administrator accounts in Admin Approval Mode (User Account Control). Using a limited account gives them a great advantage versus malware, because it limits the vulnerable surface the malware can damage. This 0-day exploit allows a malware that has already been dropped on the system to bypass these limitations and get the full control of the system."

Sì, è una classia EOP (http://en.wikipedia.org/wiki/Privilege_escalation), niente di nuovo. L'UAC non può fare miracoli, abbassa solo i privilegi ma se un malware esegue una EOP è intrinseco che ottiene autonomamente i massimi privilegi di esecuzione e quindi niente UAC e danni proprio come lanciarla da amministratore.
Questo è un bug di sicurezza dell'OS vero e proprio. L'UAC, voglio sottolinearlo, non conta nulla in questo caso (già leggo in giro "UAC non serve a niente!", "È stato bucato!"...).
La buona notizia è che appunto è sfruttabile solo in locale, quindi scaricando ed eseguendo volontariamente software (non sicuro) sul proprio PC. Ovviamente gli attachi drive-by (es. sfrutto un exploit di flash e questo mi permette di scaricare e lanciare il malware) funzionano sempre ma in questo caso si hanno altri layer di difesa, come browser sandboxati (IE7,8,9 o Chrome, NON Firefox!) etc. che rendono difficile cmq il superamento della prima barriera...

Sì, è una classia EOP (http://en.wikipedia.org/wiki/Privilege_escalation), niente di nuovo. L'UAC non può fare miracoli, abbassa solo i privilegi ma se un malware esegue una EOP è intrinseco che ottiene autonomamente i massimi privilegi di esecuzione e quindi niente UAC e danni proprio come lanciarla da amministratore.
Questo è un bug di sicurezza dell'OS vero e proprio. L'UAC, voglio sottolinearlo, non conta nulla in questo caso (già leggo in giro "UAC non serve a niente!", "È stato bucato!"...).

E' un bug del Kernel che di fatto bypassa UAC.

E' un bug del Kernel che di fatto bypassa UAC.

Certo, qualunque EOP che ottenga i privilegi da admin direttamente sfruttando una falla dell'OS come questa non fa comparire l'UAC, perché si auto-eleva come se fosse stata avviata da admin (per capirci, è come se fosse un exe avviato dal servizio di sistema Utilità di pianificazione con i massimi privilegi). L'UAC non interviene di certo su applicazioni lanciate da admin non l'ha mai fatto e non è il suo scopo.
Chi tira in causa l'UAC secondo me non ha ancora ben capito cos'è e cosa faccia...

chi ha uno dei Sandbox contemplati nel thread "prevenire ecc ecc" è coperto da questo tentativo di "scalata" dei privilegi...:fiufiu:

chi ha uno dei Sandbox contemplati nel thread "prevenire ecc ecc" è coperto da questo tentativo di "scalata" dei privilegi...:fiufiu:
ad esempio, prevx, kis 2011. o sbaglio.
grazie

Nel "mio" thread (Prevenire è meglio che curare.. (http://www.hwupgrade.it/forum/showthread.php?t=1064733)) non c'è un solo nome di quelli da te citati :D ...

Cmq:
PrevX 3.0.5.220 prevede la copertura di questa falla (dettagli.. (http://www.wilderssecurity.com/showthread.php?t=287539))

DefenseWall, GesWall & Sandboxie, invece, sono in grado di impedire la scalata di privilegi senza dover ricorrere a patch, ecc, semplicemente grazie alla loro struttura...

CIS 5, invece, da quello che ho capito leggendo su certi canali, è forato con il Sandbox @ default (= settato su partially limited) mentre riesce a contenere l'exploit se l'exploit è eseguito manualmente come sandboxato.
PS: sembra peraltro che anche modificando la policy di default da partially limited ad untrusted CIS 5 venga bypassato...

Il resto, invece, mi è ignoto..

