www.MegaLab.it

[farbix89]

La prossima zona interessata dall'hardening sarà la parte "Deny elevation of unsigned programs"

Interessantissimo

Il motivo risiede nella facilità di elevazione dell'IL di un sw alla stessa stregua del suo abbassamento.
La parte interessante è che dopo una modifica suigeneris il sw che potrebbe essere "colpito" perde la validità della sua firma

Quello che dicevo io in qualche topic sull'IL: se posso elevarlo a mano,un malware può abbassarlo,in particolare se l'utente regala privilegi

[sampei.nihira]

Si ma la facilità è sempre relativa perché UAC vigila e viene richiesta sempre la pass amministratore.
Comunque bella la teoria ma si scontra con la pratica.
Intanto un sw a cui è abbassato l'IL a low non si avvia in presenza del trick 1806.
Mentre la rimozione del blocco di un eseguibile downloadato dal browser è cosa facile.

Sarebbe interessante capire ciò.........

[nix87]

Sampei, non so se ne hai già parlato prima (o in un diverso 3D), ma non ho trovato nulla in riguardo del trucco 1806.

Potresti illuminarmi su cosa è come si attiva eventualmente (anche postando dei link se vuoi...) ?

[sampei.nihira]

Sampei, non so se ne hai già parlato prima (o in un diverso 3D), ma non ho trovato nulla in riguardo del trucco 1806.

Potresti illuminarmi su cosa è come si attiva eventualmente (anche postando dei link se vuoi...) ?

Certamente ma dovrei prima capire io stesso alcune "incongruenze",non molto del mio tempo libero (specie il fine settimana ma sopratutto quando accade che è il compleanno di mia figlia) è dedicato a questa "informattività" (nuovo neologismo ) potresti attendere almeno 1 gg ?
Se poi non le capisco inserisco ciò che ho avuto modo di constatare fino ad oggi !!
Ma come al solito non tutto,per quello aspetto sempre qualche utente che ponga qualche domanda.
E' una mia caratteristica che mi accompagna dalle scuole superiori.

Si vede che sono rimasto affascinato dal metodo di Leonardo........

[sampei.nihira]

Allora ti inserisco quello che ho avuto modo di constatare fino adesso perché non riesco presumo non solo per i miei limiti ma anche per i limiti di PE ottenere alcune info fondamentali per i miei tests.
Cosa è il trucco 1806 ?
Una semplice modifica di un valore del registro che impedisce di lanciare gli eseguibili downloadati con il browser nel modo solito.
Io ho verificato ciò con Chrome,occorrerebbe verificare cosa accade con Firefox ed Opera, perché con I.E. lo sò già cioè un download completamente impedito.
Il trucco 1806 non è compatibile con l'abbassamento manuale dell'IL di alcuni sw.

Il percorso di registro lo trovi evidenziato nella terza immagine del link sotto:

http://www.wilderssecurity.com/showpost ... stcount=62

Il merito di evidenziare questo trucco è dell'utente Kees1958.
Ecco i pop-up tradotti in italiano ed il metodo per lanciare un eseguibile:

http://www.hwupgrade.it/forum/showpost. ... count=3725

In merito al drive by donwload che leggi io ritengo sia così,anche se con qualche limite ma un utente molto ferrato in materia sostiene il contrario.
Quindi a meno di spiegazioni dettagliate che al momento non ci sono perché ho appena postato un mio controbattere non posso rispondere a domande in merito.

Spero sia interessante.

[sampei.nihira]

Vorrei continuare il discorso (o monologo non sò..... ) sul "Deny elevation of unsigned programs".
La semplice modifica del registro permette un rafforzamento dello UAC.
Nel senso che gli eseguibili non firmati e convalidati non potranno essere elevati a livello amministratore.
Si intuisce l'importanza in un eventuale bypass di UAC.
Oltretutto ho verificato che sono abbastanza gli eseguibili con tali caratteristiche.
Ecco sotto il principio di una lista:

Java*
LibreOffice*
SumatraPdf*
Bandizip
VLC

Oltretutto quelli con l' * spesso convolti in bugs importanti o come vettore di vulnerabilità critiche.
Ovvio che in caso di installazione/aggiornamento che richieda i diritti amministrativi occorre disattivare la modifica altrimenti.....

