Link alla notizia: http://www.hwupgrade.it/news/sicurezza/15195.html

Zotob, IRCBot e SDBot: ecco i malware che sfruttano il bug Plug And Play di Windows. Paradossalmente tra le vittime della disinformazione informatica ci sono la CNN ed il New York Times.

Click sul link per visualizzare la notizia.

Beh l'importante è aggiornare sempre il pc e ovviamente usare la classica attenzione. Ovvio che se le persone cliccano su ogni cosa che si riceve senza pensare a quello che si fa, è inutile qualsiasi patch.
Per la cronaca io già ho patchato a suo tempo...
Secondo me a volte gli esperti di sicurezza di grandi società aspettano troppo a certificare le patch rilasciate da MS (provato sulla mia persona quando facevo il tecnico in una società che ha aspettato 1 anno per mettere il SP4 per windows 2000 !!!).

Beh l'importante è aggiornare sempre il pc e ovviamente usare la classica attenzione. Ovvio che se le persone cliccano su ogni cosa che si riceve senza pensare a quello che si fa, è inutile qualsiasi patch.
Per la cronaca io già ho patchato a suo tempo...
Secondo me a volte gli esperti di sicurezza di grandi società aspettano troppo a certificare le patch rilasciate da MS (provato sulla mia persona quando facevo il tecnico in una società che ha aspettato 1 anno per mettere il SP4 per windows 2000 !!!).

Concordo su tutto ma vorrei fare solo una precisazione. I worm come sasser, zotob, eccetera non necessitano che l'utente clicki alcunchè: si eseguono e si propagano exploitando servizi aperti e vulnerabili....

Sasser: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
Zotob.A: http://www.f-secure.com/v-descs/zotob_a.shtml

Guarda qui da noi, non è mai stato messo il SP4 infatti ieri sera è stato un disastro visto che il 90% dei pc ha windows 2000; e sto parlando di una delle più grandi banche d'Italia.

Guarda qui da noi, non è mai stato messo il SP4 infatti ieri sera è stato un disastro visto che il 90% dei pc ha windows 2000; e sto parlando di una delle più grandi banche d'Italia.
Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?
:boh:

CDS, ICF di XP-SP1 e' sufficiente a pararsi le :ciapet:?

CDS, ICF di XP-SP1 e' sufficiente a pararsi le :ciapet:?
chiedo la stessa cosa: è proprio necessario sp2? ho zone alarm come fw e ho installato tutte le principali patch compatibili in assenza di sp2.

cosa sono CDS e ICF?

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?
:boh:

Sapessi ancora quante ditte in Italia hanno un router il cui firewall e' configurato
malamente....

Hai perfettamente ragione fantoibed. E' anche vero però che la maggior parte dei virus (tranne i worm che sfruttano le falle del sistema) si diffondono proprio perchè le persone hanno una sfrenata voglia di cliccare su ok o fare un doppio clic di troppo.
Nella diffusione di questi worm la colpa cmq rimane del sysadmin che per esempio potrebbe contenere l'infezione disabilitando l'accesso ad alcune porte e soprattutto aggiornare i sistemi non protetti. In fondo se io ho aggiornato il sistema il giorno dopo che è stata scoperta la falla, non credo che un sysadmin abbia più difficoltà (tanto se devono patchare anche mille macchine lo fanno tramite rete con degli script... visto di persona).

@Runfox

Io lavoravo in una multinazionale farmaceutica grossa anche più della Bayer (tanto per farti capire). Beh adesso stanno pensando di migrare a windows xp e quindi pensa un po' te. Il problema è che magari non vogliono aggiornare il sistema operativo per paura di incompatibilità con sw proprietari. Sta di fatto che ci mettono mesi (quando non anni) per aggiornare tutto e poi puntulamente ad ogni virus si trovano con qualche migliaia di pc infetti (li ho dovuti togliere io a mano... :muro: )

:D

chiedo la stessa cosa: è proprio necessario sp2? ho zone alarm come fw e ho installato tutte le principali patch compatibili in assenza di sp2.