7 32bit protetto da DefenseWall 3: :D

http://img543.imageshack.us/img543/6871/74435277.th.jpg (http://img543.imageshack.us/i/74435277.jpg/) http://img593.imageshack.us/img593/2008/23949345.th.jpg (http://img593.imageshack.us/i/23949345.jpg/)

..by nV 25

Nel "mio" thread (Prevenire è meglio che curare.. (http://www.hwupgrade.it/forum/showthread.php?t=1064733)) non c'è un solo nome di quelli da te citati :D ...
Cmq:
PrevX 3.0.5.220 prevede la copertura di questa falla (dettagli.. (http://www.wilderssecurity.com/showthread.php?t=287539))
DefenseWall, GesWall & Sandboxie, invece, sono in grado di impedire la scalata di privilegi senza dover ricorrere a patch, ecc, semplicemente grazie alla loro struttura...
Il resto, invece, mi è ignoto..
ciao nV :)
solo per info
vincenzomary intendeva utilizzare Kis2011 in FullSafeRun Kis 2011 (http://support.kaspersky.com/kis2011/securityzone?qid=208281831)
(solo 32 bit) una specie di SandBoxone che isola il PC (più partizioni comprese)

oppure sui 64 bit in Browser SafeRun (http://support.kaspersky.com/kis2011/securityzone?qid=208281832) una simil SandBoxie solo per browser

che, in questo caso, le due soluzioni presenti in KIS 2011 siano efficaci io certo non lo so' :)
anche se non nego che mi piacerebbe tanto saperlo!
ciao

ciao nV :)
solo per info
vincenzomary intendeva utilizzare Kis2011 in FullSafeRun Kis 2011 (http://support.kaspersky.com/kis2011/securityzone?qid=208281831)
(solo 32 bit) una specie di SandBoxone che isola il PC (più partizioni comprese)

oppure sui 64 bit in Browser SafeRun (http://support.kaspersky.com/kis2011/securityzone?qid=208281832) una simil SandBoxie solo per browser

che, in questo caso, le due soluzioni presenti in KIS 2011 siano efficaci io certo non lo so' :)
anche se non nego che mi piacerebbe tanto saperlo!
ciao

un ringraziamento particolare a te marcoesse, hai fatto da tramite per me verso il grande NV25, sono davvero commosso.
grazie ancora

Buona sera a tutti.
Per verificarlo occorre fare un test con il Poc.
Anche se il Kis,come altri antivirus,premessa per dire che il rilevamento è non esclusivo del kis, rileva il Poc in questione, quindi occorre disabilitare il suo modulo di rilevamento.
Perdonate questi termini generici ma non uso il Kav/Kis da secoli.;)
E quindi procedere al vs test.

Buon lavoro.;)

Buona sera a tutti.
Anche se il Kis,come altri antivirus, rileva il Poc in questione, vero! ;)
http://www.pctunerup.com/up/results/_201011/th_20101128021208_AntiUAC1.JPG (http://www.pctunerup.com/up/image.php?src=_201011/20101128021208_AntiUAC1.JPG) http://www.pctunerup.com/up/results/_201011/th_20101128021212_AntiUAC2.JPG (http://www.pctunerup.com/up/image.php?src=_201011/20101128021212_AntiUAC2.JPG) http://www.pctunerup.com/up/results/_201011/th_20101128022945_AntiUAC3.JPG (http://www.pctunerup.com/up/image.php?src=_201011/20101128022945_AntiUAC3.JPG)
quindi occorre disabilitare il suo modulo di rilevamento.
Buon lavoro.;)
preferisco di no grazie :D

un ringraziamento particolare a te marcoesse, hai fatto da tramite per me verso il grande NV25, sono davvero commosso.
grazie ancora ma figurati dai :)

