www.MegaLab.it

[developerwinme]

Se non ho capito male ci dovrebbe già essere sul sistema una sorta di virus "dormiente", poi questo dovrebbe essere attivato da remoto attraverso la vulnerabilità scoperta. Il sistema sembra funzioni solo con virus\malware completamente nuovi, non riconoscibili dagli internet security nemmeno euristicamente.

Giusto: il virus si deve trovare sulla macchina in questione e deve essere eseguito (quindi va trovato un modo per portarlo sulla macchina e successivamente eseguirlo, ma questo è fattibile sfruttando una qualsiasi falla che consente di eseguire codice da remoto in un qualche applicativo non aggiornato, come ce ne sono tanti). Poiché, come dico nella news, il problema generalmente affligge solo le componenti HIPS o di self-protection (quelle che spesso sono implementate con l'uso di hook. "Molti AV puri" non installano hook e quindi non sono vulnerabili.), ovviamente se l'anti-virus riconosce il programma come malevolo la falla non è sfruttabile.

Bisognerebbe capire come funzionerà l'attacco al di fuori delle condizioni di laboratorio. Qui è più facile "bombardare" il pc fino a che non capitola...

Su questo punto anche io ho dei dubbi, infatti le difficoltà che deve superare un eventuale malware che sfrutti questo tipo di attacco sono abbastanza numerose (soprattutto su Vista e Seven, ed in particolare nelle edizioni a 64 bit), tuttavia possono ridursi se si utilizzano software non debitamente aggiornati e l'account amministratore.

ma a quanto pare tale falla è già nota da ben 14 anni

Anche questo è giusto, tuttavia, come evidenzia l'articolo di Punto Informatico, la falla non è mai stata sfruttata per attacchi ad ampio raggio e la risoluzione del problema richiederebbe molto tempo, impiegabile da parte delle software house in altre aree, con maggiore utilità pratica.

Concludo evidenziando come la pratica di installare hook, utilizzata da pressoché tutti i produttori di software di sicurezza che implementano funzionalità di auto-protezione o di analisi comportamentale di qualunque tipo, è sempre stata sconsigliata da Microsoft, che con il Service Pack 1 di Vista ha iniziato a introdurre alcune API che consentono di eseguire le operazioni richieste dai software di sicurezza senza fare uso degli hook ed eliminando il problema alla radice. (Per chi può essere interessato questa scelta di Microsoft è dovuta alle lamentele giunte contro PatchGuard)

[guest564]

.......ovviamente se l'anti-virus riconosce il programma come malevolo la falla non è sfruttabile.

E' questo il punto credo, per quanto tempo un virus/malware puo' rimanere completamente nuovo per potersi nascondere all'euristica ?
Non credo molto.

.......ovviamente solo se dall'altra parte c'è un utente conscio di come funziona un PC....

Già...
Quanti sono veramente consci ?

[guest564]

Ecco una notizia che mi aspettavo

http://arstechnica.com/microsoft/news/2010/05/microsoft-mse-safe-from-windows-kernel-hook-attack.ars

Riassumendo MS Security Essential non è bypassabile attraverso questo metodo di attacco.

[Silver Black]

Ecco una notizia che mi aspettavo

http://arstechnica.com/microsoft/news/2010/05/microsoft-mse-safe-from-windows-kernel-hook-attack.ars

Riassumendo MS Security Essential non è bypassabile attraverso questo metodo di attacco.

Ottima notizia!
Quindi sarebbe da togliere tutti gli antivirus e usare MS SE, ma questa suite è già presente in Vista o bisogna installarla separatamente?

[guest564]

Non è installato di default su nessun windows.

E' scaricabile da qui
http://www.microsoft.com/security_essentials/
e' compatibile con XP, vista e 7 (32 e 64 bit)

Per essere installato, il sitema deve superare prova di autenticità.

Per l'esperienza che ho io risulta essere un po' pesante su XP.

[Silver Black]

Non è installato di default su nessun windows.

E' scaricabile da qui
http://www.microsoft.com/security_essentials/
e' compatibile con XP, vista e 7 (32 e 64 bit)

Per essere installato, il sitema deve superare prova di autenticità.

Per l'esperienza che ho io risulta essere un po' pesante su XP.

Lo consiglieresti al posto di Avira?
Sono di solito portato a usare software solo Microsoft, specialmente se deve esistere un diretto contatto con il kernel di Windows, quindi questo MSE mi interessa parecchio, ma ad Avira ci ero affezionato e non mi ha mai tradito.

[developerwinme]

...

http://www.MegaLab.it/5213/microsoft-se ... s-gratuito

[guest564]

Lo consiglieresti al posto di Avira?

Finora no.
Personalmente non mi piace, preferisco avere più controllo su un antivirus. Non si ha molta possibilità di personalizzazione.
Ho sempre utilizzato e consigliato Avira o Avast che hanno anche più funzioni.
Di certo ora copre una falla e altri no.