Ma il discorso non si esaurisce quì ci sono altre implicazioni.
Ed il tutto andrebbe verificato.

Se un sw non si trova installato nella "posizione canonica" (anche in questo caso occorre verificare se la cartella comprende programmi e/o programmi files (x86) ) anche in presenza di firma convalidata l'elevazione verrebbe (il condizionale è d'obbligo) impedita.

E' ad esempio il caso di Chrome cui una elevazioni di privilegi sarebbe impedita comunque.....

E cosa accade con gli eseguibili portable posizionati ad esempio in documenti o altrove ?

Se c'è spero qualche utente che ha la curiosità di testare tutto ciò ben venga altrimenti lo farò io quando ne avrò tempo......

[nix87]

@ sampei

Grazie per i link sul trick 1806.

Ho letto, qualche post sopra, che hai disabilitato la SRP per mantenere attivo solo 1806.
Ma se, malauguratamente, ti becchi un malware da supporto rimovibile (usb, ecc...) che, magari per disattenzione, non provveduto prima a verificare ?
Li non funziona 1806, mentre potrebbe sempre intervenire (entro i suoi limiti di azione) la SRP.

[sampei.nihira]

@ sampei

Grazie per i link sul trick 1806.

Ho letto, qualche post sopra, che hai disabilitato la SRP per mantenere attivo solo 1806.
Ma se, malauguratamente, ti becchi un malware da supporto rimovibile (usb, ecc...) che, magari per disattenzione, non provveduto prima a verificare ?
Li non funziona 1806, mentre potrebbe sempre intervenire (entro i suoi limiti di azione) la SRP.

Quel pc è in una fase di test costanti che probabilmente cesseranno presto visto che mia figlia non sopporta proprio questi "esperimenti pazzi" !!!
Quindi una parte della configurazione di sicurezza è stabile ed assodata (e basta da sola alla protezione del sistema) l'altra piccola parte è in sviluppo.
Più per un concetto di finezza che altro.

SRP via controllo parentale ha un problema notevole quando è installato Chrome ed il suo google update che si ripresenta all'utente in modo piuttosto marcato e continuo nel tempo.
Avevo provato a inserire l'esecuzione della pianificazione come diritti amministratore ma non sortisce l'effetto sperato.
Si ha quindi un errore di aggiornamenti versione.
Quindi a meno di reperire un modo per ovviare all'inconveniente.......

Questa sera ad esempio velocemente ho provato a modificare,per curiosità,nel file di registro il valore numerico dell'impostazione in merito a "Deny elevation of unsigned programs" ottenendo un 'avviso di errore e di impossibilità ad effettuare la modifica......

Insomma ci vuole tempo e l'uso di un pc in modo costante,ma sopratutto disponibile in presenza di un'idea.
A volte le idee ti vengono quando meno te lo aspetti anche nel cuore della notte !!

Ma queste parole mi ricordano molto un film.

Io sono come un "leone" ed intorno a me c'è il "vento".

Vorrei in chiusura (perché più un discorso è lungo e più diventa noioso) citare la frase del film:

Tu sei come il vento e io come il leone. Tu crei la tempesta, la sabbia punge i miei occhi e la terra è arsa. Io ruggisco e ti sfido, ma tu non mi senti. Però fra noi c'è una grande differenza: io come il leone devo rimanere nel mio posto; tu come il vento non sai mai quale sia il tuo posto

[sampei.nihira]

Dopo un consulto ho deciso di abbandonare il trick 1806 sostituendolo definitivamente con l'abbassamento dell' IL di alcuni sw sensibili.