Antivirus results
AhnLab-V3 - 2010.11.28.00 - 2010.11.27 - Trojan/Win32.EUDCPoC
AntiVir - 7.10.14.126 - 2010.11.27 - EXP/EUDPoC.A
Antiy-AVL - 2.0.3.7 - 2010.11.27 - -
Avast - 4.8.1351.0 - 2010.11.27 - Win32:Malware-gen
Avast5 - 5.0.594.0 - 2010.11.27 - Win32:Malware-gen
AVG - 9.0.0.851 - 2010.11.27 - -
BitDefender - 7.2 - 2010.11.27 - Exploit.EUDCPoC.A
CAT-QuickHeal - 11.00 - 2010.11.27 - -
ClamAV - 0.96.4.0 - 2010.11.27 - -
Command - 5.2.11.5 - 2010.11.27 - -
Comodo - 6869 - 2010.11.27 - -
DrWeb - 5.0.2.03300 - 2010.11.27 - -
Emsisoft - 5.0.0.50 - 2010.11.27 - Exploit.Win32.EUDCPoC!IK
eSafe - 7.0.17.0 - 2010.11.24 - -
eTrust-Vet - 36.1.8003 - 2010.11.26 - -
F-Prot - 4.6.2.117 - 2010.11.26 - -
F-Secure - 9.0.16160.0 - 2010.11.27 - Exploit.EUDCPoC.A
Fortinet - 4.2.254.0 - 2010.11.27 - -
GData - 21 - 2010.11.27 - Exploit.EUDCPoC.A
Ikarus - T3.1.1.90.0 - 2010.11.27 - Exploit.Win32.EUDCPoC
Jiangmin - 13.0.900 - 2010.11.27 - -
K7AntiVirus - 9.69.3103 - 2010.11.27 - -
Kaspersky - 7.0.0.125 - 2010.11.27 - Exploit.Win32.EUDCPoC.a
McAfee - 5.400.0.1158 - 2010.11.27 - Exploit-EUDCPoC
McAfee-GW-Edition - 2010.1C - 2010.11.27 - Generic.dx!uzo
Microsoft - 1.6402 - 2010.11.27 - Exploit:Win32/Deusenc.A
NOD32 - 5653 - 2010.11.27 - Win32/Exploit.Agent.NAB
Norman - 6.06.10 - 2010.11.27 - W32/EUDCPoC.A
nProtect - 2010-11-27.01 - 2010.11.27 - Exploit.EUDCPoC.A
Panda - 10.0.2.7 - 2010.11.27 - Trj/CI.A
PCTools - 7.0.3.5 - 2010.11.27 - Hacktool.Generic
Prevx - 3.0 - 2010.11.27 - -
Rising - 22.75.04.00 - 2010.11.27 - -
Sophos - 4.60.0 - 2010.11.27 - Troj/EUDPoC-A
SUPERAntiSpyware - 4.40.0.1006 - 2010.11.27 - -
Symantec - 20101.2.0.161 - 2010.11.27 - Hacktool
TheHacker - 6.7.0.1.092 - 2010.11.27 - Trojan/Exploit.Agent.nab
TrendMicro - 9.120.0.1004 - 2010.11.27 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.11.27 - -
VBA32 - 3.12.14.2 - 2010.11.26 - -
VIPRE - 7427 - 2010.11.27 - -
ViRobot - 2010.11.19.4158 - 2010.11.27 - -
VirusBuster - 13.6.62.0 - 2010.11.26 - -

Antivirus results

Microsoft - 1.6402 - 2010.11.27 - Exploit:Win32/Deusenc.A
Bene, quindi anche il semplice Defender di default su Vista/7.

Bene, quindi anche il semplice Defender di default su Vista/7.

aehm... lui credo intende l'antivirus della ms, non il defender...

aehm... lui credo intende l'antivirus della ms, non il defender...

http://d.imagehost.org/t/0875/Immagine.jpg (http://d.imagehost.org/view/0875/Immagine)

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3AWin32%2FDeusenc.A

EDIT: dove trovo un sample del malware da sottoporre a Defender? Così verifico direttamente se la definizione aggiornata è valida anche per il malware o limitata allo spyware con Defender (PM grazie, se non è possibile postare il link qui).

chissà cosa aspettano quelli di Comodo a riconoscerlo, dato che anche la sandbox pare fallisca :fagiano:

http://d.imagehost.org/t/0875/Immagine.jpg (http://d.imagehost.org/view/0875/Immagine)

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3AWin32%2FDeusenc.A

EDIT: dove trovo un sample del malware da sottoporre a Defender? Così verifico direttamente se la definizione aggiornata è valida anche per il malware o limitata allo spyware con Defender (PM grazie, se non è possibile postare il link qui).

