News - Possibile nuova vulnerabilità in Windows XP / 2003

**Chill-Out** · 17-10-2007, 11:52

Durante il fine settimana l'esperto di sicurezza Elia Florio per conto di Symantec, ha scoperto un nuovo ed interessante esempio di sfruttamento di una vulnerabilità ancora non documentata in Windows XP SP1 e SP2 e Windows 2003. La vulnerabilità consentirebbe ad un utente con account limitato di ottenere una "SYSTEM shell" con previlegi più elevati, attualmente Windows Vista sembra immune da questo problema. Ovviamente la vulnerabilità è stata notificata a Microsoft, la quale sostiene di essere già a conoscenza del problema in quanto il componente incriminato è un driver installato di default nella cartella \i386........

Per maggiori dettagli si rimanda all'articolo in lingua inglese

Fonte: Symantec Security Reponse
Link alla notizia: http://www.symantec.com/enterprise/s...exploit_i.html

xcdegasp · 17-10-2007, 12:02

vedremo quanto impiegheranno a sanare quella falla...

**Chill-Out** · 17-10-2007, 12:06

Quote:

Originariamente inviato da xcdegasp

vedremo quanto impiegheranno a sanare quella falla...

è meglio non scommettere, rischiamo di rovinarci

c.m.g · 17-10-2007, 14:01

visto che non si sta sicuri nemmeno con account limitati?

comunque bella notizia socio, sai colpire sempre nel segno!

Blue Spirit · 17-10-2007, 15:04

Quote:

Originariamente inviato da c.m.g

visto che non si sta sicuri nemmeno con account limitati?

bhe, da quel che dicono non è sfruttabile in remoto ma solo localmente, per cui la buona norma di collegarsi ad internet solo con account limitati continua a valere...

lucas84 · 17-10-2007, 15:42

Quote:

Originariamente inviato da Blue Spirit

bhe, da quel che dicono non è sfruttabile in remoto ma solo localmente, per cui la buona norma di collegarsi ad internet solo con account limitati continua a valere...

Ma il giovanotto ha un modo tutto suo per capire le cose, il link dice anche un altra cosa riferito agli utenti home

**Chill-Out** · 17-10-2007, 15:44

Quote:

Originariamente inviato da Blue Spirit

bhe, da quel che dicono non è sfruttabile in remoto ma solo localmente, per cui la buona norma di collegarsi ad internet solo con account limitati continua a valere...

diciamo che l'articolo si presta ad entrambe le interpretazioni, vedi prima e seconda parte dell'articolo quando si riferisce agli amministratori.

lucas84 · 17-10-2007, 15:49

Quote:

Originariamente inviato da Chill-Out

diciamo che l'articolo si presta ad entrambe le interpretazioni, vedi prima e seconda parte dell'articolo quando si riferisce agli amministratori.

L'articolo dice che è possibile exploitare solo in certe circostanze e bisogna avere certi requisiti, se viene a mancare un requisito o una circostanza non è + possibile exploitare, gli utenti home pare che siano meno esposti al problema, se si rivolge maggiormente alle aziende un motivo ci sarà

**Chill-Out** · 17-10-2007, 15:52

Quote:

Originariamente inviato da lucas84

L'articolo dice che è possibile exploitare solo in certe circostanze e bisogna avere certi requisiti, se viene a mancare un requisito o una circostanza non è + possibile exploitare, gli utenti home pare che siano meno esposti al problema, se si rivolge maggiormente alle aziende un motivo ci sarà

era per questo che citavo la prima e la seconda parte dell'articolo, quindo non ho capito se concordi col mio pensiero o no.

lucas84 · 17-10-2007, 15:58

Quote:

Originariamente inviato da Chill-Out

era per questo che citavo la prima e la seconda parte dell'articolo, quindo non ho capito se concordi col mio pensiero o no.

il mio post non era riferito a te, ti ho quotato solo perchè mi sono ricollegato a quello che dicevi tu, ho letto l'articolo e mi sono fatto un' idea mia, se qualuno smentisce o modifica quello che è stato detto li me ne farò un altra, secondo me ci sono troppe poche notizie per farsi un idea precisa del problema e pochi dettagli.

