[NEWS] Grave falla in tutte le versioni di Windows

[c.m.g]

19 Luglio 2010 di Marco Giuliani

L’incubo delle pen drive USB (in gergo, le chiavette USB) infette è ormai una realtà da diversi anni. Basta spesso l’inserimento di una pen drive USB infetta in un sistema, per eseguire automaticamente il malware e infettare il sistema vittima. La causa di tutto ciò è la famigerata funzionalità di Windows denominata Autorun (o Autoplay) che permette di eseguire automaticamente delle operazioni – o file eseguibili – nel momento in cui un dispositivo rimovibile – quali cdrom o pen drive USB – viene collegato al sistema.

Questa funzionalità, proprio perché ampiamente abusata da malware – è stata disattivata di default in Windows 7 ma continua a mietere vittime nella moltitudine di sistemi Windows XP diffusi nel mondo. Anche nelle aziende, tutt’ora, è prassi comune disattivarla poiché causa primaria di infezioni.

Ora c’è un’altra minaccia di cui preoccuparsi tuttavia: è stata isolata da pochi giorni una falla 0-day (CVE-2010-2568) che colpisce trasversalmente tutte le versioni di Windows da XP a Windows 7 e che permette l’esecuzione automatica di qualsiasi libreria (dll) senza che essa venga effettivamente eseguita dall’utente.

La falla risiede in una gestione “errata” dei file LNK, dei file collegamento di Windows. Un file LNK volutamente malformato può forzare Windows a caricare in memoria un eventuale file nocivo. Ciò significa che un collegamento che magari potreste trovare in una pen drive USB in realtà è utilizzato per caricare un malware.

L’unica cosa che l’utente deve fare è aprire la finestra in Windows, ad esempio attraverso Risorse del computer, e nel momento in cui semplicemente si accede alla directory dove il file lnk è presente automaticamente Windows processerà il file e caricherà il file collegato.

Questa tipologia di attacco – prima sconosciuta – è stata individuata proprio durante un’analisi di alcuni malware da parte della società bielorussa VirusBlokAda Ltd. Malware che sembra siano stati utilizzati per degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, visti alcuni codici specifici presenti nelle loro stringhe.

Non mi è possibile rilasciare ulteriori informazioni tecniche su come la falla funzioni, sebbene online si possano trovare stralci di informazioni tecniche che possono aiutare a comprenderne il funzionamento. Quello che però posso dire è che non si tratta di una falla vera e propria, nel senso di un exploit in grado di sfruttare qualche errore di programmazione lato Microsoft tramite stack overflow, heap overflow o tecniche similari. In realtà questa falla sfrutta una funzionalità di Windows.

Da una analisi che ho effettuato oggi della falla è lecito pensare che sia più una leggerezza lato programmazione, una feature sviluppata senza pensare ai possibili rischi conseguenti, che non piuttosto un bug vero e proprio.

Non ci sono aggiornamenti disponibili per ora da parte di Microsoft, la quale sta analizzando il problema. Al momento, come consigliato anche dalla società di Redmond, è necessario disabilitare la visualizzazione delle icone nei file lnk.

La procedura è meglio specificata nel bollettino di sicurezza Microsoft 2286198, alla sezione Workarounds.







Fonte: PcalSicuro.com by Marco Giuliani

[c.m.g]

Le scorciatoie mettono a rischio Windows su punto informatico

Windows, il pericolo arriva via USB su webnews

Video falla 0-day Windows su pcalsicuro.com by Marco Giuliani

[c.m.g]

Microsoft Windows Shortcut 'LNK' Files Automatic File Execution Vulnerability su securityfocus

Microsoft Windows Shell Shortcut Parsing Vulnerability su secunia

[c.m.g]

Falla shortcut, un tampone per Windows su punto informatico

[nV 25]

può essere interessante vedere il problema anche dal lato degli strumenti di protezione proattiva, come sono in grado cioè di rispondere al PoC specificamente disegnato per simulare la stessa falla segnalata con il bollettino di sicurezza 2286198...

http://ssj100.fullsubject.com/securi...ution-t187.htm

Pur casereccio, il test consente di avere un'idea sufficientemente chiara di chi riesca a spuntarla...

