Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Commenti a "Falla in win32k.sys consente di bypassare UAC"

Vuoi discutere qualcosa che riguarda le nostre News? Vuoi darci la tua opinione sui nostri articoli? Complimentarti o muovere una critica? Questa è la sezione giusta!

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » sab nov 27, 2010 5:28 pm

farbix89 ha scritto:
deepdark ha scritto:
Per cortesia, non facciamo terrorismo informatico


Suvvia,la fonte stessa che hai postato sembra un bollettino di terroristi [:D]

Why is this flaw considered critical? This flaw allows all software, even if run from a limited account, to gain system privileges. We see many of drive-by attacks, which make use of application exploits to drop malware on vulnerable machines. While there are still a huge number of customers who are used to run their operating system with administrative privileges, most users are using limited accounts or administrator accounts in Admin Approval Mode (User Account Control). Using a limited account gives them a great advantage versus malware, because it limits the vulnerable surface the malware can damage. This 0-day exploit allows a malware that has already been dropped on the system to bypass these limitations and get the full control of the system.


Questa falla ha un peso ENORME su tutti i Windows installati finora,considerando per ipotesi che:

1 la maggioranza degli utenti utilizza account amministrativi,e molti di questi disattivano pure UAC [f] questi qui si sarebbero infettati comunque,in qualsiasi maniera,anche con 3 antivirus installati

2 utenti ragionevoli con account amministrativi che lasciano UAC attivo e si dotano di un buon pacchetto di sicurezza [f] Utenti difficili da infettare,ma se un giorno il loro pacchetto sicurezza fa cileca.....formattano

3 Utenti paranoici con account limitati,UAC al massimo stile Vista,Sandbox e altra roba da "guerra biologia" a disposizione [f] Questi non li infetti praticamente mai,se non superi uno a uno tutti i programmi e le contromisure che adottano.

se sconfiggi questi ultimi hai vinto la sfida con tutti gli altri: al momento i malviventi hanno superato UAC e altre contromisure del sistema operativo,alcuni virus si fanno beffa delle Sandbox e altri ancora "mutano" per ingannare Euristica e firme antivirali.

é una partita a Scacchi: se riesci a far cadere gli utenti più bravi e attenti in fatto di sicurezza (il RE),il gioco è finito,cadono anche i pedoni e i restanti pezzi della scacchiera (tutti gli utenti poco pratici di PC)

EDIT

ovviamente parliamo di rischio "potenziale": ovvio che se non scarichi nulla di pericoloso/poco attendibile/sconosciuto,non rischi nulla.
Ma il pericolo è lì.


1 Sono uno di quelli che naviga con account admin e uac disabilitato, 1 solo antivirus e un firewall (utile solo per capire cosa esce). MAI infettato.
2 Se usi l'UAC il tuo browser (i.e.) gira sotto sandbox di suo. Inoltre dovresti sfruttare una falla 0day degli altri (Opera, Firefox) per poter rimanere infetti.
3 Concordo. Inoltre hanno molta più esperienza degli altri, quindi sanno quello che scaricano.

La falla la puoi sfruttare SOLO se trovi un 0day nel sistema o se scarichi e installi/fai partire volutamente qualcosa da qualche sito strano, ma in tal caso saresti infetto non da oggi e non per colpa microsoft.

Per Secunia la falla è "Less critical" e tanto basta a chiudere il discorso visto che prevx VENDE antivirus.
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 6:17 pm

deepdark ha scritto:Per Secunia la falla è "Less critical" e tanto basta a chiudere il discorso visto che prevx VENDE antivirus.



L' Exploit è "less critical" perché ora non fa nessun danno al sistema.

è un seplicissimo file .exe che non fa avviare UAC,tutto qui.

Ma cosa succede se viene integrato in un trojan/worm?Allora quel Trojam/Worm diventa "Critical" [V]

Ora carico l'epxloit su MegaVirusLab [:)]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 6:21 pm

Ecco l'exploit che fa tanto rumore,solo per gli utenti di MegaLab.it [^]

topic68303.html
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm


Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » sab nov 27, 2010 6:54 pm

farbix89 ha scritto:
deepdark ha scritto:Per Secunia la falla è "Less critical" e tanto basta a chiudere il discorso visto che prevx VENDE antivirus.


Ma cosa succede se viene integrato in un trojan/worm?Allora quel Trojam/Worm diventa "Critical" [V]

]


Che diventa pericoloso come un qualunque rootkit?
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda nV 25 » sab nov 27, 2010 6:54 pm

farbix89 ha scritto:Con la sandbox a "limitato" non passa nulla,ho appena provato [8D]

Hai la possibilità di inserire uno screenshot?
Te lo chiedo non per scetticismo quanto per il fatto che il tuo report "stona" con quello che risulta su canali stranieri...