Ciao

**Chill-Out** · 07-11-2007, 22:08

La vulnerabilita è inerente ad una falla nel DRM di Windows più precisamente alla tecnologia SafeDisc di Macrovison che è parte integrante dei sistemi operativi Windows 2003 - XP e Vista. Nello specifico il file incriminato è il seguente:
"secdrv.sys" la società di Sicurezza Secunia ha classificato la vulnerabilità come "less critical", mentre la stessa Microsoft in un comunicato rilasciato Lunedì ha affermato che sono già in corso attacchi per sfruttare questa ennesima vulnerabilità, la società ha inoltre annunciato il rilascio di una patch per Martedi 13 Novembre.

Fonte: Vnunet.com
Link alla notizia in lingua Inglese: http://www.vnunet.com/vnunet/news/22...rget-unpatched

riazzituoi · 07-11-2007, 22:36

.

eraser · 08-11-2007, 00:38

Purtroppo la vulnerabilità è stata "scoperta" il 16 Ottobre e l'exploit è pubblico e conosciuto dal 17 Ottobre scorso.

c.m.g · 08-11-2007, 10:19

un approfondimento:

security_response/weblog/2007/10/privilege_escalation_exploit_i.html"]aveva reso di pubblico dominio[/url] a metà ottobre, è contenuta nel driver SafeDisc (secdrv.sys) di Macrovision, una tecnologia utilizzata per proteggere i dischi contenenti giochi o altro genere di software. Sebbene tale driver sia incluso anche in Windows Vista, Microsoft afferma che questo sistema operativo è immune dal problema.

"Siamo a conoscenza di un limitato numero di attacchi che tentano di far leva sulla vulnerabilità da noi segnalata", si legge nell'advisory di BigM. L'azienda spiega tuttavia che la debolezza può essere sfruttata esclusivamente da un aggressore che abbia accesso localehttp://www.macrovision.com/promolanding/7352.htm al sistema: tale limitazione ha indotto Secunia a classificare il problema come "less critical", il secondo dei cinque livelli di gravità previsti dalla società danese. L'elevazione dei privilegi in locale è una minaccia modesta per i sistemi desktop, ma senza dubbio più seria per i server aziendali.

Sebbene Microsoft non abbia ancora rilasciato una patch per questa vulnerabilità, sul sito di Macrovision è possibile scaricare un aggiornamento al driver incriminato: per installarlo occorre cliccare col tasto destro del mouse sul file ".inf" e selezionare Installa.

C'è chi sostiene da tempo che il driver di Macrovision sia intrinsecamente insicuro, e questo al di là della vulnerabilità scoperta di recente.

"Oltre ad attivare la protezione dalla copia, il driver assicura all'applicazione che sta girando l'accesso al ring 0 (ossia gli stessi privilegi di cui gode il kernel di Windows, NdR)", si legge in questo articolo di Wikipedia dedicato alla tecnologia SafeDisc. "Ciò rappresenta un potenziale rischio per la sicurezza, dal momento che cavalli di Troia e altri malware potrebbero utilizzare il driver per ottenere l'accesso alla macchina con privilegi di amministrazione, e questo persino se i programmi stanno girando con un account limitato".

Fonte: Punto Informatico

sampei.nihira · 08-11-2007, 17:02

Io naturalmente aggiornerò il bug con la patch rilasciata come tutti del resto ma credo (come sempre) che usare un account limitato con Windows,naturalmente s'intende con s.o. fino ad XP, sia più problematico della sicurezza intrinseca che offre questo metodo.
Ed infatti ho sempre preferito navigare riducendo i privilegi del browser e non con account limitato.
Naturalmente la sicurezza (io la chiamo intrinseca è un gradino superiore) ma non sarà mai elevata oltre un certo limite fino a che useremo un s.o. pieno di bugs.
Forse è anche questa la molla per cui prima o poi un utente windows che ama la sicurezza prova un sistema linux.

Meditate gente...meditate !!

17-10-2007, 11:52	#1
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	News - Possibile nuova vulnerabilità in Windows XP / 2003 Durante il fine settimana l'esperto di sicurezza Elia Florio per conto di Symantec, ha scoperto un nuovo ed interessante esempio di sfruttamento di una vulnerabilità ancora non documentata in Windows XP SP1 e SP2 e Windows 2003. La vulnerabilità consentirebbe ad un utente con account limitato di ottenere una "SYSTEM shell" con previlegi più elevati, attualmente Windows Vista sembra immune da questo problema. Ovviamente la vulnerabilità è stata notificata a Microsoft, la quale sostiene di essere già a conoscenza del problema in quanto il componente incriminato è un driver installato di default nella cartella \i386........ Per maggiori dettagli si rimanda all'articolo in lingua inglese Fonte: Symantec Security Reponse Link alla notizia: http://www.symantec.com/enterprise/s...exploit_i.html __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 17-10-2007 alle 17:18.

