MegaLab.it

Falla in win32k.sys consente di bypassare UAC - Commenti

Una nuova debolezza in un file di sistema critico permette anche agli account limitati di eseguire programmi con pieni privilegi amministrativi, senza nemmeno far scattare il Controllo account utente. Il codice dimostrativo è già in circolazione. [continua...]

Vale anche per le versioni a 64bit?

Si, il file in questione è presente anche nella 64bit.

E cade anche l'ultima difesa per l'utente distratto

Aperto il vaso di Pandora.....Ora si moltiplicheranno i virus che "non fanno scattare UAC".

Speriamo che aggiornino presto perché la falla non è grave...è gravissima,critica.

Vabbè che molti utenti cliccano sempre su Si/Consenti: un possibile virus UAC-Bypass ha solo un passaggio in meno da effettuare

Non resta che la prevenzione: affidarsi esclusivamente a misure di sicurezza integrate come UAC o software di terze parti può non essere sufficiente.

Microsoft fa l'ennesima figura di m..da...

Tutti i sistemi come qualsiasi software non sono esenti da bug, quindi il fatto che un sistema operativo abbia delle vulnerabilità gravi e non gravi, non dovrebbe destare scalpore, il problema in questa caso è che la falla in questione del kernel permette di bypassare tutte le protezioni, tra le quali anche UAC, il sistema che gestisce la separazione dei privilegi utente su Win7 e Vista, questo è gravissimo, in un OS che si rispetti non deve verificarsi una cosa simile.

Bene, ora neppure l'UAC può salvarci... Per fortuna che esiste Linux!

Per poter sfruttare questa falla bisogna avere accesso fisico alla macchina oppure farla partire come un normale virus (quindi bisogna scaricarla e farla partire).
Non vedo nessun pericolo in più per chi già è abituato a una navigazione "allegra", inoltre, se tale falla non esistesse, si è già infetti se si ha l'abitudine di installare tutto ciò che proviene da warez/emule.

In altre parole, per sfruttarla, bisogna avercela nel cervello la falla.

Dimenticavo, per chi dice che linux (che è come parlare di sistemi NT di microsoft in quanto è un kernel e NON un sistema operativo) è immune da virus: http://www.iphoner.it/android-ancora-vi ... ile-google fa semplicemente disinformazione.

deepdark ha scritto:Dimenticavo, per chi dice che linux (che è come parlare di sistemi NT di microsoft in quanto è un kernel e NON un sistema operativo) è immune da virus: http://www.iphoner.it/android-ancora-vi ... ile-google fa semplicemente disinformazione.

Ma infatti nessuno qui dice che Linux è immune da virus

Io stesso ho testato ,provato e creato oltre 67 virus molto pericolosi per Linux.....

La vuoi sapere la differenza sostanziale?

Su distro GNU/linux devi sudare come un matto per attivare una minaccia,e basta un semplice comando da terminale per ripulire il tutto.

Non mi pare che lo stesso si possa dire di Windows

Android è una piattaforma basata su Linux che non ricalca le misure di sicurezza normalmente utilizzate in distribuzioni per desktop.

Il motivo di ciò è ripercorribile alla natura mobile del dispositivo....ti immagini a digitare su,sudo apt-get install e altri comandi su un Telefonino?

L'utente medio lo butterebbe dalla finestra al primo tentativo

Google lo ha semplificato in maniera così sostanziale da renderlo molto vulnerabile ad attacchi informatici.

la frase dell'articolo segnalato poi dice tutto

Questo malware si insedia all’interno del device tramite un falso media player pornografico che l’utente scarica e installa nel device.

Un player pornografico?


"Chi è causa del suo mal,pianga se stesso"

Su windows esiste l'account limitato che impedisce lo sfruttamento delle falle (a meno di bug come quello sopra) e l'installazione di virus. Se poi uno si vuol far del male e scaricare (e installare) la qualunque da internet peggio per lui, ma scaricare un programma dannoso è fattibile per qualunque S.O. https://www.pcalsicuro.com/main/2010/03 ... i-inutili/ come tu stesso hai detto. Che sia più difficile crearlo non saprei, non sono un programmatore, ma poco cambia, di necessità (di infettare) se ne fa virtù.

