Grave vulnerabilità in Windows con exploit 0-day

[r.chiodaroli]

Il problema sulla questione Administrator in Vista è un po più complesso di quel che sembra: se Microsoft avesse deciso di troncare con il passato, creando l'utente base come User (o Power User) obbligandolo ad immettere, di default, la password di Administrator (o comunque di un utente con i privilegi adeguati) per determinate operazioni sarebbero piovute miliardi di lamentale sul fatto che il SO era complicato e poco usabile. Sarebbe stato un passaggio troppo brusco per l'utente medio.

[eltalpa]

Quote:

Originariamente inviato da viran

Anche Firefox è vulnerabile:
http://securitytracker.com/alerts/2007/Mar/1017827.html
This can be exploited via various applications that use the vulnerable Windows functions, including Microsoft Internet Explorer, Windows Explorer, Mozilla Firefox, and Microsoft Outlook.

Users with Internet Explorer 7 running in Protected Mode on Windows Vista are not affected.

Quindi su XP è vulnerabile sia IE che Firefox
mentre su Vista è vulnerabile solo Firefox; IE7 non è vulnerabile grazie al Protected mode

IE7 quindi è il browser più sicuro

Sbagliato Firefox non è vulnerabile, grazie alle proprie librerie statiche.
E' riportato anche QUI.

Quote:

Unpatched Drive-By Exploit Found On The Web

Wednesday March 28, 2007 at 4:44 pm CST
Posted by Craig Schmugar


Trackback

Several of my posts over the last few months have centered around very targeted zero-day attacks. This post covers an exploit that McAfee researchers discovered in the field, posted to a message board. That posting was simply a proof of concept; however McAfee Avert Labs has since received a malicious sample as well. It is quite likely that similar exploits targeting this vulnerability are currently being used in other attacks on the web.

Preliminary tests demonstrate that Internet Explorer 6 and 7 running on a fully patched Windows XP SP2 are vulnerable to this attack. Windows XP SP0 and SP1 do not appear to be vulnerable, nor does Firefox 2.0. Exploitation happens completely silently.

The vulnerability lies in the handling of malformed ANI files. Known exploits download and execute arbitrary exe files. This vulnerability is reminiscent of MS05-002.

More information will be posted as it becomes available.

Da notare che nemmeno windows xp sp1 e sp0 non sono vulnerabili.

Info sui sistemi vulnerabili QUI

[k0nt3]

Quote:

Originariamente inviato da diabolik1981

L'amministratore di Vista non è paragonabile a quello di XP e W2K, ma è sottoposto anche lui ad UAC e di fatto è appena poco sopra il semplice USER, è più vicino ad un Power User.

lo so benissimo.. tuttavia è solo una finta protezione.. finchè si tratta di schiacciare un bottone nessuno leggerà mai il messaggio. e anche leggendolo in pochi lo capirebbero. dai come fate a dire che l'UAC funziona, aprite gli occhi! è del tutto insufficiente proprio come lo voleva MS

[eltalpa]

Quote:

Originariamente inviato da diabolik1981

Già, perchtè tu usi ancora software scritto nel 1998?

Certo.

Starcraft.
L'unico gioco che non abbia mai abbandonato.

Per mia fortuna funziona anche su wine.

[fsdfdsddijsdfsdfo]

Quote:

Originariamente inviato da diabolik1981

Già, perchtè tu usi ancora software scritto nel 1998?

tipo?


se per questo uso anche gcc, che risale agli anni 70.

pensa un po

[k0nt3]

Quote:

Originariamente inviato da r.chiodaroli

Il problema sulla questione Administrator in Vista è un po più complesso di quel che sembra: se Microsoft avesse deciso di troncare con il passato, creando l'utente base come User (o Power User) obbligandolo ad immettere, di default, la password di Administrator (o comunque di un utente con i privilegi adeguati) per determinate operazioni sarebbero piovute miliardi di lamentale sul fatto che il SO era complicato e poco usabile. Sarebbe stato un passaggio troppo brusco per l'utente medio.

poteva anche lasciare l'utente amministratore di default... ma almeno chiedi la password invece che far apparire una finestra fastidiosa che ha l'unico effetto di spaventare l'utente che a sua volta reagisce schiacciando un bottone a caso nel più breve tempo possibile per uscire dallo stato di timore... andiamo... vi ostinate a difendere un sistema che sapete benissimo essere insufficiente
con Vista hanno fatto 30.. non costava niente fare 31! non è assolutamente vero che diventava troppo complicato. basta inserire una dannata password quando fai cose pericolose (cioè in teoria quasi mai)

[fsdfdsddijsdfsdfo]

Quote:

Originariamente inviato da diabolik1981

Gli utenti ignoranti non sanno neanche cosa sia UAC, perchè vedono un oscurimento del video e non sanno neanche che si possa e da dove si possa disattivare l'UAC. Tanto è vero che UAC di default è attivo.

se il modo c'è loro lo trovano. Fidati.

oppure contraddici il fatto che VIsta è un Os facile?

[eltalpa]

Quote:

Originariamente inviato da dijo

se il modo c'è loro lo trovano. Fidati.

oppure contraddici il fatto che VIsta è un Os facile?

Basta. Siete OT.

[eltalpa]

Anche la lettura di mail in plain-text non risolve il problema, si resta vulnerabili.
Maggiori info QUI

E' disponibile una patch temporanea di eEye:

http://www.eeye.com/html/research/tools/WindowsANIZeroDayPatchSetup.exe

Altre info da Microsoft:

http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx

[diabolik1981]

Quote:

Originariamente inviato da dijo

se il modo c'è loro lo trovano. Fidati.

oppure contraddici il fatto che VIsta è un Os facile?

