[NEWS] Falla DLL, Microsoft ora sa tutto

[Chill-Out]

Martedì 24 Agosto 2010

Confermata ufficialmente la vulnerabilità anticipata da HD Moore. Il problema era noto, ma ora cambiano le modalità con cui si può sfruttare. Disponibile un primo walkaround, che però non risolve il problema


Roma - Con un advisory, Microsoft ha reso noto di essere a conoscenza della vulnerabilità DLL descritta la scorsa settimana da due differenti team di analisti di sicurezza. Redmond precisa che la vulnerabilità non riguarda specificamente un proprio prodotto, ma che l'advisory è stato diramato per portare a conoscenza del maggior numero di utenti e admin possibili del nuovo vettore d'attacco individuato e ora divulgato da quelli di Metasploit/Rapid7.

Secondo i tecnici di BigM, il problema del "binary planting" (ovvero del caricamento di librerie al volo, in questo caso DLL, contenenti payload pericolosi) è comune a molte piattaforme - viene citato UNIX. La differenza rispetto alla modalità classica, e meno pericolosa, di attacco in questo caso risiede nel metodo: in luogo del caricamento della DLL dalla memoria locale, l'utente può essere indotto a eseguire delle operazioni del tutto lecite avviando però il caricamento della libreria da una memoria condivisa e/o remota. Anche gli antivirus, in queste circostanze, potrebbero rivelarsi inefficaci.....continua


Autore: Luca Annunziata

Fonte: Punto Informatico

[sampei.nihira]

Le softhouse iniziano a patchare alcuni sw vulnerabili.
Ad esempio VLC,uTorrent.....
Aggiornate quindi.

p.s. Enne ti meravigli ancora della mancanza di interesse che hai scritto altrove ?
Io mi meraviglio che non pervade ancora quei pochi (anzi meno) che ancora "reggono" !!

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

p.s. Enne ti meravigli ancora della mancanza di interesse che hai scritto altrove ?
Io mi meraviglio che non pervade ancora quei pochi (anzi meno) che ancora "reggono" !!

***EDIT***

non era difficile, ma ci sono arrivato solo alcuni minuti dopo...

[FulValBot]

mmm che altro devo aggiornare?

edit: ottimo, anche steam ha sto problema

[sampei.nihira]

Quote:

Originariamente inviato da FulValBot

mmm che altro devo aggiornare?

edit: ottimo, anche steam ha sto problema

Se ero indovino (cioè conoscevo anche i sw che hai installato tu ) a quest'ora avevo fatto il 6 al superenalotto !!

Ma purtroppo sono solo un semplice pescatore......

http://www.exploit-db.com/search/

Nel link sopra a description metti "dll" e poi clicca su "search" vedi i sw che hai installato (eventualmente) tu e se naturalmente sono uscite nuove versioni che patchano il bug.

Buona ricerca !!

[FulValBot]

cioè i browser, skype e molte altre cose sono ancora fallate!!

[Blue Spirit]

Quote:

Originariamente inviato da FulValBot

cioè i browser, skype e molte altre cose sono ancora fallate!!

si, è una catastrofe è altamente consigliato applicare i workaround proposti da ms (disabiltare il servizio webclient e introdurre la nuova chiave di registro cwdillegaindllsearch) perchè prima che siano tutti patchati, passerà non poco tempo...

[c.m.g]

correlata:
VLC ripara vulnerabiltà per Windows su punto informatico

[FulValBot]

stavo pensando, e i driver delle periferiche come stanno messi???

[sampei.nihira]

Con l'entusiasmo della patch DLL risolta per i browser ci siamo dimenticati di scrivere che anche Thunderbird ha risolto questo problema.
Se avete quindi una versione vecchia aggiornate all'attuale 3.1.3.

[GmG]

Per tenere d'occhio la situazione

http://secunia.com/advisories/window...brary_loading/

[FulValBot]

io nel frattempo dovrei essere totalmente al sicuro xkè avevo messo un update disponibilenel sito ms (non su w.u.), e una chiave di registro disponibile nello stesso link.

andate a vedere http://support.microsoft.com/kb/2264107

la chiave va settata col valore 2 per evitare qualunque problema e rimanere cmq al sicuro.

e va messa solo dopo aver installato l'update.