DefenseWall è qui,
http://www.hwupgrade.it/forum/showpost.php?p=33773127&postcount=15
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 7:04 pm

deepdark ha scritto:
Che diventa pericoloso come un qualunque rootkit?


Un qualunque rootkit fa scattare UAC [rolleyes]

nV 25 ha scritto:Te lo chiedo non per scetticismo quanto per il fatto che il tuo report "stona" con quello che risulta su canali stranieri...


Provvedo subito con lo screenshot...vedo di postarlo domani [^]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda nV 25 » sab nov 27, 2010 7:22 pm

farbix89 ha scritto:Un qualunque rootkit fa scattare UAC [rolleyes]

rischio di addentrarmi in un discorso che conosco superficialmente (da quando ho 7, infatti, l'UAC l'ho disabilitato *di default* [weponed] ) ma (molto velocemente..) credo che capire dal semplice pop-up prodotto dall'UAC che si è di fronte ad un Rootkit sia una cosa francamente troppo ottimistica:
sono infatti n gli eseguibili (anche quelli più innocui) che richiedono privilegi elevati per poter funzionare correttamente..

Questo per dire che il pop up prodotto dall'UAC informa semplicemente della richiesta di (maggiori) privilegi operata da un processo XY:
se noi già in partenza rifiutiamo quest'autorizzazione, è logico che il processo si interrompe (quale che sia peraltro il suo effetto, benevolo o meno)...
E' una sorta di "controllo di prima esecuzione" come quello implementato negli HIPS puri...

Ma capire che da una semplice richiesta di privilegi ci può essere dietro un Rootkit...
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 7:42 pm

nV 25 ha scritto:
Ma capire che da una semplice richiesta di privilegi ci può essere dietro un Rootkit...


[^]

era una risposta a deepdark:

qual è la differenza tra un malware generico che sfrutta questo baco e un malware generico che non lo sfrutta?

il malware generico che non sfrutta il baco farà scattare UAC (che confermiamo o meno sono problemi nostri),il malware generico che sfrutta il baco NON farà scattare UAC (senza la possibilità di bloccare l'aumento di privilegi,non ci lascia scelta che eseguirlo)

A parità di danni,qual è il malware più pericoloso?
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » sab nov 27, 2010 8:25 pm

farbix89 ha scritto:
nV 25 ha scritto:
Ma capire che da una semplice richiesta di privilegi ci può essere dietro un Rootkit...


[^]

era una risposta a deepdark:

qual è la differenza tra un malware generico che sfrutta questo baco e un malware generico che non lo sfrutta?

il malware generico che non sfrutta il baco farà scattare UAC (che confermiamo o meno sono problemi nostri),il malware generico che sfrutta il baco NON farà scattare UAC (senza la possibilità di bloccare l'aumento di privilegi,non ci lascia scelta che eseguirlo)

A parità di danni,qual è il malware più pericoloso?


L'utente che ha comunque scaricato malware?

Se scarico malware non sarò tanto furbo da vietargli l'esecuzione da UAC, no?
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 8:41 pm

deepdark ha scritto:L'utente che ha comunque scaricato malware?


Spesso non lo sa che è malware....ho con me molto malware con nomi innocui: NeroSetup.exe,FreeVideoDownloadherper.exe......

Se scarico malware non sarò tanto furbo da vietargli l'esecuzione da UAC, no?


e se sfrutta il baco di questo articolo?

Tu ti aspetteresti di vedere la finestra di UAC,ma non appare proprio nulla,anche con UAC al Massimo....i privilegi sono aumentati senza nemmeno tirarti in causa.

Speriamo che correggano subito,prima di vedere davvero malware così in giro.

PS

Ecco CIS 5 come blocca l'exploit con la sandbox "limitata",prima che faccia danni

http://yfrog.com/42cis0p
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » sab nov 27, 2010 9:39 pm

farbix89 ha scritto:Spesso non lo sa che è malware....ho con me molto malware con nomi innocui: NeroSetup.exe,FreeVideoDownloadherper.exe......



Di certo non sono di provenienza lecita, diciamo che uno se le va a cercare, falle o meno.

farbix89 ha scritto:e se sfrutta il baco di questo articolo?
Tu ti aspetteresti di vedere la finestra di UAC,ma non appare proprio nulla,anche con UAC al Massimo....i privilegi sono aumentati senza nemmeno tirarti in causa.


E secondo te uno che scarica warez si preoccupa che compaia l'uac o no? Sono convintissimo che se anche dovesse comparire farebbe click su "permetti"

farbix89 ha scritto:Speriamo che correggano subito,prima di vedere davvero malware così in giro.