[sampei.nihira]

Ho inoltre inserito il rafforzamento dello UAC (Deny elevation of unsigned programs).
La mancata elevazione a livello privilegi amministratore si ha sia in mancanza di firma,che ho simulato con
l'abbassamento dell' IL di qualche soft:



ma anche con una firma che manca di convalida.
Potete usare come simulazione un sw tipo OpenOffice oppure Libreoffice.

Se si esegue un sw suigeneris come amministratore si ottiene un pop-up di rifiuto come quello sotto:



Capirete l'importanza di tale settaggio in caso di malwares che solitamente non sono firmati.
Ma qualche caso accade (per esempio quello sotto recente):

http://www.webnews.it/2011/11/15/f-secu ... e-firmato/

Sarebbe interessante verificare se tali malware firmati sono anche convalidati.
Ancora una volta grazie a Process Explorer è possibile verificare la firma dei sw installati nel vostro pc.

Questa modifica al registro necessita di permessi amministrativi.

[sampei.nihira]

OS 7 64 bit
Fw residente
EMET 2.X
Integrity Levels settato a "low" in alcuni sw.
SUA (Standard User Account)
UAC Max + Deny elevation of unsigned programs *
Autoplay on/off
Windows Defender off
Ripristino configurazione sistema off
Norton DNS

Chrome -pagina iniziale Google SSL:


On demand

Hitman Pro

Others

Process Explorer
CCleaner
SUMo Portable

* = che proverò come al solito per un certo lasso di tempo.
Una controindicazione ad esempio è il maggior lasso di tempo che necessità per lanciare un installer.

[eugenio19911]

Vorrei continuare il discorso (o monologo non sò..... ) sul "Deny elevation of unsigned programs".
La semplice modifica del registro permette un rafforzamento dello UAC.
Nel senso che gli eseguibili non firmati e convalidati non potranno essere elevati a livello amministratore.
Si intuisce l'importanza in un eventuale bypass di UAC.
Oltretutto ho verificato che sono abbastanza gli eseguibili con tali caratteristiche.
Ecco sotto il principio di una lista:

Java*
LibreOffice*
SumatraPdf*
Bandizip
VLC

Oltretutto quelli con l' * spesso convolti in bugs importanti o come vettore di vulnerabilità critiche.
Ovvio che in caso di installazione/aggiornamento che richieda i diritti amministrativi occorre disattivare la modifica altrimenti.....

Ma il discorso non si esaurisce quì ci sono altre implicazioni.
Ed il tutto andrebbe verificato.

Se un sw non si trova installato nella "posizione canonica" (anche in questo caso occorre verificare se la cartella comprende programmi e/o programmi files (x86) ) anche in presenza di firma convalidata l'elevazione verrebbe (il condizionale è d'obbligo) impedita.

E' ad esempio il caso di Chrome cui una elevazioni di privilegi sarebbe impedita comunque.....

E cosa accade con gli eseguibili portable posizionati ad esempio in documenti o altrove ?

Se c'è spero qualche utente che ha la curiosità di testare tutto ciò ben venga altrimenti lo farò io quando ne avrò tempo......

un piccolo esperimentino lo eseguito magari inutile però:
con un account da amministratore usando il trucco 1806 e il blocco dei download a me funziona (usando crome) solo se il file viene scaricato nella cartella download mentre se modifico le impostazione di crome e gli imposto di chiedere dove salvare il file questo bypassa le restrizioni, solo lo UAC ti avvisa.
Mentre facendo un copia ed incolla dalla cartella download ad il desktop per esempio mantiene le proprietà di file non sicuro e quindi bloccato.

Vorrei continuare il discorso (o monologo non sò..... )

mi spiace che la pensi così anche se devo darti ragione comunque i tuoi post sono sempre molto interessanti anche se sembrano "abbandonati" io li seguo con interesse

[hashcat]

Pagina iniziale:

https://www.startingpage.com/

Con impostazioni personalizzate.