[sampei.nihira]

Noto che l'argomento sia interessante,quindi a tal proposito una considerazione.
Spesso mi sono sentito "solo" quale utente che preferisce usare ,per i PDF, Foxit al posto del "preferito" dalla maggioranza del forum, cioè, PDF-XChange Viewer.
Ebbene quest'ultimo sw è ancora vulnerabile.
Non mi meraviglia.
Il team di Foxit, nel tempo, è sempre stato veloce a fixare eventuali problemi.
Io continuerò imperterrito a preferire Foxit che oltretutto non è mai stato vulnerabile a questo problema.

p.s. Per la cronaca io attualmente non ho sw installati vulnerabili al bug DLL e quelli che uso che sono stati più a lungo vulnerabili (cioè Opera e Thundebird) li usavo sotto Sandboxie..........

[Chill-Out]

Anche l'ultima versione di Flash Player 10.1.82.76 è vulnerabile a questo attacco.

http://seclists.org/fulldisclosure/2010/Sep/175

[sampei.nihira]

Quote:

Originariamente inviato da Chill-Out

Anche l'ultima versione di Flash Player 10.1.82.76 è vulnerabile a questo attacco.

http://seclists.org/fulldisclosure/2010/Sep/175

Sia Secunia che Exploit Database tacciono.

Ho provato (già che c'ero) il Poc con Panda Cloud che ho installato per primo e successivamente ho aggiunto Immunet 2.
Sembra che i 2 prodotti cloud si tollerano,anche se suggerisco ulteriori prove.
Con il poc sopra interviene per primo almeno dal report a bonificare il OS,e quindi in via esclusiva Panda Cloud.

[c.m.g]

correlata:
Microsoft difende i PDF (e Adobe) su punto informatico

[Blue Spirit]

Quote:

Originariamente inviato da FulValBot

io nel frattempo dovrei essere totalmente al sicuro xkè avevo messo un update disponibilenel sito ms (non su w.u.), e una chiave di registro disponibile nello stesso link.

andate a vedere http://support.microsoft.com/kb/2264107

la chiave va settata col valore 2 per evitare qualunque problema e rimanere cmq al sicuro.

e va messa solo dopo aver installato l'update.

una cosa che non mi è chiara: l'update crea la chiave di registro, che poi va settata come si preferisce (in questo caso, meglio 2 ), quindi uno può anche fare tutto da solo creando la voce a mano senza alcun bisogno del tool automatico?

[FulValBot]

Quote:

Originariamente inviato da Blue Spirit

una cosa che non mi è chiara: l'update crea la chiave di registro, che poi va settata come si preferisce (in questo caso, meglio 2 ), quindi uno può anche fare tutto da solo creando la voce a mano senza alcun bisogno del tool automatico?

sbagliato, la chiave l'update non la crea...

[sampei.nihira]

Non sò se avete fatto caso che un sw come Microsoft Office 2010 è ancora affetto da questa vulnerabiltà.
Qualcun potrebbe dire:

"Che m'importa io uso Open Office 3.2.1 "

Che però soffre ugualmente di una vulnerabilità allo stesso livello di criticità di Microsoft Office 2010 classificata da Secunia in "zona rossa",da remoto,ovviamente non patchata anche nella ultima versione 3.2.1 tal altro che riguarda Impress (se non ricordo male) scoperta da Charlie Miller !!

[BonamiX]

Praticamente uno quando accende il PC deve prendersi un' oretta comoda comoda per cercare cosa aggiornare e poi aggiornare, buon lavoro a tutti!
Purtroppo è cosi'.........,colgo l' occasione per dire grazie agli utenti che ogni giorno segnalano problemi e relative soluzioni fra i quali c.m.g., chill-out, samphei nihira ecc.....!Sezione super di H.U.