Lo spero anche io.

Di certo altri non sono messi meglio:

http://secunia.com/advisories/13572
http://secunia.com/advisories/13308
http://secunia.com/advisories/11931

(sia chiaro che non voglio minimizzare il tutto ne tirare in ballo altri, anzi, però da un certo "fastidio" quando si spara a zero senza un vero motivo)
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Gnulinux866 » dom nov 28, 2010 12:57 am

deepdark ha scritto:
farbix89 ha scritto:Spesso non lo sa che è malware....ho con me molto malware con nomi innocui: NeroSetup.exe,FreeVideoDownloadherper.exe......



Di certo non sono di provenienza lecita, diciamo che uno se le va a cercare, falle o meno.

farbix89 ha scritto:e se sfrutta il baco di questo articolo?
Tu ti aspetteresti di vedere la finestra di UAC,ma non appare proprio nulla,anche con UAC al Massimo....i privilegi sono aumentati senza nemmeno tirarti in causa.


E secondo te uno che scarica warez si preoccupa che compaia l'uac o no? Sono convintissimo che se anche dovesse comparire farebbe click su "permetti"

farbix89 ha scritto:Speriamo che correggano subito,prima di vedere davvero malware così in giro.


Lo spero anche io.

Di certo altri non sono messi meglio:

http://secunia.com/advisories/13572
http://secunia.com/advisories/13308
http://secunia.com/advisories/11931

(sia chiaro che non voglio minimizzare il tutto ne tirare in ballo altri, anzi, però da un certo "fastidio" quando si spara a zero senza un vero motivo)


Scusa ma il contenuto dei link che posti lo leggi?

Riporti dei link di vecchie vulnerabilità del kernel Linux di diversi anni fa, oltre tutto vulnerabilità risolte con l'upgrade alla versione successiva del kernel stesso, ti fai ingannare dalla dicitura " Unpatched " ma devi leggere oltre, ci sono i CVE con relativi link, altrimenti come mai Secunia non trova nessuna falla aperta in tutte le versioni di Ubuntu? Prova a cercare, anzi leggi bene il contenuto di quello che posti.
Lasciamo questo piccolo ot, torniamo al problema della vulnerabilità del kernel di tutti i Windows in "Life Cycle", le falle 0day con relativo exploit rappresentano delle autentiche porte d'ingresso, se queste porte sono aperte solo da locale, bisogna utilizzare un veicolo per sfruttare l'exploit, che può essere un malware o un altra falla, ci sono prodotti continuamente fallati vedi IE, Flash Player, Adobe Reader, che possono fare da veicolo, Microsoft deve patchare in tempi brevissimi questa falla, per evitare che i virus writers la prendano da riferimento per sparare malware a gogo, l'API NtGdiEnableEUDC non convalida correttamente alcuni input, causando uno stack overflow sovrascrivendone l'indirizzo di ritorno immagazzinato nello stack, un hacker con del malware ad hoc potrebbe facilmente sovrascrivere quell'indirizzo per dirottare le istruzioni a proprio piacimento, per questo Ms deve intervenire subito.

Comunque, visto che ti lamenti di chi commenta e da alla falla la giusta importanza, accusando di sparare a 0, ti faccio presente che sono disponibili sul web anche articoli, che seguono la stessa linea della criticità:

http://www.tomshw.it/cont/news/windows- ... 271/1.html

http://punto-informatico.it/3045943/PI/ ... ernel.aspx
Avatar utente
Gnulinux866
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: ven set 18, 2009 10:41 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Neo123 » dom nov 28, 2010 4:30 am

Ragazzi, ho letto la news, si e’ verissimo che e’ un problema grave, ma dipende da quale punto di vista.
Se parliamo di scavalcare i privilegi di un utente e’ una cosa se parliamo del controllo UAC diciamo e’ un'altra cosa.
Un es. io uso ancora Win XP Prof, beh sono administrator non ho alcun controllo UAC eppure non mi sono mai beccato un virus o malware di alcun genere eppure ho il controllo completo equivalente ad essere super administrator su vista o win 7.
Da tecnico posso dire che il sistema di controllo uac aiuta ma per me era logico che prima o poi purtroppo avrebbero trovato il modo di eluderlo, purtroppo software protetti al 100% non esistono, alla fine la differenza la fa soprattutto l’utente e le scelte che fa.
Il problema adesso e’ che come dite chiunque anche con accesso limitato può eseguire comandi come amministratore e’ questo naturalmente come dicevo all’inizio e’ grave.
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda nV 25 » dom nov 28, 2010 10:18 am