AFAIK credo sia piu' che sufficiente.

Al limite vai qua:
http://scan.sygatetech.com/quickscan.html
e fatti una scansione delle porte TCP del PC; se la 445 e' blocked allora stai tranquillo.
La cosa migliore sarebbe se tutte le porte fossero blocked, ma questo dipende poi se sulla tua macchina hai attivi server web, ftp, ecc... che io non posso sapere.

Comunque attendiamo maggiori lumi da chi ne sa di piu'!


cosa sono CDS e ICF?


CDS = come da subject (del messaggio da me precedentemente scritto)

ICF = Internet Connection Firewall, ovvero il firewall software integrato in XP ed in XP-SP1 (il firewall di XP-SP2 invece si chiama Windows Firewall)

Tutto qui!
:)

Il mio pc è in rete con il serverino (PIII 500MHz) che condivide la connessione internet, dotato di XP SP2 con il relativo firewall attivato.
Ho controllato lo stato delle porte al link dato da pippopluto e tutte le porte tranne per l'ICMP sono chiuse quindi il SP2 protegge abbastanza bene ma non del tutto.
Ciao.

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?
:boh:
dimentichi quanto sono belle le vpn, le reti locali, le wan ed il click del cavo di rete di un portatile infetto che si collega alla rete ;) e questo è solo un esempio

[cut]

Ho controllato lo stato delle porte al link dato da pippopluto e tutte le porte tranne per l'ICMP sono chiuse quindi il SP2 protegge abbastanza bene ma non del tutto.
Ciao.
La porta ICMP credo debba stare aperta perche' il tuo XP-SP2 sta facendo da gateway alla LAN verso l'esterno.

Ma potrei aver detto anche una cazzata; al limite prova a chiudere quelle porte aperte sul firewall e vedi cosa succede.
Male che vada, le riaprirai.

dimentichi quanto sono belle le vpn, le reti locali, le wan ed il click del cavo di rete di un portatile infetto che si collega alla rete ;) e questo è solo un esempio
:ave:
Vero!

Stavo pensando un po' troppo all'es. del Blaster all'esordio, senza tener conto che, oltre a quanto da te riportato, mi pare che Zotob & parenti possano infettare un pc anche tramite i soliti espedienti, tipo allegati, applet web, ecc...

[cut]

Nella diffusione di questi worm la colpa cmq rimane del sysadmin che per esempio potrebbe contenere l'infezione disabilitando l'accesso ad alcune porte e soprattutto aggiornare i sistemi non protetti.

Beh, disabilitare la 445, che serve al protocollo SMB per cominicare tra i vari host in LAN (lg. condivisioni di rete), non e' una scelta saggia IMHO.


In fondo se io ho aggiornato il sistema il giorno dopo che è stata scoperta la falla, non credo che un sysadmin abbia più difficoltà (tanto se devono patchare anche mille macchine lo fanno tramite rete con degli script... visto di persona).

Come scriverai piu' sotto...



[cut]

Beh adesso stanno pensando di migrare a windows xp e quindi pensa un po' te. Il problema è che magari non vogliono aggiornare il sistema operativo per paura di incompatibilità con sw proprietari.

Scelta estremamente sensata IMHO!
A me e' capitato di veder inchiodati diversi Win2K per colpa della partch anti-Sasser, come anche di incongruenze nella GUI e nella gestione delle stampanti dei gestionali nell'upgrade Win2K -> XP-Pro.


Sta di fatto che ci mettono mesi (quando non anni) per aggiornare tutto e poi puntulamente ad ogni virus si trovano con qualche migliaia di pc infetti (li ho dovuti togliere io a mano... :muro: )

Beh, su questo ti consiglio, se te ne viene data l'opportunita', d'informarti sullo stato di compatibilita' con XP + patch varie presso il supporto tecnico delle varie SH che vi forniscono i sw su cui lavorate.
Atro non saprei dirti, io farei cosi'.

aggiungiamo anche tutto il gruppo XXXXX colpito dal virus in oggetto...
sob...stiamo impazzendo!!!


