Windows, scoperta una falla 0day sfruttata da attori governativi per 8 anni

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ni_136800.html

Una falla su Windows, nota come ZDI-CAN-25373, è stata utilizzata per anni da gruppi di hacker supportati da governi di Corea del Nord, Iran, Russia e Cina. Microsoft non ha ancora rilasciato una patch per risolvere il problema.

Click sul link per visualizzare la notizia.

[frankie]

vista la risposta mi vien proprio da dire che lo sappiamo, non è un bug, ma una feature che serve a qualcuno.

[aqua84]

ma come fanno a sapere che lo sfruttavano dal 2017??

o comunque in generale quando trovano dei bug, come fanno a sapere DA QUANTO li sfruttano??

[sbaffo]

proprio da qualche settimana quando lancio un gioco mi viene il popup di Defender che dice che sta partendo un file che non c'entra nulla, gli dico di chiuderlo e parte il gioco. ho cercato il nome del file su google ("cmdlineextinstaller.exe") ma non ho trovato risposte esaurienti, cercato sul pc non esiste, avevo il dubbio di essere infestato da un virus che modifica/intercetta i link, ma ho fatto ripetute scansioni sia con defender che con avast partendo anche partendo da altro hd e nulla.
Ora leggo questa news e mi torna il dubbio...

Lanciando altri giochi mi vengono altre stranezze, una finestra che mi chiede di aggiornare gli .ini del gioco, mah.
Mi sa che sono sotto controllo.
Ma tanto non ho niente da nascondere, e non uso l'internet banking.

Quote:

Originariamente inviato da frankie

vista la risposta mi vien proprio da dire che lo sappiamo, non è un bug, ma una feature che serve a qualcuno.

Appunto, risposta incredibile.

[destroyer85]

Praticamente la vulnerabilità starebbe nella possibilità di mettere abbastanza caratteri vuoti (spazi tab etc...) in modo che gli argomenti non siano visibili a chi apre il collegamento.
Sopra un certo numero di caratteri il controllo che cancella i caratteri superflui fallisce e non si vedono.

Uno che fa il crack di un software potrebbe semplicemente modifcare l'installer in modo che crei l'icona con il payload invece di iniettare il suo codice in una dll.

[destroyer85]

Quote:

Originariamente inviato da sbaffo

proprio da qualche settimana quando lancio un gioco mi viene il popup di Defender che dice che sta partendo un file che non c'entra nulla, gli dico di chiuderlo e parte il gioco. ho cercato il nome del file su google ("cmdlineextinstaller.exe") ma non ho trovato risposte esaurienti, cercato sul pc non esiste, avevo il dubbio di essere infestato da un virus che modifica/intercetta i link, ma ho fatto ripetute scansioni sia con defender che con avast partendo anche partendo da altro hd e nulla.
Ora leggo questa news e mi torna il dubbio...

Lanciando altri giochi mi vengono altre stranezze, una finestra che mi chiede di aggiornare gli .ini del gioco, mah.
Mi sa che sono sotto controllo.
Ma tanto non ho niente da nascondere, e non uso l'internet banking.


Appunto, risposta incredibile.

Sembra essere legato a SecyROM
https://calipip-sims.com/tag/cmdlineextinstaller-exe/

[sbaffo]

Quote:

Originariamente inviato da destroyer85

Praticamente la vulnerabilità starebbe nella possibilità di mettere abbastanza caratteri vuoti (spazi tab etc...) in modo che gli argomenti non siano visibili a chi apre il collegamento.
Sopra un certo numero di caratteri il controllo che cancella i caratteri superflui fallisce e non si vedono.

Uno che fa il crack di un software potrebbe semplicemente modifcare l'installer in modo che crei l'icona con il payload invece di iniettare il suo codice in una dll.

In effetti ho provato a lanciare direttamente l'exe del gioco dalla cartella di installazione e spunta lo stesso avviso...
Ma solo su Win10 64bit, su Win 8.1 32 bit non succede (stesso gioco, stesso installer)

[sbaffo]

Quote:

Originariamente inviato da destroyer85

Sembra essere legato a SecyROM
https://calipip-sims.com/tag/cmdlineextinstaller-exe/

grazie, io avevo trovato solo forum che dicevano di disabilitare l'UAC ma mi sono ben guardato dal farlo...