farbix89 ha scritto:Ecco CIS 5 come blocca l'exploit con la sandbox "limitata",prima che faccia danni

http://yfrog.com/42cis0p

quello che si ricava dalla lettura dell'immagine postata poc'anzi è però cosa diversa da quanto dichiarato.
Infatti, si vede chiaramente che CIS isola in via automatica il PoC secondo quella che è la policy desiderata dall'utente (in questo caso, limitato..) ma non vi è risposta alla domanda "whoami" eseguita tramite prompt dei comandi (cmd.exe)...
Di conseguenza, è impossibile affermare l'insuccesso o meno del PoC..
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » dom nov 28, 2010 10:37 am

nV 25 ha scritto:
farbix89 ha scritto:Ecco CIS 5 come blocca l'exploit con la sandbox "limitata",prima che faccia danni

http://yfrog.com/42cis0p

quello che si ricava dalla lettura dell'immagine postata poc'anzi è però cosa diversa da quanto dichiarato.
Infatti, si vede chiaramente che CIS isola in via automatica il PoC secondo quella che è la policy desiderata dall'utente (in questo caso, limitato..) ma non vi è risposta alla domanda "whoami" eseguita tramite prompt dei comandi (cmd.exe)...
Di conseguenza, è impossibile affermare l'insuccesso o meno del PoC..


Buon giorno Enne. [:)]
L' "omino predefinito" quale avatar non ti si addice..... [:p]
Ormai mi sono abituato al tuo solito avatar "luminoso"..... [^] [^]

Saluti. [:)]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda nV 25 » dom nov 28, 2010 10:39 am

sampei.nihira ha scritto:
nV 25 ha scritto:
farbix89 ha scritto:Ecco CIS 5 come blocca l'exploit con la sandbox "limitata",prima che faccia danni

http://yfrog.com/42cis0p

quello che si ricava dalla lettura dell'immagine postata poc'anzi è però cosa diversa da quanto dichiarato.
Infatti, si vede chiaramente che CIS isola in via automatica il PoC secondo quella che è la policy desiderata dall'utente (in questo caso, limitato..) ma non vi è risposta alla domanda "whoami" eseguita tramite prompt dei comandi (cmd.exe)...
Di conseguenza, è impossibile affermare l'insuccesso o meno del PoC..


Buon giorno Enne. [:)]
L' "omino predefinito" quale avatar non ti si addice..... [:p]
Ormai mi sono abituato al tuo solito avatar "luminoso"..... [^] [^]

Saluti. [:)]

ciao anche a te, pescatore..
Si, ora vedo di cambiarlo visto che fa pena anche a me.. [fischio]
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » dom nov 28, 2010 10:48 am

Ecco il vero Enne !! [:)] [^] [^]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » dom nov 28, 2010 11:50 am

nV 25 ha scritto:
farbix89 ha scritto:Ecco CIS 5 come blocca l'exploit con la sandbox "limitata",prima che faccia danni

http://yfrog.com/42cis0p

quello che si ricava dalla lettura dell'immagine postata poc'anzi è però cosa diversa da quanto dichiarato.
Infatti, si vede chiaramente che CIS isola in via automatica il PoC secondo quella che è la policy desiderata dall'utente (in questo caso, limitato..) ma non vi è risposta alla domanda "whoami" eseguita tramite prompt dei comandi (cmd.exe)...
Di conseguenza, è impossibile affermare l'insuccesso o meno del PoC..


Intuisco dalla mancanza di commenti che non si è capito.
Ecco un video, forse (data la lingua) più esplicativo:

http://www.exploit-db.com/movies/uacvideo.swf
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » dom nov 28, 2010 2:12 pm

Stamattina COMODO ha rilasciato le firme per l'antivirus,e ha cancellato la minaccia senza nemmeno aprire la cartella dov'era contenuta [:)]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda nV 25 » dom nov 28, 2010 2:12 pm

se ti riferisci a me ti sbagli perché (presuntuosamente, quando parlo di questi argomenti) è difficile che dia fiato alle corde senza sapere di cosa stò parlando, tant'è vero che il test da me condotto con DW si presta ad un'unica conclusione, e cioè che questo policy based sandbox (sceenshot alla mano...) è in grado di contenere l'exploit in questione senza dar adito a se, ma o dubbi di altro genere.

Detto questo, invece che portare a testimonianza un video (pur chiaro..) in cinese, era sufficente linkare il video girato direttamente da eraser (oltretutto, su un OS italiano),
http://www.youtube.com/watch?v=kkXaLsDG4j0
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

PrecedenteProssimo

Torna a Commenti

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising