[NEWS] New Windows 0-day exploit speaks chinese

[Chill-Out]

Mercoledi 24 Novembre 2010




This isn't exactly what could be defined a lucky year for Microsoft. If Windows 7 sales are booming, on the other hand the operating system made-in-Redmond has been hit hard by a lot of targetted attacks during these months. Aurora exploit is just the first of the year, but the most serious attack has definitely been the Stuxnet case. Finding a 0day exploit is always difficult, but using four 0day exploits all together is actually impressive.

Yesterday another serious 0-day flaw has been publically disclosed on a chinese board.

This is a serious flaw because it resides in win32k.sys, the kernel mode part of the Windows subsystem. It is a privilege escalation exploit which allows even limited user accounts to execute arbitrary code in kernel mode.........continua



Fonte: Prevx Blog

Autore: Marco Giuliani

[Chill-Out]

http://www.prevx.com/blog/161/Window...it-update.html

[c.m.g]

Windows sotto minaccia: spunta una grave “0 day” su webnews

Windows, allarme kernel 2 su punto informatico

[ezio]

Quote:

Being a privilege escalation exploit, it bypasses by design even the protection given by the User Account Control and Limited User Account technology implemented in Windows Vista and Windows 7. All Windows XP/Vista/7 both 32 and 64 bit are vulnerable to this attack.

Piuttosto grave, anche se non è stato ancora sfruttato speriamo che venga corretto al più presto.

[Chill-Out]

http://www.prevx.com/blog/162/Window...A-session.html

[hexaae]

Quote:

Originariamente inviato da Chill-Out

http://www.prevx.com/blog/162/Window...A-session.html

Il cui punto fondamentale ovviamente è (come era prevedibile malgrado il ricorrente terrorismo informatico attorno a Windows):

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw

[Chill-Out]

Quote:

Originariamente inviato da hexaae

Il cui punto fondamentale ovviamente è (come era prevedibile malgrado il ricorrente terrorismo informatico attorno a Windows):

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw

Per fare una valutazione di più ampio respiro è necessario prendere in considerazione anche questo passaggio, decisamente importante:

"3) Why is this flaw considered critical? This flaw allows all software, even if run from a limited account, to gain system privileges. We see many of drive-by attacks, which make use of application exploits to drop malware on vulnerable machines. While there are still a huge number of customers who are used to run their operating system with administrative privileges, most users are using limited accounts or administrator accounts in Admin Approval Mode (User Account Control). Using a limited account gives them a great advantage versus malware, because it limits the vulnerable surface the malware can damage. This 0-day exploit allows a malware that has already been dropped on the system to bypass these limitations and get the full control of the system."

[hexaae]

Sì, è una classia EOP, niente di nuovo. L'UAC non può fare miracoli, abbassa solo i privilegi ma se un malware esegue una EOP è intrinseco che ottiene autonomamente i massimi privilegi di esecuzione e quindi niente UAC e danni proprio come lanciarla da amministratore.
Questo è un bug di sicurezza dell'OS vero e proprio. L'UAC, voglio sottolinearlo, non conta nulla in questo caso (già leggo in giro "UAC non serve a niente!", "È stato bucato!"...).
La buona notizia è che appunto è sfruttabile solo in locale, quindi scaricando ed eseguendo volontariamente software (non sicuro) sul proprio PC. Ovviamente gli attachi drive-by (es. sfrutto un exploit di flash e questo mi permette di scaricare e lanciare il malware) funzionano sempre ma in questo caso si hanno altri layer di difesa, come browser sandboxati (IE7,8,9 o Chrome, NON Firefox!) etc. che rendono difficile cmq il superamento della prima barriera...

[Chill-Out]

Quote:

Originariamente inviato da hexaae

Sì, è una classia EOP, niente di nuovo. L'UAC non può fare miracoli, abbassa solo i privilegi ma se un malware esegue una EOP è intrinseco che ottiene autonomamente i massimi privilegi di esecuzione e quindi niente UAC e danni proprio come lanciarla da amministratore.
Questo è un bug di sicurezza dell'OS vero e proprio. L'UAC, voglio sottolinearlo, non conta nulla in questo caso (già leggo in giro "UAC non serve a niente!", "È stato bucato!"...).

