Grave vulnerabilità 0-Day in tutte le versioni di Windows

Grave vulnerabilità 0-Day in tutte le versioni di Windows

Una nuova falla individuata nel componente di sistema Windows Shell mette a rischio tutte le versioni di Windows. La vulnerabilità è già stata sfruttata per sferrare alcuni attacchi.

di pubblicata il , alle 15:15 nel canale Sicurezza
WindowsMicrosoft
 

Nuovo potenziale problema all'orizzonte per tutti gli utenti di Windows: recentemente è stata infatti individuata una nuova falla di sicurezza all'interno del componente di sistema Windows Shell che mette a rischio la sicurezza di ogni computer su cui sia installata una qualsiasi versione di Windows.

Nel dettaglio si tratta di una vulnerabilità 0-Day e ciò significa che è già stata sfruttata con successo per sferrare diversi attacchi. Stando al bollettino di sicurezza rilasciato da Microsoft, pare che il problema sia piuttosto grave, in quanto rende possibile l'esecuzione automatica di codice malevolo senza un intervento diretto da parte dell'utente.

Il problema risiede nella errata gestione dei file di collegamento .lnk di Windows: creando un file .lnk appositamente malformato è infatti possibile caricare in memoria un qualsiasi programma, inclusi quelli nocivi. Per dare il via all'attacco non è necessario che l'utente vittima faccia partire l'applicazione nociva di sua iniziativa, ma è sufficiente che l'utente entri nella cartella in cui e presente il file .lnk di collegamento.

La vulnerabilità si presta dunque ad essere utilizzata nei modi più svariati: un esempio potrebbe essere quello di mettere il file di collegamento creato ad hoc all'interno di file compressi e poi pubblicarli su Internet invitando le vittime a scaricarlo, oppure di veicolarli tramite chiavette USB.

Secondo quanto riportato da Marco Giuliani, Malware Technology Specialist di Prevx, sembra che la vulnerabilità sia stata sfruttata per portare a termine degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, ma non è da escludere che qualche malintenzionato decida di sfruttarla per colpire gli utenti comuni.

Al momento non esiste ancora una patch in grado di risolvere il problema. Per rendere sicuro il proprio sistema, Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk; la procedura da seguire è illustrata nel bollettino di sicurezza di Microsoft alla sezione Workarounds.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

72 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
WarDuck19 Luglio 2010, 15:27 #1
Abbastanza grave direi, speriamo che rilascino in fretta la patch...

Edit: cmq sembra che bisogna cliccare l'icona per lanciare l'exploit...

Inoltre cosa non di poco conto:

Mitigating Factors

Mitigation refers to a setting, common configuration, or general best-practice, existing in a default state, that could reduce the severity of this issue. The following mitigating factors may be helpful in your situation:
•[U]An attacker who successfully exploited this vulnerability could gain the same user rights as the local user[/U]. [U]Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights[/U].

•When AutoPlay is disabled, the user would manually have to launch Windows Explorer or a similar application and browse to the root folder of the removable disk.

•Blocking outbound SMB connections on the perimeter firewall will reduce the risk of remote exploitation using file shares.
.Kougaiji.19 Luglio 2010, 15:34 #2
Originariamente inviato da: WarDuck
Abbastanza grave direi, speriamo che rilascino in fretta la patch...


http://it.slashdot.org/story/10/07/...-Patch-New-Flaw

Chissà quando D:
eraser19 Luglio 2010, 15:36 #3
Originariamente inviato da: WarDuck
Edit: cmq sembra che bisogna cliccare l'icona per lanciare l'exploit...


No, basta aprire la directory che contiene l'icona, basta che l'utente veda l'icona - cioè che il sistema faccia il rendering dell'icona del file lnk. Se l'icona è sul desktop, basta che il desktop venga caricato per eseguire il malware
guyver19 Luglio 2010, 15:45 #4
Originariamente inviato da: eraser
No, basta aprire la directory che contiene l'icona, basta che l'utente veda l'icona - cioè che il sistema faccia il rendering dell'icona del file lnk. Se l'icona è sul desktop, basta che il desktop venga caricato per eseguire il malware


che culo
poi c'è qualcuno che butta me**a addosso a mac osx e linux dicendo che ormai Seven è sicuro come e più degli altri...

Vedo vedo...
eraser19 Luglio 2010, 15:46 #5
Originariamente inviato da: guyver
che culo
poi c'è qualcuno che butta me**a addosso a mac osx e linux dicendo che ormai Seven è sicuro come e più degli altri...

Vedo vedo...


Beh, è così Ci sono altrettante falle negli altri sistemi operativi
WarDuck19 Luglio 2010, 15:48 #6
Originariamente inviato da: eraser
No, basta aprire la directory che contiene l'icona, basta che l'utente veda l'icona - cioè che il sistema faccia il rendering dell'icona del file lnk. Se l'icona è sul desktop, basta che il desktop venga caricato per eseguire il malware


Allora c'è un errore nell'advisory sul sito Microsoft:

The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the user clicks the displayed icon of a specially crafted shortcut. This vulnerability is most likely to be exploited through removable drives. For systems that have AutoPlay disabled, customers would need to manually browse to the root folder of the removable disk in order for the vulnerability to be exploited. For Windows 7 systems, AutoPlay functionality for removable disks is automatically disabled.
eraser19 Luglio 2010, 15:49 #7
Originariamente inviato da: WarDuck
Allora c'è un errore nell'advisory sul sito Microsoft:


È spiegato male, sì Ho un PoC exploit che ho scritto io stesso qui davanti a me
Mr_Paulus19 Luglio 2010, 15:52 #8
i bug esistono dall'alba dei tempi, basta che risolvano in fretta!!
guyver19 Luglio 2010, 16:02 #9
Originariamente inviato da: eraser
Beh, è così Ci sono altrettante falle negli altri sistemi operativi


si per carità nessun os è perfetto, ma non sono cosi gravi
che basta "vedere" l icona del malware per mandarlo in esecuzione...
è un bug che solo windows può avere
eraser19 Luglio 2010, 16:05 #10
Originariamente inviato da: guyver
si per carità nessun os è perfetto, ma non sono cosi gravi
che basta "vedere" l icona del malware per mandarlo in esecuzione...
è un bug che solo windows può avere


solo perché non sono pubblici non significa che non ci siano Come disse un ricercatore internazionale circa OS X: "it is safer, not more secure"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^