www.MegaLab.it

[sampei.nihira]

Ecco cosa si intende per I.L. (clicca)
Sapete tutti che le 2 vulnerabilità più diffuse come percentuale numerica interessano JAVA e PDF.
In un account SUA (standard User Account) tali applicazioni girano con un IL medio.
Ovvio che più basso è e meglio sarà dal punto di vista della sicurezza.
E' possibile verificare con P.E (così già che ci siete verificherete l'IL anche del browser usato).

Mi è venuta l'idea di abbassare tale livello,è possibile ?
La risposta è sì, perché è stato già provato.
Ecco Didier Stevens che abbassa il livello di integrità di alcuni sw gestori pdf:

http://blog.didierstevens.com/2010/10/11/pdf-dep-aslr-and-integrity-levels/

E come fare per provarlo con SumatraPDF ?

Scaricate la versione portable di Sumatra nel Desktop.
Poi da accessori cliccate sul prompt dei comandi.
Occorre per prima cosa raggiungere la directory dove abbiamo posizionato per comodità visto che è direttamente raggiungibile, il sw portable cioè Desktop per fare ciò occorre dare il comando:

cd Desktop (invio) attenzione le maiuscole sono importanti

fatto questo (cd per coloro che non lo sapessero significa "cambio directory") il seguente comando sotto:

icacls sumatraPDF.exe /setintegritylevel L (invio)

Tutto quì il sw è già ad un IL basso e lo potete vedere nell'immagine sotto dove ho anche aperto un documento pdf:



Uploaded with ImageShack.us

La modifica permane se riavviamo il pc.

Per riportare tutto alle condizioni iniziali occorre seguire i passaggi sopra ma invece della lettera maiuscola L (che stà per low) inserire M.

Buon test e buona domenica. ;) ;)

p.s. Ovvio che se vogliamo modificare il sw nella versione installata occorre portarsi alla directory corrispondente,non mi chiedete qual è perché uso W.7 da così poco che..........ma ci sarà qualche valido elemento su MLI........

[sampei.nihira]

Cappuccino miracolo,adesso ho ricordato il percorso della directory !!!
Del resto sono anni che non uso il DOS.

[farbix89]

Del resto sono anni che non uso il DOS

Strano,dicevi di utilizzare saltuariamente GNU/Linux...questo tipo di comandi diventano molto familiari

Scherzetti a parte,una cosa veramente interessante sampei

Una considerazione leggendo il Wiki

This mechanism is able to selectively restrict the access permissions of certain programs or software components in contexts that are considered to be potentially less trustworthy, compared with other contexts running under the same user account that are more trusted. Windows Vista defines four integrity levels: Low (SID: S-1-16-4096), Medium (SID: S-1-16-8192), High (SID: S-1-16-12288), and System (SID: S-1-16-16384).[1] By default, processes started by a regular user gain a Medium IL and elevated processes have High IL

Paradossalmente i processi con privilegi elevati hanno livello massimo di IL,nonostante la loro intrinseca pericolosità di processi "tuttofare"

Uno dei modi per arginare la pericolosità dei processi elevati?

Un processo maligno elevato (per sbaglio,ndr) potrebbe effettuare tutte le modifiche necessarie,anche abbassare l'IL e disattivare eventuali contromisure.

Ecco perché limitare i propri privilegi è un dogma (enfatizzazione necessaria) che ogni utente che tiene leggermente al suo PC deve seguire ancor prima di addentrarsi in settaggi e nella scelta della propria linea difensiva

[developerwinme]

Scherzetti a parte,una cosa veramente interessante sampei

Conoscevo già gli IL, ma non ho mai provato ad eseguire la modifica in questione su programmi che non lo prevedessero di loro, perché temo possibili problemi di incompatibilità: quindi credo che bisogna fare particolare attenzione nella scelta dei software a cui applicare questa procedura.

Paradossalmente i processi con privilegi elevati hanno livello massimo di IL,nonostante la loro intrinseca pericolosità di processi "tuttofare"

Mi sembra abbastanza ovvio e naturale che sia così, perché i processi con privilegi più elevati li hanno proprio in virtù del fatto di poter agire su un maggiore numero di aree del sistema, e quindi un IL più elevato. Comunque bisogna ricordare che oltre agli IL anche le ACLs entrano in gioco nella sicurezza dei processi elevati. Infatti molti servizi sono eseguiti con account diversi da SYSTEM, come SERVIZIO LOCALE o SERVIZIO DI RETE, che hanno minori privilegi.

Un processo maligno elevato (per sbaglio,ndr) potrebbe effettuare tutte le modifiche necessarie,anche abbassare l'IL e disattivare eventuali contromisure.

Ecco perché UAC è una misura importante per controllare "chi fa cosa". Nel momento in cui un malware raggiunge i privilegi elevati, hai perso una grande misura di sicurezza, che può essere solo in parte coperta dagli HIPS.

Ecco perché limitare i propri privilegi è un dogma (enfatizzazione necessaria) che ogni utente che tiene leggermente al suo PC deve seguire ancor prima di addentrarsi in settaggi e nella scelta della propria linea difensiva

[farbix89]

Mi sembra abbastanza ovvio e naturale che sia così, perché i processi con privilegi più elevati li hanno proprio in virtù del fatto di poter agire su un maggiore numero di aree del sistema, e quindi un IL più elevato

La mia sorpresa non è data dal fatto in sè (è abbastanza ovvio che un processo elevato ha IL elevato) ma quando dal fatto che questo parametro sia regolabile


Se un malware è elevato,nulla vieta di modificare questo parametro con il giusto comando

[developerwinme]

ma quando dal fatto che questo parametro sia regolabile

è sicuramente colpa della stanchezza, ma non ho ben capito cosa intendi.

[farbix89]

è sicuramente colpa della stanchezza, ma non ho ben capito cosa intendi.

Sarà la fame,quindi sopportate i miei deliri almeno fino a quando non riempio lo stomaco

[farbix89]

Ecco un esempio pratico:

- malware via PDF,necessita di privilegi elevati.

- L'utente distratto non usa UAC o lo usa malissimo,quindi regala questi privilegi al malware (o utilizza Lettori PDF non adeguatamente protetti)

- Il malware elevato sfrutta i bug del lettore PDF e all'occorrenza abbassa anche l'IL del software per avere maggiore accesso al sistema


Credo sia fattibile

[sampei.nihira]

I miei troppo veloci test sulla versione installata hanno evidenziato una impossibilità a modifcare l'IL di Sumatra,ed ovviamente non sò il motivo......
Anche su MLI se c'è qualche anima pia che ne trova il motivo,gli dico grazie fin da adesso.

Io,purtroppo dispongo di poco tempo per fare i test che vorrei nel nuovo pc di casa.

Ah chi si chiede come fare ad abbassare il modo naturale l'IL deve usare NON l'account amministratore ma quello Standard.
E' anche questa una implicazione in merito.

@ Farbiz

Erano secoli che non usavo i comandi DOS con Windows ed infatti ho fatto altrove un errore (proprio per il mio più recente uso di Linux rispetto al DOS ) in merito che quindi mi hanno fatto notare !!!

[nix87]

@ sampei

Domanda: hai provato l'abbassamento dell'IL solo sul lettore pdf, oppure anche su altri programmi ?

Problemi di compatibilità eventualmente riscontrati ?

[sampei.nihira]

@ sampei

Domanda: hai provato l'abbassamento dell'IL solo sul lettore pdf, oppure anche su altri programmi ?

Problemi di compatibilità eventualmente riscontrati ?

No,solo con Sumatra.
Nella versione portable nessuno per le nostre esigenze.
Esigenze che si servono della funzione interna di Chrome per i pdf della rete e quindi solo di sumatra portable per i pdf nell'HD.

Avrei voluto testare anche Java.
Ma ho letto che potrebbe avere dei problemi a livello basso.
E poi il poco tempo di questa mattina,anche se la procedura l'ho studiata nei gg precedenti,non mi ha concesso altro.......

Procedura che probabilmente dovrà essere migliorata per i sw installati se non riesco a modificare con successo l'IL in quel caso.

[developerwinme]

Sarà la fame,quindi sopportate i miei deliri almeno fino a quando non riempio lo stomaco

Per quanto riguarda la questione IL, credo di aver capito cosa intendi, ma non mi è chiaro come

- Il malware elevato sfrutta i bug del lettore PDF e all'occorrenza abbassa anche l'IL del software per avere maggiore accesso al sistema

Come fa ad ottenere maggiore accesso al sistema abbassando l'IL del lettore PDF? E comunque come fa ad avere maggiore accesso al sistema nel momento in cui è già elevato e quindi ha già massimo accesso al sistema?

[farbix89]

Vado ad approfondire il discorso IL

[sampei.nihira]

Biffo_the_cat mi toglie il dubbio della procedura, è stato solo un mio errore in un passaggio.
Quindi è possibile usare la stessa procedura anche per i sw installati con successo.
Ovvio che occorre entrare nella cartella dove il sw è installato.

[sampei.nihira]

Confermo quanto già riportato da nix87.
Anche io ho modificato l'IL di vlc (installato) e la modifica riesce.
Ma la stessa invalida la firma digitale.
Quindi avrete a video l'avviso corrispondente,all'avvio del sw.
Basta dare l'OK.