Comunque ho cercato la chiave nel registro come da link e non c'è, anche perchè ho installato solo demo, non credo avessero la securom. Più tardi comunque provo la procedura del link.
Grazie.

[Gringo [ITF]]

Inizialmente c'era BackOrifice...con la sua Mucchina vista di dietro, poi il governo chiese più discrezione e furono introdotto Norton, sgammato di brutto dopo l'acquisizione di PGP e l'introduzione della scansione dei dischi silente con invio a mamma, poi venne introdotto il sistema via Hardware, tipico di Spectre e Meltdown..
Ma si erano solo BUG.... ti contavano i peli sul Culo ma erano tutti BUG.
La smettessero e liberassero Edward Snowden, tanto si sa che fanno cosa vogliono, pure FIREFOX nel 2025 si trasforma in uno SPYWARE.... e la strada.....
.....ma almeno lui te lo dice..... ti impedirò di navigare dove non mi và, invierò tutto ai server che ne faranno richiesta ....ecc....

[sbaffo]

Quote:

Originariamente inviato da Gringo [ITF]

Inizialmente c'era BackOrifice...con la sua Mucchina vista di dietro, poi il governo chiese più discrezione e furono introdotto Norton, sgammato di brutto dopo l'acquisizione di PGP e l'introduzione della scansione dei dischi silente con invio a mamma, poi venne introdotto il sistema via Hardware, tipico di Spectre e Meltdown..
Ma si erano solo BUG.... ti contavano i peli sul Culo ma erano tutti BUG.
La smettessero e liberassero Edward Snowden, tanto si sa che fanno cosa vogliono, pure FIREFOX nel 2025 si trasforma in uno SPYWARE.... e la strada.....
.....ma almeno lui te lo dice..... ti impedirò di navigare dove non mi và, invierò tutto ai server che ne faranno richiesta ....ecc....

questa non me la ricordo, puoi rinfrescarci velocemente la memoria?

@destroyer85
lanciato il file del link (anche se il link non funzionava l'ho trovato sul sito originale Securom) e non ha trovato nulla, forse anche perchè è roba di 15 anni fa pre Win10 (file del 2008), o forse perchè davvero non è quello.
Boh.

EDIT: il file esatto era "CmdLineExtInstallerExe.exe", il doppio exe finale sembra proprio puzzare di virus...

[UtenteHD]

Quote:

Originariamente inviato da frankie

vista la risposta mi vien proprio da dire che lo sappiamo, non è un bug, ma una feature che serve a qualcuno.

Eh leggendo Te lo fa pensare.. viva le feature!

Per altro Utente che segnalava che a volte gli apparivano o appaiono avvii strani da file exe fidati, a volte, direi 5 volte in tot anni, mi e' apparsa segnalazione di file exe fidato cercare di avere accesso per modifica (360 total security e' molto pignolo a riguardo) sempre negato e mai avuto problemi, sicuramente erano legittimi, ma una delle regole principali e' se una cosa non sai che sia, non farla.

[destroyer85]

Non sono sicuro di aver capito cosa volevi dire (perché l'hai scritto da cani) ma sono sicuro che l'UAC avrebbe avuto lo stesso stesso effetto di 360 total security senza bisogno di avere un programma che gira a livello del kernel che rallenta tutte le chiamate.

[sbaffo]

Quote:

Originariamente inviato da UtenteHD

Eh leggendo Te lo fa pensare.. viva le feature!

Per altro Utente che segnalava che a volte gli apparivano o appaiono avvii strani da file exe fidati, a volte, direi 5 volte in tot anni, mi e' apparsa segnalazione di file exe fidato cercare di avere accesso per modifica (360 total security e' molto pignolo a riguardo) sempre negato e mai avuto problemi, sicuramente erano legittimi, ma una delle regole principali e' se una cosa non sai che sia, non farla.

Anche io lo nego quando la UAC me lo dice (in rosso, dice che è un pericolo, non che chiede autorizzazioni come al solito), ma in teoria poi non dovrebbe partire il programma... invece parte.

il finale doppio "exe.exe" che non avevo notato (edit sopra), e il fatto che il file non c'è nella location indicata dalla uac (user/appdata/local/temp) nè in altre, mi lasciano perplesso. Più che fare scanvinrus di tutto C non so che fare, ma leggendo che la vulnerabilità è appena stata scoperta probabilmente gli av non lo riconoscono ancora.
Quanto bisogna aspettare di solito perchè arrivi nelle firme degli av?