Che fai prendi in giro? Vista è facile, ma la maggior parte delle persone non sa neanche che esista un pannello di controllo...

[eltalpa]

Ecco la lista dei client email (integrati nel sistema operativo) che sono vulnerabili (sia in plain-text che non):

http://isc.sans.org/diary.html?storyid=2539

[goldorak]

Edit : post sbagliato.

[r.chiodaroli]

Quote:

Originariamente inviato da k0nt3

poteva anche lasciare l'utente amministratore di default... ma almeno chiedi la password invece che far apparire una finestra fastidiosa che ha l'unico effetto di spaventare l'utente che a sua volta reagisce schiacciando un bottone a caso nel più breve tempo possibile per uscire dallo stato di timore... andiamo... vi ostinate a difendere un sistema che sapete benissimo essere insufficiente
con Vista hanno fatto 30.. non costava niente fare 31! non è assolutamente vero che diventava troppo complicato. basta inserire una dannata password quando fai cose pericolose (cioè in teoria quasi mai)

La password viene richiesta se i privilegi del tuo account non sono sufficienti per l'operazione da eseguire. Ad esempio, se sei un Power User e devi installare un driver, devi immettere la password di Administrator.

http://www.microsoft.com/technet/tec...es/2006/11/UAC

Altra cosa: ho dovuto discutere molto con utenti che non capivano il significato e l'utilità di una password. Per certe persone, non solamente utenti di PC, la necessità di trovare un password che sia conforme a certi criteri di complessità, di cambiarla ogni tot. giorni e specialmente di ricordarsela a memoria sfuggendo alla tentazione di scriverla da qualche parte sono una seccatura, e fanno di tutto per evitarla...

Detto questo, sono io il primo a sostenere che si tratta delle regole di base della sicurezza informatica, ma chi poi decide è l'utente...

[MiKeLezZ]

Alla faccia delle 0 patch di sicurezza rilasciate per XP a Marzo

[MiKeLezZ]

Quote:

Originariamente inviato da diabolik1981

risolvi usando 7-zip che è anche meglio.

lol

[k0nt3]

Quote:

Originariamente inviato da r.chiodaroli

La password viene richiesta se i privilegi del tuo account non sono sufficienti per l'operazione da eseguire. Ad esempio, se sei un Power User e devi installare un driver, devi immettere la password di Administrator.

http://www.microsoft.com/technet/tec...es/2006/11/UAC

ubuntu la chiede anche se sei già amministratore (mentre nel resto del mondo linux NON sei amministratore) e MacOS si comporta in maniera simile (anche se non lo conosco abbastanza).
poi ripeto.. il target di Vista è l'utente desktop. è ovvio che configurando Vista puoi fare qualsiasi cosa, ma con quel target le impostazioni di default sono il 90% della sicurezza come ho già detto. è difficile ammettere che l'UAC con le impostazioni predefinite non serve a niente?

Quote:

Originariamente inviato da r.chiodaroli

Altra cosa: ho dovuto discutere molto con utenti che non capivano il significato e l'utilità di una password. Per certe persone, non solamente utenti di PC, la necessità di trovare un password che sia conforme a certi criteri di complessità, di cambiarla ogni tot. giorni e specialmente di ricordarsela a memoria sfuggendo alla tentazione di scriverla da qualche parte sono una seccatura, e fanno di tutto per evitarla...

Detto questo, sono io il primo a sostenere che si tratta delle regole di base della sicurezza informatica, ma chi poi decide è l'utente...

come sopra è sensato solo nel caso di un ambiente lavorativo e professionale. normalmente si può benissimo scrivere la password sul monitor o su qualsiasi altro oggetto vicino al pc e non cambiarla mai

[fsdfdsddijsdfsdfo]

Quote:

Originariamente inviato da diabolik1981

Che fai prendi in giro? Vista è facile, ma la maggior parte delle persone non sa neanche che esista un pannello di controllo...

ah ho capito è facile ma difficile

[fsdfdsddijsdfsdfo]

Quote:

Originariamente inviato da k0nt3

ubuntu la chiede anche se sei già amministratore (mentre nel resto del mondo linux NON sei amministratore)

a dir la verità sei user e NON esiste l'amministratore di base.

Si gestisce tutto tramite sudo.


Prova ad esempio a modificare sources.list

[sirus]

Quote:

Originariamente inviato da dijo

ma come, la forza di Windows rispetto ai SO concorrenti è la possibilità di usare tutto il software che voglio, tanto sventolata dai detrattori di linux, e adesso mi dici che è meglio dover eliminare una parte di software Windows perchè incompatibile?

Da che c'è mondo e mondo è il software applicativo che si deve adattare al software di base (sistema operativo), quindi se un software applicativo non è compatibile (dopo oltre 1 anno di beta testing) è colpa di una scellerata politica della software house.

[sirus]

Quote:

Originariamente inviato da dijo

Guarda linux e bsd.

Saranno complicati, ma un utente alle prime armi non può fare ALCUN danno.

Verissimo, ma è altrettanto vero che un utente alle prime armi con un PC alle volte oltre a non fare danni non riesce a fare nulla.

(Battutaccia come si vede dalla mia sign non sono un detrattore dei sistemi operativi diversi da Windows)