Scusa ma dove hai sentito questa notizia?
Anche perché XXXXX ha circa metà delle macchine con XP SP2, e le Patch MS vengono aggiornate via SW distribution

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?


Molte volte succede perché qualcuno a casa attacca il personal in rete e poi lo porta in azienda DIETRO al router/firewall, come d'altronde scritto da ediva nel commento #12

Be, una settimana fa ho sentito da parte degli operatori telecom (alice ADSL) di un virus nei loro sistemi (forse questo, ovviamente non mi hanno detto che virus), apparivano strane cose nelle pagine di attivazione dell'ADSL di un mio amico e abbiamo chiamato. Inutile dire che si può avere qualsiasi difesa, e quì stiamo parlando di una società che ci dovrebbe saper fare con le protezioni per internet visto che "lo vende :)", ma le grandi reti aziendali non saranno mai protette abbastanza. Anzi in questo caso adirittura i dati personali di un mio amico, quindi file da proteggere col massimo scrupolo, hanno subito danni.

io ho recentemente avuto un problemino con un virus, un certo "win32.tenga" che stando alle informazioni che ho trovato in rete non dovrebbe fare nulla... la domanda è come me lo sono preso, uso Firefox, non ricevo allegati per posta (o cmq non li apro), e ho avast antivirus sempre aggiornato, quest'ultimo però non riesce a "disinfettare" i file infetti :( non uso firewall perchè quando ne usavo non notavo differenze, ma solo fastidi

Da Windows Startup aplication (http://www.virit.com/startup/scheda.asp?num=1652)

Descrizione:

Questo virus sfrutta la vulnerabilità di RPC COM di Windows. Quando eseguito, il virus Tenga.A infetta tutti i file .EXE del disco fisso e si propagherà attraverso la rete LAN. Inoltre scaricherà il file CBACK.EXE infetto da Trojan.Win32.Agent.KL.

Il virus cerca di prelevare anche il file DL.EXE da utenti.lycos.it

Il virus Win32.Tenga.A puo' rovinare i file .EXE quando li infetta, in questo caso si dovranno sostituire con delle copie pulite.


da www.viruslibrary.com (copiato dalla cache di google)

Tenga infects PE exe files. The virus can also behave like a Network-Worm if it finds machines that are vulnerable to MS03-026 in Microsoft Windows DCOM RPC Interface

quindi basta essere collegati in rete, se non ha mesdsdo la pacth MS03-026

[cut]

non uso firewall perchè quando ne usavo non notavo differenze, ma solo fastidi
Da quanto ha scritto sopra vale56, il problema sembra essere proprio questo, dovuto forse anche alla mancanza dell'opportuna patch di Windows.

Comunque se il tuo pc e' direttamente connesso ad Internet tramite modem, e non tramite router, ti consiglio vivamente di abilitare quantomeno il firewall di XP (se hai XP, ovvio!); e' poco invadente, si configura abbastanza agevolmente e ti para il :ciapet: nella maggioranza dei casi da worms come nella fattispecie.

dimentichi quanto sono belle le vpn, le reti locali, le wan ed il click del cavo di rete di un portatile infetto che si collega alla rete ;) e questo è solo un esempio
E quanto sono belli i modem attaccati al telefono no ? Entra dal doppino ed esce dalla presa ethernet in un nanosecondo . :muro:

Non so se è successo anche ad altri, cmq al riavvio dopo l'installazione mi si è piantato completamente il monitor tft, nel senso che visualizzava delle "trame" colorate a caso, anche durante il boot e provando ad accenderlo con il pc spento...

Stavo già maledicendo microsoft ma dopo aver "staccato/riattaccato" sia monitor che pc tutto è tornato normale-_-...mah

Non so se è successo anche ad altri, cmq al riavvio dopo l'installazione mi si è piantato completamente il monitor tft, nel senso che visualizzava delle "trame" colorate a caso, anche durante il boot e provando ad accenderlo con il pc spento...