Il vettore è fondamentale, e se è possibile sfruttarla da remoto anche tramite un semplice sito WEB è importante da sapere. Se invece riguarda l’esecuzione di codice in locale (= ti scarichi il tuo bel crack da emule e lo esegui ingenuamente) è molto ridimensionabile il danno prevedibile su vasta scala.

Mi fanno comunque ridere gli appelli al “hanno scavalcato l’UAC”, “ecco! L’UAC non è sicuro”! Qui UAC non c’entra nulla: è un caso di EOP (esacalation of privileges), come ci sono e saranno sempre per tutti i sistemi operativi inclusi Linux e MacOSX.

La vera notizia invece che è da 3 anni almeno che non si era visto niente del genere, da quando Vista ha fortunatamente introdotto l’UAC in Windows e tentato di educare gli utenti al sano principio dei least prvileges che da solo (e un pizzico di cervello a non eseguire da amministratore ogni cosa) rende inefficace il 92% del malware circolante per Win.

sampei.nihira ha scritto:Qualche info in più.
La falla è sfruttabile da un malwares che è già presente nei nostri sistemi,mentre è impossibile l'azione ex-novo da remoto.
Un ennesima conferma che la prevenzione affidata ad un ottima configurazione di sicurezza è sempre l'arma migliore per la protezione dei nostri pc connessi alla rete.

Marco Giuliani dal blog di Prevx ci fà sapere che il sw ,aggiornato proprio per l'occasione, è già in grado di proteggere il sistema da questa falla.
Anche la versione free.

http://www.prevx.com/blog/162/Windows-d ... ssion.html

Quindi con obiettivo cinismo:
- si fa il classico terrorismo informatico allarmando tutti di una gravissima falla, valida anche per i più moderni Windows.
- non si specifica però (attentamente) il vettore (= file scaricati, un semplice sito web, flash...) mantenendo appunto lo status di "terrorismo informatico"
- la cosa poi si sgonfia risultando in un classico EOP come ci sono da sempre pet tutti gli OS (e che effettivamente non si vedevano da 3 anni da Vista in poi) riproducibile solo scaricando ed eseguendo volontariamente codice in locale.
- ovviamente PrevX ha "la cura"

Escludendo I.E. (usarlo vorrebbe dire darsi la zappa sui piedi visto anche le molto più valide alternative), le falle di Windows sfruttabili da remoto sono molto ma molto poche (parlo di falle 0day), ben più pericolosi sono flash, adobe, quicktime, ecc e ancor più l'utente.
E' finito il tempo di "ho aperto internet e mi sono infettato", se così fosse vorrebbe dire che non patchi il sistema (o che usi i.e.). Ormai nel 99% dei casi ci si infetta perché si è "distratti" o per menefreghismo. Nell'1% inserisco chi viene infetto dall'autorun delle chiavette, non disattivabile da chi non ha un po' di "malizia" e che comunque non usa un buon antivirus (comunque sempre colpa dell'utente). Tutto ciò sotto win Xp poichè se si parla di Seven (soprattutto se a 64bit) bisogna avere la volontà di infettarsi (e molte volte non basta neppure quella).

C'è crisi anche per i sistemi antivirus, si danno da fare per creare allarmismi inutili.

Ragazzi, come ho scritto nel mio commento precedente, tutti i sistemi come qualsiasi software non sono esenti da bug, quindi il fatto che un sistema operativo abbia delle vulnerabilità gravi e non gravi, non dovrebbe destare scalpore, il problema in questa caso è che la falla in questione del kernel permette di bypassare tutte le protezioni, tra le quali anche UAC, il sistema che gestisce la separazione dei privilegi utente su Win7 e Vista, questo è gravissimo, in un OS che si rispetti non deve verificarsi una cosa simile, il kernel è il cuore del sistema operativo e deve essere adeguatamente protetto.