17-10-2007, 12:02	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	vedremo quanto impiegheranno a sanare quella falla... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

17-10-2007, 14:01	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	visto che non si sta sicuri nemmeno con account limitati? comunque bella notizia socio, sai colpire sempre nel segno! Ultima modifica di c.m.g : 17-10-2007 alle 14:48.

07-11-2007, 22:08	#11
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Aggiornamento - Possibile nuova vulnerabilità in Windows XP / 2003 La vulnerabilita è inerente ad una falla nel DRM di Windows più precisamente alla tecnologia SafeDisc di Macrovison che è parte integrante dei sistemi operativi Windows 2003 - XP e Vista. Nello specifico il file incriminato è il seguente: "secdrv.sys" la società di Sicurezza Secunia ha classificato la vulnerabilità come "less critical", mentre la stessa Microsoft in un comunicato rilasciato Lunedì ha affermato che sono già in corso attacchi per sfruttare questa ennesima vulnerabilità, la società ha inoltre annunciato il rilascio di una patch per Martedi 13 Novembre. Fonte: Vnunet.com Link alla notizia in lingua Inglese: http://www.vnunet.com/vnunet/news/22...rget-unpatched __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 07-11-2007 alle 23:29.

07-11-2007, 22:36	#12
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 16:10.

08-11-2007, 00:38	#13
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Purtroppo la vulnerabilità è stata "scoperta" il 16 Ottobre e l'exploit è pubblico e conosciuto dal 17 Ottobre scorso. __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

08-11-2007, 10:19	#14
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] SafeDisc non è safe per Windows un approfondimento: security_response/weblog/2007/10/privilege_escalation_exploit_i.html"]aveva reso di pubblico dominio[/url] a metà ottobre, è contenuta nel driver SafeDisc (secdrv.sys) di Macrovision, una tecnologia utilizzata per proteggere i dischi contenenti giochi o altro genere di software. Sebbene tale driver sia incluso anche in Windows Vista, Microsoft afferma che questo sistema operativo è immune dal problema. "Siamo a conoscenza di un limitato numero di attacchi che tentano di far leva sulla vulnerabilità da noi segnalata", si legge nell'advisory di BigM. L'azienda spiega tuttavia che la debolezza può essere sfruttata esclusivamente da un aggressore che abbia accesso localehttp://www.macrovision.com/promolanding/7352.htm al sistema: tale limitazione ha indotto Secunia a classificare il problema come "less critical", il secondo dei cinque livelli di gravità previsti dalla società danese. L'elevazione dei privilegi in locale è una minaccia modesta per i sistemi desktop, ma senza dubbio più seria per i server aziendali. Sebbene Microsoft non abbia ancora rilasciato una patch per questa vulnerabilità, sul sito di Macrovision è possibile scaricare un aggiornamento al driver incriminato: per installarlo occorre cliccare col tasto destro del mouse sul file ".inf" e selezionare Installa. C'è chi sostiene da tempo che il driver di Macrovision sia intrinsecamente insicuro, e questo al di là della vulnerabilità scoperta di recente. "Oltre ad attivare la protezione dalla copia, il driver assicura all'applicazione che sta girando l'accesso al ring 0 (ossia gli stessi privilegi di cui gode il kernel di Windows, NdR)", si legge in questo articolo di Wikipedia dedicato alla tecnologia SafeDisc. "Ciò rappresenta un potenziale rischio per la sicurezza, dal momento che cavalli di Troia e altri malware potrebbero utilizzare il driver per ottenere l'accesso alla macchina con privilegi di amministrazione, e questo persino se i programmi stanno girando con un account limitato". Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

08-11-2007, 17:02	#15
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Io naturalmente aggiornerò il bug con la patch rilasciata come tutti del resto ma credo (come sempre) che usare un account limitato con Windows,naturalmente s'intende con s.o. fino ad XP, sia più problematico della sicurezza intrinseca che offre questo metodo. Ed infatti ho sempre preferito navigare riducendo i privilegi del browser e non con account limitato. Naturalmente la sicurezza (io la chiamo intrinseca è un gradino superiore) ma non sarà mai elevata oltre un certo limite fino a che useremo un s.o. pieno di bugs. Forse è anche questa la molla per cui prima o poi un utente windows che ama la sicurezza prova un sistema linux. Meditate gente...meditate !!

Strumenti
Mostra una versione stampabile Invia questa pagina per email