[developerwinme]

Riassumendo MS Security Essential non è bypassabile attraverso questo metodo di attacco.

Ho letto l'articolo in questione e volevo fare alcune considerazioni.

MSE non è vulnerabile in quanto non implementa alcuna funzionalità HIPS, di self-protection o di analisi comportamentale. Poiché il resto delle funzionalità (che consistono sostanzialmente nel solo controllo del file system per verificare se vengono avviati file nocivi) è implementabile in modo sicuro, MSE non è attaccabile con KHOBE.

Tuttavia c'è da dire che la maggior parte degli altri programmi vulnerabili utilizza gli hook, e quindi risulta vulnerabile all'attacco in questione, solo per implementare le funzioni aggiuntive dette prima. Infatti, nella maggior parte dei casi, le funzionalità standard di antivirus (le stesse di MSE) sono implementate in modo sicuro tramite il Windows Filter Manager, che è lo stesso che usa MSE.

Quindi la differenza tra MSE e la maggior parte degli altri prodotti è che il primo implementa solo le funzioni standard di antivirus (che non richiedono l'uso di hook) e non include self-protection, analisi comportamentale o altro, mentre gli altri forniscono in più queste ultime, pur se in modo potenzialmente superabile tramite questo attacco.

Scusate il post un po dispersivo, ma spero di essere stato sufficientemente chiaro

[guest564]

Quindi la differenza tra MSE e la maggior parte degli altri prodotti è che il primo implementa solo le funzioni standard di antivirus (che non richiedono l'uso di hook) e non include self-protection, analisi comportamentale o altro, mentre gli altri forniscono in più queste ultime, pur se in modo potenzialmente superabile tramite questo attacco.

Io avevo capito che protegge utilizzando le nuove API che descrivevi qualche post fa:

Concludo evidenziando come la pratica di installare hook, utilizzata da pressoché tutti i produttori di software di sicurezza che implementano funzionalità di auto-protezione o di analisi comportamentale di qualunque tipo, è sempre stata sconsigliata da Microsoft, che con il Service Pack 1 di Vista ha iniziato a introdurre alcune API che consentono di eseguire le operazioni richieste dai software di sicurezza senza fare uso degli hook ed eliminando il problema alla radice.

Infatti credo che protegga solo su Vista e 7 (che erano già più protette) e non su XP.

[Silver Black]

Quindi la differenza tra MSE e la maggior parte degli altri prodotti è che il primo implementa solo le funzioni standard di antivirus (che non richiedono l'uso di hook) e non include self-protection, analisi comportamentale o altro, mentre gli altri forniscono in più queste ultime, pur se in modo potenzialmente superabile tramite questo attacco.

Non ha l'analisi in real time?! Sicuro? Mi sembra strano, ho guardato i video di Microsoft e mi pare di sì.

[developerwinme]

Non ha l'analisi in real time?! Sicuro? Mi sembra strano, ho guardato i video di Microsoft e mi pare di sì.

Se per analisi in real-time intendiamo quella che analizza un file quando viene eseguito/aperto/salvato allora MSE la include (e non è neanche male ); se parliamo di controllo delle azioni dei programmi (funzionalità HIPS) o funzionalità di auto-protezione, il primo non è presente, la seconda solo tramite le funzioni offerte da NTFS e dal registro di sistema (cioè semplice protezione dei file e delle chiavi di registro con ACL; i processi sono terminabili tranquillamente).

...

Come dicevo sopra MSE non include analisi comportamentale e auto-protezione (sebbene con le nuove API sia possibile implementare in modo sicuro queste funzionalità, anche se in modo meno efficace che con gli hook classici (che però sono vulnerabili all'attacco di Matousec)).

Personalmente mi sento di consigliare Avast! 5 come antivirus. Infatti, al di la delle qualità dimostrate nel test di crazy.cat il programma utilizza gli hook solo per l'auto-protezione e per il controllo del traffico Web. La protezione standard (quella in tempo reale di cui sopra) è implementata in modo sicuro tramite un filtro sul file system.

P.S. Se volete verificare quali hook sono presenti sul vostro PC è possibile utilizzare GMER.

[developerwinme]

Segnalo che Check Point (i produttori di ZoneAlarm, per intenderci) ha risposto a Matousec qualche giorno fa facendo notare come i loro prodotti presentino una funzionalità che dovrebbe contrastare l'attacco in questione:

http://forums.zonealarm.com/showthread.php?t=74208

https://supportcenter.checkpoint.com/su ... rityAlerts

Anche altri produttori hanno avanzato dei dubbi sul come il test di Matousec sia stato effettuato, tuttavia nessun ha affermato con la stessa certezza di Check Point di aver risolto il problema (la società israeliana dice di averlo risolto già dal 2009), anche se molti hanno detto di essere al lavoro per approfondire la questione.