[developerwinme]

Domanda per sampei: hai provato se la modifica funziona anche su file non eseguibili (ad esempio se voglio aprire un solo file in modalità protetta)?

[sampei.nihira]

Domanda per sampei: hai provato se la modifica funziona anche su file non eseguibili (ad esempio se voglio aprire un solo file in modalità protetta)?

No,francamente no.
Questa mattina, in parte del mio tempo libero ho risolto il problema di Google update con SRP via controllo parentale con successo !!

[sampei.nihira]

Il prossimo sw dove vorrei provare ad abbassare l'IL sarà JAVA.

Java è il sw principe bersagliato da exploit.
E l'abbassamento dell' IL causa un impedimento ad interagire con un processo che gira ad un livello superiore di IL.
Quindi è come dire che il sw che abbiamo lanciato con un IL basso si trova in una "condizione isolata".
Simile a quella che avrebbe in una sandbox.
Può interagire solo con altri processi allo stesso piano di IL.
(Anche se poi non è esattamente così ci sarebbe qualche probabilità lo stesso, che un processo a basso IL può interagire ugualmente con un processo
ad IL superiore...ma ciò è al di fuori della mia portata !! ).

Quindi non solo un sw che gira ad un IL low non interagisce con altri di livello superiore ma necessita di essere attaccato da un malware capace di agire allo stesso livello.
Vi metto un esempio di DLL Injection di Didier Stevens che usa un suo strumento per far ciò ad IL "medio" incapace di agire quando l'IL del "sw bersaglio" viene abbassato a "low":

http://blog.didierstevens.com/2010/09/0 ... injection/

n merito a JAVA ho inserito un sondaggio.
Vorrei vedere se è diffuso come installazione oppure no.

[sampei.nihira]

Continuo l'analisi perché il sondaggio riporta già 10 voti si e nessun no.

Java inoltre ha ASLR off e se non ricordo male anche DEP.
Ho letto un post molto interessante di Mr Brian dove evidenzia, in un esempio che, anche la collocazione di java in lista EMET non ha mitigato l'esecuzione di malware:

http://www.wilderssecurity.com/showpost ... stcount=43

C'è da evidenziare che avere avuto JAVA aggiornato avrebbe quasi certamente evitato l'exploit.
L'esempio specifico,sarebbe inoltre stato bloccato da un qualsiasi HIPS o SRP:

Metto ad esempio (anche se non c'entra nulla) un ulteriore esempio,messo in luce da nV25 su altro canale,che dimostra come la configurazione di sicurezza sia importante se prende in esame più aree a rischio:

http://www.symantec.com/connect/w32-duq ... ay-exploit

Rootkit Duqu
File di installazione è un doc che sfrutta una vulnerabilità sconosciuta del OS.
In questo caso la prevenzione sarebbe affidata probabilmente nell'usare,sw non Microsoft per aprire il documento ed inserire il sw che gestisce l'apertura dello stesso in lista EMET.
Secondo me un SRP non agirebbe a protezione del OS,mentre probabilmente un HIPS sì,anche se dal mio punto di vista un intervento degli stessi mette in luce gravi vulnerabilità a monte che dovrebbero essere colmate.

Sarebbe meglio non installare JAVA.
Ciò eviterebbe le vulnerabilità potenziali a monte,ma a coloro che disgraziatamente serve.....ciò non è di molto aiuto.

Una lista di considerazioni che è sempre bene tenere a mente.

1. Prevenire l'exploit;
2. Mitigare l'exploit;
3. Contenere l'exploit

Si intuisce dalla lista che ci sono una serie di cose da prendere in esame per avere una configurazione di sicurezza settata al meglio anche per l'aspetto pericolosità JAVA.

Una di queste comprende anche avere la possibilità di abbassare l'IL (ma su quali exe ?).

Ma anche ad esempio tenere disabilitato il plugin del browser.
Che potrà sempre essere attivato all'occorrenza.

[sampei.nihira]

Con Chrome è facilissimo disabilitare il plugin a default basta attivare il click to play,e la gestione dei siti on è altrettanto facile.
Anche per FF tramite l'estensione Noscript è possibile dire lo stesso.
Io che abbino l'uso di Opera a Sandboxie ho una gestione altrettanto facile.
Lascio disattivo il plugin a default ed in caso di occorrenza attivo il plugin direttamente dal sito web richiesto.
Ovvio che con Sandboxie la modifica si perderà immediatamente alla chiusura del browser.
E quindi non c'è il problema di ricordarsi di disattivarlo nuovamente.

Quasi certamente questo fine settimana o al massimo domenica effettuo il test.