Condizioni di test:
Account Administrator - OS: XP SP3 32-bit

Metodo di test A: via explorer... (è l'ipotesi più aderente a quello che avverrebbe nella realtà:
è sufficiente infatti aprire la cartella contenente l'exploit con explorer per attivarlo...)

Metodo di test B: via rundll32... (dopo aver trasformato il file "suckme.lnk_" in "suckme.lnk", eseguire manualmente il link con un doppio click del mouse...)

1 SRP
2 Faronics Anti-Executable 2
3 CIS 4.1.150349.920 (default configuration)
4 OA Premium 4.0.0.45 (default configuration)
5 Malware Defender 2.7.1 (default configuration)
6 Sandboxie 3.46
7 DefenseWall 3.04*
8 GeSWall 2.9 Professional
9 Returnil System Safe 2011 RC
10 AppGuard 1.4.7
11 PE GUARD 2.1
12 Prevx 3.0.5.179
13 Mamutu 2.0.0.22
14 BluePoint Security 2010 1.0.28.99


*Su DefenseWall, in realtà, e a dispetto di quanto dichiarato dallo stesso sviluppatore, c'è ancora qualcosa di non chiaro a proposito del metodo B:
allo stato, cmq, sembra essere fermo sulla sua posizione che (alla romana..) potrebbe tradursi con il "nun c'è probblema"...??
[L I N K!]

[c.m.g]

ultimi sviluppi:
Isolato il primo worm che utilizza la falla LNK su PcalSicuro.com by Marco Giuliani

È Stuxnet il nuovo Conficker? su punto informatico

[sampei.nihira]

Disponibile la patch.
Aggiornate.

[Draven94]

Quote:

Originariamente inviato da sampei.nihira

Disponibile la patch.
Aggiornate.

Fatto

[BonamiX]

Quote:

Originariamente inviato da sampei.nihira

Disponibile la patch.
Aggiornate.

Grazie.....sempre tempestivo....!Aggiorno......

[Unax]

se volete scaricare la patch manualmente potete fare riferimento a questo link

http://www.microsoft.com/technet/sec.../MS10-046.mspx

[sampei.nihira]

Non sò se avevate fatto caso che a patch Microsoft installata la versione 108 di Hitman visualizzava ancora in modo errato che il pc era in pericolo.
Tale "problema" è superato con l'attuale versione 109 (aggiornate quindi).
Oltretutto la casellina corrispondente (se avete installato la patch in questione) non risulta selezionabile.

[gabrib]

La patch va necessariamente scaricata manulamente o posso usare windows update??

[Chill-Out]

Quote:

Originariamente inviato da gabrib

La patch va necessariamente scaricata manulamente o posso usare windows update??

Se hai impostato gli aggiornamenti automatici la patch viene scaricata automaticamente.

[sampei.nihira]

Quote:

Originariamente inviato da deepdark

In ufficio usiamo ancora il sp2 aggiornato (quindi è come se fosse un sp3) visto che un software ha ben pensato di funzionare male con il sp3.

Ora, dato che non posso scaricare la patch, c'è possibilità di aggirare il problema per poterla installare?

Verifica se la patch di Hitman Pro (che funziona anche per Windows 2000) previo avviso di pericolosità del pc ti sia disponibile e poi abilita la corrispondente casellina.

[gabrib]

Quote:

Originariamente inviato da Chill-Out

Se hai impostato gli aggiornamenti automatici la patch viene scaricata automaticamente.

Grazie!

[Chill-Out]

Quote:

Originariamente inviato da gabrib

Grazie!

Prego

[GmG]

Quote:

Originariamente inviato da deepdark

Ti ringrazio per la risposta ma vorrei evitare qualcosa di non ufficiale poichè i programmi che uso sono molto sensibili alle modifiche di registro e configurazione.

Se fosse possibile installare la patch sarebbe meglio, anche se non è detto che non mi dia problemi.

http://www.f-secure.com/weblog/archives/00002005.html