E' un bug del Kernel che di fatto bypassa UAC.

[hexaae]

Quote:

Originariamente inviato da Chill-Out

E' un bug del Kernel che di fatto bypassa UAC.

Certo, qualunque EOP che ottenga i privilegi da admin direttamente sfruttando una falla dell'OS come questa non fa comparire l'UAC, perché si auto-eleva come se fosse stata avviata da admin (per capirci, è come se fosse un exe avviato dal servizio di sistema Utilità di pianificazione con i massimi privilegi). L'UAC non interviene di certo su applicazioni lanciate da admin non l'ha mai fatto e non è il suo scopo.
Chi tira in causa l'UAC secondo me non ha ancora ben capito cos'è e cosa faccia...

[nV 25]

chi ha uno dei Sandbox contemplati nel thread "prevenire ecc ecc" è coperto da questo tentativo di "scalata" dei privilegi...

[vincenzomary]

Quote:

Originariamente inviato da nV 25

chi ha uno dei Sandbox contemplati nel thread "prevenire ecc ecc" è coperto da questo tentativo di "scalata" dei privilegi...

ad esempio, prevx, kis 2011. o sbaglio.
grazie

[nV 25]

Nel "mio" thread (Prevenire è meglio che curare..) non c'è un solo nome di quelli da te citati ...

Cmq:
PrevX 3.0.5.220 prevede la copertura di questa falla (dettagli..)

DefenseWall, GesWall & Sandboxie, invece, sono in grado di impedire la scalata di privilegi senza dover ricorrere a patch, ecc, semplicemente grazie alla loro struttura...

CIS 5, invece, da quello che ho capito leggendo su certi canali, è forato con il Sandbox @ default (= settato su partially limited) mentre riesce a contenere l'exploit se l'exploit è eseguito manualmente come sandboxato.
PS: sembra peraltro che anche modificando la policy di default da partially limited ad untrusted CIS 5 venga bypassato...

Il resto, invece, mi è ignoto..

[nV 25]

7 32bit protetto da DefenseWall 3:



..by nV 25

[marcoesse]

Quote:

Originariamente inviato da nV 25

Nel "mio" thread (Prevenire è meglio che curare..) non c'è un solo nome di quelli da te citati ...
Cmq:
PrevX 3.0.5.220 prevede la copertura di questa falla (dettagli..)
DefenseWall, GesWall & Sandboxie, invece, sono in grado di impedire la scalata di privilegi senza dover ricorrere a patch, ecc, semplicemente grazie alla loro struttura...
Il resto, invece, mi è ignoto..

ciao nV
solo per info
vincenzomary intendeva utilizzare Kis2011 in FullSafeRun Kis 2011
(solo 32 bit) una specie di SandBoxone che isola il PC (più partizioni comprese)

oppure sui 64 bit in Browser SafeRun una simil SandBoxie solo per browser

che, in questo caso, le due soluzioni presenti in KIS 2011 siano efficaci io certo non lo so'
anche se non nego che mi piacerebbe tanto saperlo!
ciao

[vincenzomary]

Quote:

Originariamente inviato da marcoesse

ciao nV
solo per info
vincenzomary intendeva utilizzare Kis2011 in FullSafeRun Kis 2011
(solo 32 bit) una specie di SandBoxone che isola il PC (più partizioni comprese)

oppure sui 64 bit in Browser SafeRun una simil SandBoxie solo per browser

che, in questo caso, le due soluzioni presenti in KIS 2011 siano efficaci io certo non lo so'
anche se non nego che mi piacerebbe tanto saperlo!
ciao

un ringraziamento particolare a te marcoesse, hai fatto da tramite per me verso il grande NV25, sono davvero commosso.
grazie ancora

[sampei.nihira]

Buona sera a tutti.
Per verificarlo occorre fare un test con il Poc.
Anche se il Kis,come altri antivirus,premessa per dire che il rilevamento è non esclusivo del kis, rileva il Poc in questione, quindi occorre disabilitare il suo modulo di rilevamento.
Perdonate questi termini generici ma non uso il Kav/Kis da secoli.
E quindi procedere al vs test.

Buon lavoro.