Stavo già maledicendo microsoft ma dopo aver "staccato/riattaccato" sia monitor che pc tutto è tornato normale-_-...mah


Hai verificato la frequenza di refresh della scheda video?
Se hai un monitor TFT mettila a 60 Hz senza problemi, i TFT non hanno bisogno di refresh elevati (e non tutti accettani il refresh superiore a 75 Hz)

Hai verificato la frequenza di refresh della scheda video?
Se hai un monitor TFT mettila a 60 Hz senza problemi, i TFT non hanno bisogno di refresh elevati (e non tutti accettani il refresh superiore a 75 Hz)
Si si ora è tutto a posto...è stato un problema causato da sta benedetta patch, anche se nn so come :confused: ...il refresh è sempre e comunque settato a 60 Hz (anche perchè alla risoluzione standard non posso fare altrimenti)

E quanto sono belli i modem attaccati al telefono no ? Entra dal doppino ed esce dalla presa ethernet in un nanosecondo . :muro:
anche le chiavette usb, i cd, i dvd, i floppy...tutto quello che entra può essere sospetto...soluzioni? ammazzare i dipendenti :muro:
oppure fare venire una gastrite al sysadmin segmentando di brutto la rete, vlan, routing e firewall...avrai meno performance, avrai più gastriti da curare ma almeno isoli i problemi ai singoli uffici...ma è lavoro a tempo pieno per tre persone in una azienda media

Quando comunichi al cliente che deve aggiornare, fa un'alzata di spalle, perchè ha paura di doverti pagare per l'intervento. Ora che comincio a ricevere chiamate di aiuto, mi diverto io. Ora sì che gli costerà uno sproposito! :asd:

Quando comunichi al cliente che deve aggiornare, fa un'alzata di spalle, perchè ha paura di doverti pagare per l'intervento. Ora che comincio a ricevere chiamate di aiuto, mi diverto io. Ora sì che gli costerà uno sproposito! :asd:
beh...ovvio :asd: :D

ciao nic ;)

Raga ma per questa vulnerabilità non basta disabilitare il servizio plug & play dentro services.msc?

Comunque la mamma dei virus writer è sempre incinta ;)

Raga ma per questa vulnerabilità non basta disabilitare il servizio plug & play dentro services.msc?

Credo di si', ma credo anche che sia fortemente sconsigliato farlo:
(riporto quanto scritto nella relativa console di XP)

Abilita un computer a riconoscere e adattarsi alle modifiche hardware con il minimo input da parte dell'utente o senza alcun input. Se il servizio viene arrestato o disabilitato, il sistema diventerà instabile.

Il gioco vale la candela?
Qualcuno l'ha mai disabilitato prima per lungo tempo?


Comunque la mamma dei virus writer è sempre incinta ;)

It's business, baby!
:incazzed:

@12pippopluto34

Ehm non lo potevo decidere in quanto in fondo secondo loro ero un semplice tecnico (sai HelpDesk di IBM...)
Cmq sono d'accordo che si debbano cercare delle soluzioni che creino meno incompatibilità possibili, però è anche vero che solo da qualche mese hanno deciso di blindare i pc con delle policies restrittive. Prima quasi tutti gli utenti erano anche amministratori del proprio pc e puoi capire quando succede che si parla di ben 2000 pc !!! :D
Calcola che poi ovviamente c'erano dei firewall di un certo livello con anche dei filtri in base al contenuto delle pagine visitate e con un continuo controllo della rete per verificare consumi eccessivi (che potevano essere sintomo dell'uso di sw p2p oppure di qualche infezione).
Quello che volevo cmq dire è che spesso la troppa paura di certe aziende nell'aggiornare porta poi più danni che benefici (leggasi chiama il povero tecnico di turno a staccare tutti i pc dalla rete e togliere a manina i vari virus... :cry: ).

@Sh0K

Certo si può disabilitare il plug & play però calcola che potresti avere un casino di problemi ogni volta che provi ad installare qualche periferica (pensa se non viene riconosciuta al casino che devi fare). Magari potresti pensare di lasciarlo su manuale in modo da avviarlo solo in caso di necessità.