Un falla così grave sfruttabili principalmente in locale, può essere tranquillamente veicolata da altro malware, non a caso Giuliani scrive: : ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/

Come ha scritto già qualcuno questa falla è una sorta di vaso di pandora, che deve essere chiusa subito, altrimenti diventa di rifermento per virus writers, anzi credo che già lo sia.

Gnulinux866 ha scritto:Ragazzi, come ho scritto nel mio commento precedente, tutti i sistemi come qualsiasi software non sono esenti da bug, quindi il fatto che un sistema operativo abbia delle vulnerabilità gravi e non gravi, non dovrebbe destare scalpore, il problema in questa caso è che la falla in questione del kernel permette di bypassare tutte le protezioni, tra le quali anche UAC, il sistema che gestisce la separazione dei privilegi utente su Win7 e Vista, questo è gravissimo, in un OS che si rispetti non deve verificarsi una cosa simile, il kernel è il cuore del sistema operativo e deve essere adeguatamente protetto.

Un falla così grave sfruttabili principalmente in locale, può essere tranquillamente veicolata da altro malware, non a caso Giuliani scrive: : ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/

Come ha scritto già qualcuno questa falla è una sorta di vaso di pandora, che deve essere chiusa subito, altrimenti diventa di rifermento per virus writers, anzi credo che già lo sia.

Per cortesia, non facciamo terrorismo informatico:

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw
http://www.prevx.com/blog/162/Windows-d ... ssion.html

Less critical per secunia: http://secunia.com/advisories/42356

deepdark ha scritto:
Per cortesia, non facciamo terrorismo informatico

Suvvia,la fonte stessa che hai postato sembra un bollettino di terroristi

Why is this flaw considered critical? This flaw allows all software, even if run from a limited account, to gain system privileges. We see many of drive-by attacks, which make use of application exploits to drop malware on vulnerable machines. While there are still a huge number of customers who are used to run their operating system with administrative privileges, most users are using limited accounts or administrator accounts in Admin Approval Mode (User Account Control). Using a limited account gives them a great advantage versus malware, because it limits the vulnerable surface the malware can damage. This 0-day exploit allows a malware that has already been dropped on the system to bypass these limitations and get the full control of the system.

Questa falla ha un peso ENORME su tutti i Windows installati finora,considerando per ipotesi che:

- la maggioranza degli utenti utilizza account amministrativi,e molti di questi disattivano pure UAC questi qui si sarebbero infettati comunque,in qualsiasi maniera,anche con 3 antivirus installati

- utenti ragionevoli con account amministrativi che lasciano UAC attivo e si dotano di un buon pacchetto di sicurezza Utenti difficili da infettare,ma se un giorno il loro pacchetto sicurezza fa cileca.....formattano

- Utenti paranoici con account limitati,UAC al massimo stile Vista,Sandbox e altra roba da "guerra biologia" a disposizione Questi non li infetti praticamente mai,se non superi uno a uno tutti i programmi e le contromisure che adottano.

se sconfiggi questi ultimi hai vinto la sfida con tutti gli altri: al momento i malviventi hanno superato UAC e altre contromisure del sistema operativo,alcuni virus si fanno beffa delle Sandbox e altri ancora "mutano" per ingannare Euristica e firme antivirali.

é una partita a Scacchi: se riesci a far cadere gli utenti più bravi e attenti in fatto di sicurezza (il RE),il gioco è finito,cadono anche i pedoni e i restanti pezzi della scacchiera (tutti gli utenti poco pratici di PC)

EDIT

ovviamente parliamo di rischio "potenziale": ovvio che se non scarichi nulla di pericoloso/poco attendibile/sconosciuto,non rischi nulla.
Ma il pericolo è lì.

sampei.nihira ha scritto:Ho letto anche che CIS ha qualche problemino con il Poc,chi usa questo sw si informi meglio....

Con la sandbox a "limitato" non passa nulla,ho appena provato