[marcoesse]

Quote:

Originariamente inviato da sampei.nihira

Buona sera a tutti.
Anche se il Kis,come altri antivirus, rileva il Poc in questione,

vero!

Quote:

Originariamente inviato da sampei.nihira

quindi occorre disabilitare il suo modulo di rilevamento.
Buon lavoro.

preferisco di no grazie

Quote:

Originariamente inviato da vincenzomary

un ringraziamento particolare a te marcoesse, hai fatto da tramite per me verso il grande NV25, sono davvero commosso.
grazie ancora

ma figurati dai

[Chill-Out]

Antivirus results

Quote:

AhnLab-V3 - 2010.11.28.00 - 2010.11.27 - Trojan/Win32.EUDCPoC
AntiVir - 7.10.14.126 - 2010.11.27 - EXP/EUDPoC.A
Antiy-AVL - 2.0.3.7 - 2010.11.27 - -
Avast - 4.8.1351.0 - 2010.11.27 - Win32:Malware-gen
Avast5 - 5.0.594.0 - 2010.11.27 - Win32:Malware-gen
AVG - 9.0.0.851 - 2010.11.27 - -
BitDefender - 7.2 - 2010.11.27 - Exploit.EUDCPoC.A
CAT-QuickHeal - 11.00 - 2010.11.27 - -
ClamAV - 0.96.4.0 - 2010.11.27 - -
Command - 5.2.11.5 - 2010.11.27 - -
Comodo - 6869 - 2010.11.27 - -
DrWeb - 5.0.2.03300 - 2010.11.27 - -
Emsisoft - 5.0.0.50 - 2010.11.27 - Exploit.Win32.EUDCPoC!IK
eSafe - 7.0.17.0 - 2010.11.24 - -
eTrust-Vet - 36.1.8003 - 2010.11.26 - -
F-Prot - 4.6.2.117 - 2010.11.26 - -
F-Secure - 9.0.16160.0 - 2010.11.27 - Exploit.EUDCPoC.A
Fortinet - 4.2.254.0 - 2010.11.27 - -
GData - 21 - 2010.11.27 - Exploit.EUDCPoC.A
Ikarus - T3.1.1.90.0 - 2010.11.27 - Exploit.Win32.EUDCPoC
Jiangmin - 13.0.900 - 2010.11.27 - -
K7AntiVirus - 9.69.3103 - 2010.11.27 - -
Kaspersky - 7.0.0.125 - 2010.11.27 - Exploit.Win32.EUDCPoC.a
McAfee - 5.400.0.1158 - 2010.11.27 - Exploit-EUDCPoC
McAfee-GW-Edition - 2010.1C - 2010.11.27 - Generic.dx!uzo
Microsoft - 1.6402 - 2010.11.27 - Exploit:Win32/Deusenc.A
NOD32 - 5653 - 2010.11.27 - Win32/Exploit.Agent.NAB
Norman - 6.06.10 - 2010.11.27 - W32/EUDCPoC.A
nProtect - 2010-11-27.01 - 2010.11.27 - Exploit.EUDCPoC.A
Panda - 10.0.2.7 - 2010.11.27 - Trj/CI.A
PCTools - 7.0.3.5 - 2010.11.27 - Hacktool.Generic
Prevx - 3.0 - 2010.11.27 - -
Rising - 22.75.04.00 - 2010.11.27 - -
Sophos - 4.60.0 - 2010.11.27 - Troj/EUDPoC-A
SUPERAntiSpyware - 4.40.0.1006 - 2010.11.27 - -
Symantec - 20101.2.0.161 - 2010.11.27 - Hacktool
TheHacker - 6.7.0.1.092 - 2010.11.27 - Trojan/Exploit.Agent.nab
TrendMicro - 9.120.0.1004 - 2010.11.27 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.11.27 - -
VBA32 - 3.12.14.2 - 2010.11.26 - -
VIPRE - 7427 - 2010.11.27 - -
ViRobot - 2010.11.19.4158 - 2010.11.27 - -
VirusBuster - 13.6.62.0 - 2010.11.26 - -

[hexaae]

Quote:

Originariamente inviato da Chill-Out

Antivirus results

Microsoft - 1.6402 - 2010.11.27 - Exploit:Win32/Deusenc.A

Bene, quindi anche il semplice Defender di default su Vista/7.