Io ho un server con win2003, ho aggiornato una decina di gg fa però non potevo riavviare. Fino a ora non è successo nulla. Oggi ho provato a vedere sul windows update se avevo già installato le patch ma mi dice che prima devo riavviare il pc per fare un altro upgrade. Se non avevo installato le patch ero già infettato giusto?

Direi di no, le patch critiche solitamente non vengono implementate fino al riavvio. Ma non è nemmeno detto che il tuo pc debba per forza di cose essere stato infettato anche se privo di aggiornamenti. Come c'è la sfiga, esiste anche il deretano ;)

@12pippopluto34

Ehm non lo potevo decidere in quanto in fondo secondo loro ero un semplice tecnico (sai HelpDesk di IBM...)

Come ti capisco!
:mano: :sob:


Cmq sono d'accordo che si debbano cercare delle soluzioni che creino meno incompatibilità possibili, però è anche vero che solo da qualche mese hanno deciso di blindare i pc con delle policies restrittive. Prima quasi tutti gli utenti erano anche amministratori del proprio pc e puoi capire quando succede che si parla di ben 2000 pc !!! :D

:mano: anche qui!
Purtroppo AFAIK e' prassi dare diritti di local_admin agli utenti Win32.
:muro:

Di chi e' la colpa?
Dei sysadmin MCSE o del sw di Redmond?
:boh:


[cut]

Quello che volevo cmq dire è che spesso la troppa paura di certe aziende nell'aggiornare porta poi più danni che benefici (leggasi chiama il povero tecnico di turno a staccare tutti i pc dalla rete e togliere a manina i vari virus... :cry: ).

[cut]

Capitato anche a me!
:mano: :sob:

Di chi e' la colpa?
Dei sysadmin MCSE o del sw di Redmond?


direi al 90% del s.o. di MS, che non è nato e non è capace di lavorare bene come normal user, al 10% del sysadmin.

Nell'azieda in cui lavoro abbiamo provato a portare gli utenti a lavorare come normal user, ma poi non funzionava nulla, a partire dalle applicazioni Web che richiedono di aggiornare degli ocx, alla possibilità di installare stampanti... (nota che il PnP le installa, ma l'utente no!) :(

@vale56

Beh se hai delle persone che sanno lavorare bene, ti assicuro che anche un utente blindato riesce tranquillamente ad usare i sw aziendali. Le installazioni di tutto quello che serve per lavorare vengono fatte in laboratorio dal tecnico (qualcuno mi ha chiamato ? :D ) e l'utente ha solo la possibilità di lavorare. Non sai quante volte mi sono sentito dire: "Senta mi puoi installare il programmino per vedere i divx e sentire gli mp3"...
In questo modo ti assicuro che i danni diminuiscono esponenzialmente (noi addirittura bloccavamo l'accesso a c, al pannello di controllo, al registro di sistema, alla funzione esegui, alla modifica delle impostazioni dello schermo...).
Non dico che non ci siano stati problemi anche particolari, ma in questo modo sicuramente gli interventi sono stati minori e spesso si riducevano a installazioni o aggiornamenti del pacchetto sw.

@vale56

Beh se hai delle persone che sanno lavorare bene, ti assicuro che anche un utente blindato riesce tranquillamente ad usare i sw aziendali. Le installazioni di tutto quello che serve per lavorare vengono fatte in laboratorio dal tecnico (qualcuno mi ha chiamato ? :D ) e l'utente ha solo la possibilità di lavorare.

[cut]

Esatto!
:mano:

Difatti tutto si puo' fare, bene o male.
Purtroppo pero' bisogna scontrarsi col budget che la gente e' disposta a spendere in assistenza, dunque nel tempo-denaro che occorre per porre in essere una struttura di rete quotidianamente efficiente e sicura.

La sicurezza sinora non viene vista dai piu' come un passaggio obbligatorio per un'infrastruttura informatica, probabilmente anche perche' non hanno assolutamente le basi per comprenderne l'importanza.