Si, lo vede anche il Defender.

chissà cosa aspettano quelli di Comodo a riconoscerlo, dato che anche la sandbox pare fallisca :fagiano:

Update



Antivirus results
AhnLab-V3 - 2010.11.28.00 - 2010.11.27 - ?*?
AntiVir - 7.10.14.126 - 2010.11.27 - EXP/EUDPoC.A
Antiy-AVL - 2.0.3.7 - 2010.11.28 - -
Avast - 4.8.1351.0 - 2010.11.28 - Win32:Malware-gen
Avast5 - 5.0.594.0 - 2010.11.28 - Win32:Malware-gen
AVG - 9.0.0.851 - 2010.11.28 - Exploit.DSH
BitDefender - 7.2 - 2010.11.28 - Exploit.EUDCPoC.A
CAT-QuickHeal - 11.00 - 2010.11.27 - -
ClamAV - 0.96.4.0 - 2010.11.28 - -
Command - 5.2.11.5 - 2010.11.28 - -
Comodo - 6877 - 2010.11.28 - -
DrWeb - 5.0.2.03300 - 2010.11.28 - -
Emsisoft - 5.0.0.50 - 2010.11.28 - Exploit.Win32.EUDCPoC!IK
eSafe - 7.0.17.0 - 2010.11.24 - -
eTrust-Vet - 36.1.8003 - 2010.11.26 - -
F-Prot - 4.6.2.117 - 2010.11.27 - -
F-Secure - 9.0.16160.0 - 2010.11.28 - Exploit.EUDCPoC.A
Fortinet - 4.2.254.0 - 2010.11.28 - W32/Eudcpoc.A1C5!exploit
GData - 21 - 2010.11.28 - Exploit.EUDCPoC.A
Ikarus - T3.1.1.90.0 - 2010.11.28 - Exploit.Win32.EUDCPoC
Jiangmin - 13.0.900 - 2010.11.28 - -
K7AntiVirus - 9.69.3103 - 2010.11.27 - -
Kaspersky - 7.0.0.125 - 2010.11.28 - Exploit.Win32.EUDCPoC.a
McAfee - 5.400.0.1158 - 2010.11.28 - Exploit-EUDCPoC
McAfee-GW-Edition - 2010.1C - 2010.11.28 - Generic.dx!uzo
Microsoft - 1.6402 - 2010.11.28 - Exploit:Win32/Deusenc.A
NOD32 - 5655 - 2010.11.28 - Win32/Exploit.Agent.NAB
Norman - 6.06.10 - 2010.11.27 - W32/EUDCPoC.A
nProtect - 2010-11-28.01 - 2010.11.28 - Exploit.EUDCPoC.A
Panda - 10.0.2.7 - 2010.11.28 - Trj/CI.A
PCTools - 7.0.3.5 - 2010.11.28 - Hacktool.Generic
Prevx - 3.0 - 2010.11.28 - Medium Risk Malware
Rising - 22.75.05.00 - 2010.11.28 - Trojan.Win32.Generic.5249E994
Sophos - 4.60.0 - 2010.11.28 - Troj/EUDPoC-A
SUPERAntiSpyware - 4.40.0.1006 - 2010.11.28 - -
Symantec - 20101.2.0.161 - 2010.11.28 - Hacktool
TheHacker - 6.7.0.1.092 - 2010.11.28 - Trojan/Exploit.Agent.nab
TrendMicro - 9.120.0.1004 - 2010.11.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.11.28 - -
VBA32 - 3.12.14.2 - 2010.11.26 - -
VIPRE - 7434 - 2010.11.28 - Trojan.Win32.Generic!BT
ViRobot - 2010.11.19.4158 - 2010.11.28 - -
VirusBuster - 13.6.63.1 - 2010.11.27 - Exploit.EUDCPoC!owzhHg2nwr0

Microsoft prepara la patch per Windows (http://www.webnews.it/2010/11/29/microsoft-prepara-la-patch-per-windows/) su webnews

Microsoft prepara la patch per Windows (http://www.webnews.it/2010/11/29/microsoft-prepara-la-patch-per-windows/) su webnews
Ma si, come spiegato nel link anche alla MS non ritengono questo exploit così importante e rischioso da anticipare la patch

Ma si, come spiegato nel link anche alla MS non ritengono questo exploit così importante e rischioso da anticipare la patch

Ma no, che dici!!? Come si sono subito affrettati a scrivere sui blog è "...una voragine nel kernel di Windows!", "...il vaso di Pandora è stato scoperchiato e l'UAC si è rivelato inutile!".... "tutti gli utenti di Windows moriranno fulminati, passate a Linux/Mac!!" ;)

"...una voragine nel kernel di Windows!", "...il vaso di Pandora è stato scoperchiato e l'UAC si è rivelato inutile!".... "tutti gli utenti di Windows moriranno fulminati, passate a Linux/Mac!!" ;)
È la solita vecchia storia del lupo, alla fine non ci crede più nessuno ;)