Due 0day exploit usati insieme impensieriscono gli esperti di sicurezza

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/due-0day-...zza_34919.html

Due 0day Exploit documentati online e ancora irrisolti potrebbero creare problemi in ambiti aziendali

Click sul link per visualizzare la notizia.

[Paganetor]

han fatto la combo?

[WarDuck]

Quote:

[..]Ora, ipotizziamo che venga eseguita una payload in grado di installare sul PC un piccolo webserver, il tutto reso possibile dall'exploit relativo a mscorie.dll. Ipotizziamo poi che tale web server, presente in locale sulla macchina e quindi utilizzato dal browser non in Protected Mode, metta a disposizione lo stesso codice malware.[..]

L'installazione del webserver potrebbe avvenire solo da locale però (quantomeno sfruttando IE), perché come avete giustamente detto di default sulla rete internet è attivo il Protected Mode, a meno di usare altri mezzi.

Comunque se una rete aziendale è configurata a dovere sarebbe comunque difficile sfruttare questo exploit: i client usano solo ed unicamente privilegi non amministrativi (in reti configurate bene).

[eraser]

Quote:

Originariamente inviato da WarDuck

L'installazione del webserver potrebbe avvenire solo da locale però (quantomeno sfruttando IE), perché come avete giustamente detto di default sulla rete internet è attivo il Protected Mode, a meno di usare altri mezzi.

Comunque se una rete aziendale è configurata a dovere sarebbe comunque difficile sfruttare questo exploit: i client usano solo ed unicamente privilegi non amministrativi (in reti configurate bene).

Un semplice webserver funziona anche a livello di integrità low, lo può fare tranquillamente qualsiasi payload inizializzato dal primo exploit che permetterebbe di eseguire il codice seppur in modalità protetta.

Appunto perché utilizzano privilegi non amministrativi è pericolosa la cosa. Con il primo exploit eseguito da remoto e da locale si ottengono i privilegi dell'utente standard (sebbene limitato). Con il secondo exploit si ottengono i privilegi amministrativi. Ovviamente teoricamente, non ci sono attacchi in the wild al momento che sfruttano questa combinazione

[djfix13]

...resta sempre l'amaro in bocca quando è proprio ( e sempre) il browser Microsoft a lasciar le strade più assurde aperte ai malware...poi dite che non bisogna usare altri Browser al posto di IE ??? ....e ricordiamo come il 50% degli utenti usi ancora IE...

[Chukie]

Quote:

Originariamente inviato da djfix13

...resta sempre l'amaro in bocca quando è proprio ( e sempre) il browser Microsoft a lasciar le strade più assurde aperte ai malware...poi dite che non bisogna usare altri Browser al posto di IE ??? ....e ricordiamo come il 50% degli utenti usi ancora IE...

veramente sia Firefox che Opera non prevedono al momento nessun sistema di sandboxing, il che significa che un'eventuale falla nel codice del browser e/o in uno dei plugin farebbe immediatamente danni.
Internet Explorer e Chrome sono i browser al momento più sicuri by design

[WarDuck]

Quote:

Originariamente inviato da eraser

Un semplice webserver funziona anche a livello di integrità low, lo può fare tranquillamente qualsiasi payload inizializzato dal primo exploit che permetterebbe di eseguire il codice seppur in modalità protetta.

Una volta creato il web server, il payload dovrebbe aprire il link e quindi IE sempre in low integrity mode o sbaglio?

Comunque correggimi se sbaglio, un firewall avanzato o un antivirus con modulo HIPS dovrebbe rilevare la creazione di un web server (e quindi l'apertura di una porta in locale in listening).

Quote:

Originariamente inviato da eraser

Appunto perché utilizzano privilegi non amministrativi è pericolosa la cosa. Con il primo exploit eseguito da remoto e da locale si ottengono i privilegi dell'utente standard (sebbene limitato). Con il secondo exploit si ottengono i privilegi amministrativi. Ovviamente teoricamente, non ci sono attacchi in the wild al momento che sfruttano questa combinazione

Chiaro.

[eraser]

Quote:

Originariamente inviato da WarDuck

Una volta creato il web server, il payload dovrebbe aprire il link e quindi IE sempre in low integrity mode o sbaglio?

Non sbagli. Il problema è che nel momento in cui Internet Explorer riconosce il sito web come localizzato nella Intranet, passa automaticamente a livello di integrità medio (se la zona Intranet è attivata, come specificato nell'articolo)

Quote:

Comunque correggimi se sbaglio, un firewall avanzato o un antivirus con modulo HIPS dovrebbe rilevare la creazione di un web server (e quindi l'apertura di una porta in locale in listening).

Teoricamente dovrebbe farlo, sì

[riazzituoi]

.

[eraser]

Quote:

Originariamente inviato da riazzituoi

Per evadere dal protected mode di IE basta un semplice file html locale...

Si, il problema è farlo eseguire da un livello di integrità basso in automatico. IELaunchURL() è eseguibile da livello di integrità basso, ma - se non ricordo male - filtra l'apertura di file locali. Di sicuro invece non filtra l'apertura di un sito web locale che ha un URL standard

[share_it]

Ironica la pubblicità di IE attorno all'articolo, quando lo sappiamo tutti che storicamente conviene usare altri browser. LOL

[Perseverance]

Tanto prima o poi qualcuno lo dirà...ma se si disattivano i CSS, i Javascript e compagnia bella usando anche plugin per i browser che fanno questo...dov'è il rischio?

Altra cosa che non ho capito è come avviene l'infezione, qualcuno me lo può spiegare?