E nemmeno si rendono conto che una rete ben progettata e configurata, nel tempo ripaga e fa spendere di meno.
Per dirla con un vecchio adagio pubblicitario: prevenire e' meglio che curare!

Ma vaglielo tu a spiegare!
:rolleyes:

Tutti vogliono tutto e subito!
Poi, finche' non si andra' in galera per la diffusione di dati personali a causa di epidemie informatiche, nessuno si ricredera'; ed anche allora le prime teste a cadere saranno quelle dei tecnici di turno, a cui purtroppo non e' stata data carta bianca per mettere in sicurezza la rete anzitempo!
:muro: :boxe:

Direi di no, le patch critiche solitamente non vengono implementate fino al riavvio. Ma non è nemmeno detto che il tuo pc debba per forza di cose essere stato infettato anche se privo di aggiornamenti. Come c'è la sfiga, esiste anche il deretano ;)

hum ma non posso riavviarlo. :muro: :muro: si può installare il sp1 senza riavviare e non si possono installare le patch :confused:

Veramente, colpisce anche Windows XP Professional SP2. Finalmente ho capito perché il sistema spesso mi si riavvia. Le patch non servono a niente!

Ho in ogni caso messo a monitorare la porta 455 dal Firewall. Speriamo che finalmente mi si lasci stare.

Veramente, colpisce anche Windows XP Professional SP2.

Certamente!
Perche' e' un worm che sfrutta una recente falla scoperta dopo il rilascio del SP2.


Finalmente ho capito perché il sistema spesso mi si riavvia. Le patch non servono a niente!

Proobabilmente sei infetto, ma le patch servono eccome; se l'avevi gia' installata non saresti stato contagiato, e comunque ti conviene attivare quantomeno il Windows Firewall, se non ne hai gia' uno; con questo avresti evitato il contagio, se sei stato colpito tramite connessione diretta alla Rete.

Se invece l'hai contratto via posta o via web, allora il FW non avrebbe potuto nulla, ma solo l'AV aggiornato, o anche solo la patch, avrebbero potuto pararti il :ciapet:


Ho in ogni caso messo a monitorare la porta 455 dal Firewall. Speriamo che finalmente mi si lasci stare.
Chiudi quella porta, se non hai il tuo pc in rete locale con altri, e fatti una scansione di sistema con un AV aggiornato, dovresti risolvere.

Purtroppo AFAIK e' prassi dare diritti di local_admin agli utenti Win32.
:muro:

Di chi e' la colpa?
Dei sysadmin MCSE o del sw di Redmond?
:boh:
Di chi ha sviluppato il software senza tenere conto delle linee guida di MS per realizzare installazione e applicazioni che non hanno problemi con le utenze limitate... :muro:

Di chi ha sviluppato il software senza tenere conto delle linee guida di MS per realizzare installazione e applicazioni che non hanno problemi con le utenze limitate... :muro:
Vero!
Opzione non da scartare, anzi probabilmente e' la chiave di tutto!
:doh: :mano:

Forse pero' potrebbe anche essere vero che non e' sempre molto agevole seguirle, dubbio mio; a te che sei del settore, risulta nulla del genere?
:help:

CDS, per chi fosse interessato, curioso, ecc..., puo' leggere qua:
http://www.itvc.net/educational/Porta_445.htm

Bella storia... Anzi, bella per niente... Qualcuno sa dirmi se la patch fornita con questa news sia già inclusa nel Windows Update?

Sì. Lasciando Windows Update in automatico, ti s'installa da sola.

Occhio anche a questa nuova vulnerabilità per la quale ancora non ci sono patches:
http://www.theregister.co.uk/2005/08/19/0day_ie_exploit_fears/

Exploit for unpatched IE vuln fuels hacker fears
Microsoft is investigating an IE security bug amid fears that a hacker attack based on the vulnerability is imminent. A flaw in Microsoft DDS Library Shape Control COM object (msdds.dll) is at the centre of the security flap.

Security researchers warn that msdss.dll might be called from a webpage loaded by Internet Explorer and crash in such a way that allows hackers to inject potentially hostile code into vulnerable systems. That's because IE attempts to load COM objects found on a web page as ActiveX controls, as is the case with msdds.dll. A programming object is not supposed to be used in this way. So hackers might be able to take control of systems by tricking users into visiting a maliciously constructed web site. US-CERT warns that exploit code to do this is already available but Microsoft said it's not aware of any attacks.

No patch is available but Microsoft has posted a bulletin detailing possible workarounds. These include disabling ActiveX controls, setting the kill bit for msdds.dll and unregistering msdds.dll. Use of an alternative browser (such as Firefox, Opera) is also an option.

Msdds.dll is a .NET component not loaded onto Windows by default. But the COM object is reportedly installed as part of the following products: Microsoft Office XP, Microsoft Visual Studio .NET 2002, Microsoft Visual Studio .NET 2003 and Microsoft Office Professional 2003. That means there'll be a large number of potentially vulnerable systems.

The SANS Institute's Internet Storm Centre has upped its alert status to yellow because of concerns that "widespread malicious use of this vulnerability is imminent". The vulnerability was publicly disclosed by FrSIRT based on information it received from an anonymous source. Microsoft has criticised the "irresponsible" way the vulnerability came to light.

Occhio anche a questa nuova vulnerabilità per la quale ancora non ci sono patches:
http://www.theregister.co.uk/2005/08/19/0day_ie_exploit_fears/
Ottima segnalazione!
Comunque, non so voi, ma io per fortuna non ho necessita di usare/avere IE, ne' Office, VS e .NET.
:)

Vero!
Opzione non da scartare, anzi probabilmente e' la chiave di tutto!
:doh: :mano:
Lo è, IMHO. ;)
Forse pero' potrebbe anche essere vero che non e' sempre molto agevole seguirle, dubbio mio; a te che sei del settore, risulta nulla del genere?
:help:
E' talmente banale seguirle che spesso sfuggono, e purtroppo MS ha dovuto scrivere diverse pagine "di guida" per ribadire cose che, per un addetto ai lavori, dovrebbero essere a dir poco ovvie.
Nonostante ciò, i problemi continuano a persistere. :rolleyes:

Mi chiedo, ad esempio, come si può realizzare un programma che memorizza in HKEY_LOCAL_MACHINE informazioni che dovrebbero stare HKEY_CURRENT_USER... :muro:

Sì. Lasciando Windows Update in automatico, ti s'installa da sola.

Si allora sono a posto :winner:

Si allora sono a posto :winner:
Comunque se vuoi esserne sicuro, scaricati questa utility:

Microsoft UPnP MS05-039 Vulnerability Detection Utility (http://www.foundstone.com/resources/proddesc/MS05039Scan.htm)

oppure la MBSA (http://www.microsoft.com/technet/security/tools/mbsahome.mspx) di MS che e' anche piu' completa.

O, alla peggio, chiudi col FW la porta 445, se puoi, e vivi felice.
;)

Comunque se vuoi esserne sicuro, scaricati questa utility:

Microsoft UPnP MS05-039 Vulnerability Detection Utility (http://www.foundstone.com/resources/proddesc/MS05039Scan.htm)

oppure la MBSA (http://www.microsoft.com/technet/security/tools/mbsahome.mspx) di MS che e' anche piu' completa.

O, alla peggio, chiudi col FW la porta 445, se puoi, e vivi felice.
;)

Ciao grazie. Mi spieghi meglio che cos'è questo MBSA 2.0? Non ci ho capito molto e non ne ero a conoscenza. Da quello che ho capito sembra un tool addizionale per Windows Update per la verifica dello stato di sicurezza del sistema.. E' corretto? Ne esiste una versione in italiano? Thx ...

Ciao grazie. Mi spieghi meglio che cos'è questo MBSA 2.0? Non ci ho capito molto e non ne ero a conoscenza. Da quello che ho capito sembra un tool addizionale per Windows Update per la verifica dello stato di sicurezza del sistema.. E' corretto? Ne esiste una versione in italiano? Thx ...
Si, MBSA e' molto integrato con WinUpdate per la verifica delle patch, ma non solo.
Ti rileva anche diverse impostazioni di sistema che possono essere a rischio sicurezza, tipo password, servizi ed account attivi, impostazioni di servizi server tipo IIS e MS SQL, consigliandoti anche le procedure per hardenizzare l'ambiente ed i links agli articoli della KB da consultare per maggiori info.
Il tutto puo' essere fatto anche su eventuali altri host Windows della LAN.
Qui trovi una breve sintesi delle caratteristiche dell'ultima versione:
http://www.microsoft.com/technet/security/tools/mbsa2/datasheet.mspx
e qua una breve spiegazione di cio' che fa:
http://www.ilsoftware.it/articoli.asp?ID=1205&pag=5
Purtroppo pero' non mi risulta esistere in italiano, comunque e' abbastanza esplicativa gia' cosi'.

Si, MBSA e' molto integrato con WinUpdate per la verifica delle patch, ma non solo.
Ti rileva anche diverse impostazioni di sistema che possono essere a rischio sicurezza, tipo password, servizi ed account attivi, impostazioni di servizi server tipo IIS e MS SQL, consigliandoti anche le procedure per hardenizzare l'ambiente ed i links agli articoli della KB da consultare per maggiori info.
Il tutto puo' essere fatto anche su eventuali altri host Windows della LAN.
Qui trovi una breve sintesi delle caratteristiche dell'ultima versione:
http://www.microsoft.com/technet/security/tools/mbsa2/datasheet.mspx
e qua una breve spiegazione di cio' che fa:
http://www.ilsoftware.it/articoli.asp?ID=1205&pag=5
Purtroppo pero' non mi risulta esistere in italiano, comunque e' abbastanza esplicativa gia' cosi'.

Ok grazie.
A questo punto mi domando come mai non sia fornita a corredo del Windows Update e non la si faccia installare a tutti gli utenti... Sarebbe una delle poche utility realmente utili...

Ok grazie.
A questo punto mi domando come mai non sia fornita a corredo del Windows Update e non la si faccia installare a tutti gli utenti... Sarebbe una delle poche utility realmente utili...
:boh:
Forse perche' IMHO non hanno troppa voglia di sbattersi a localizzarlo in altre lingue differenti da quelle quattro gia' supportate; anche se non credo sia un'operazione titanica, quantomeno solo il sw.

Certo, integrare il tutto *anche* con i links agli articoli della KB eventualmente tradotti con gli stessi ''locales'' forse complica un po' di piu' le cose.
Diversamente sarebbe forse un po' disagevole per l'utenza media.

Difatti se non erro gli articoli della KB escono tradotti proprio in quelle quattro lingue (anche se nel tempo ne vengono fornite delle altre!); sara' una coincidenza?

PS: una cosa che mi sta sulle OO della MBSA e' che vuole attivi un po' troppi servizi per funzionare, specialmente in locale, come SMB, che sul mio pc (dove sono uso testare sw di ogni tipo, specialmente per la sicurezza!) sono stati abbondantemente segati proprio per motivi di sicurezza ed anche mancata necessita', dato che prevenire e' meglio che curare, ed in alcuni casi anche patchare!
:muro:

ma qualcuno capace è riuscito a metterlo in prova questo bug?
io ho provato a compilare l'exploit e lanciarlo ma ho ottenuto i seguenti risultati:

Pashu@linux:~/Desktop> ./prova 83.xxx.xxx.xx 7777

connecting to 83.xxx.xxx.xx:445...ok

null session...ok

bind pipe...ok

sending crafted packet...ok

check your shell on 83.xxx.xxx.xx:7777
Hertz@linux:~/Desktop>


poi ho scritto:
Pashu@linux:~/Desktop> netcat 83.xxx.xxx.xx 7777
Pashu@linux:~/Desktop>

ma come potete vedere mi ritorna il prompt invece di entrare nella shell di win.
che dite voi?