[sampei.nihira]

Vorrei continuare il discorso (o monologo non sò..... ) sul "Deny elevation of unsigned programs".
La semplice modifica del registro permette un rafforzamento dello UAC.
Nel senso che gli eseguibili non firmati e convalidati non potranno essere elevati a livello amministratore.
Si intuisce l'importanza in un eventuale bypass di UAC.
Oltretutto ho verificato che sono abbastanza gli eseguibili con tali caratteristiche.
Ecco sotto il principio di una lista:

Java*
LibreOffice*
SumatraPdf*
Bandizip
VLC

Oltretutto quelli con l' * spesso convolti in bugs importanti o come vettore di vulnerabilità critiche.
Ovvio che in caso di installazione/aggiornamento che richieda i diritti amministrativi occorre disattivare la modifica altrimenti.....

Ma il discorso non si esaurisce quì ci sono altre implicazioni.
Ed il tutto andrebbe verificato.

Se un sw non si trova installato nella "posizione canonica" (anche in questo caso occorre verificare se la cartella comprende programmi e/o programmi files (x86) ) anche in presenza di firma convalidata l'elevazione verrebbe (il condizionale è d'obbligo) impedita.

E' ad esempio il caso di Chrome cui una elevazioni di privilegi sarebbe impedita comunque.....

E cosa accade con gli eseguibili portable posizionati ad esempio in documenti o altrove ?

Se c'è spero qualche utente che ha la curiosità di testare tutto ciò ben venga altrimenti lo farò io quando ne avrò tempo......

un piccolo esperimentino lo eseguito magari inutile però:
con un account da amministratore usando il trucco 1806 e il blocco dei download a me funziona (usando crome) solo se il file viene scaricato nella cartella download mentre se modifico le impostazione di crome e gli imposto di chiedere dove salvare il file questo bypassa le restrizioni, solo lo UAC ti avvisa.
Mentre facendo un copia ed incolla dalla cartella download ad il desktop per esempio mantiene le proprietà di file non sicuro e quindi bloccato.

Vorrei continuare il discorso (o monologo non sò..... )

mi spiace che la pensi così anche se devo darti ragione comunque i tuoi post sono sempre molto interessanti anche se sembrano "abbandonati" io li seguo con interesse

Buon pomeriggio Eugenio,grazie per la "solidarietà".
Si in effetti mi accade spesso di pensare che ciò che scrivo lo scrivo al vento,ma poi sotto sotto sò che non è così..... però in effetti qualche volta tale pensiero è più insistente !!!
Anche se il mio scopo principale è quello di fissare i miei pensieri su "carta virtuale".
In questo modo seguo bene l'evolversi dello stesso sia nella teoria che nella pratica nel tempo.

Ma veniamo a noi....

**************************************
Il trucco 1806,almeno teoricamente, perché non ho provato,non ha la prerogativa di funzionare solo con il browser ma anche ad esempio con il client di posta elettronica.
Cioè ogni download che si effetta dalla rete.
Io ho impostato Chrome in modo che chieda dove salvare il download.
Ed ogni file downloadato nelle varie cartelle compreso il desktop,se eseguito,viene bloccato a default.

Sarei tentato di pensare che tale tua "anomalia" sia imputabile all'account amministratore ed alla sua gestione dei permessi.
Se fosse così ci sarebbe un motivo in più (che si aggiunge ai molti altri) per NON usare l'account amministratore.
Anche perché tutte le configurazioni di sicurezza un po' più evolute del solito,fanno sempre uso dell'account Standard che "prende" il modus operandi che ho messo all'attenzione io.

Comunque ho testato il trucco 1806 talmente poco che il motivo potrebbe essere imputabile ad altro,ma non credo, solitamente ho impressioni giuste......

[sampei.nihira]

Pagina iniziale:

https://www.startingpage.com/

Con impostazioni personalizzate.

Si l'avevo preso in considerazione tempo fà
Un punto di forza che mi piaceva molto è la ricerca immagini a protocollo SSL.
Punto di debolezza meno risultati di ricerca,che diminuiscono ancora di più se si imposta la lingua italiana.

E' ancora così ?

[eugenio19911]

Il trucco 1806,almeno teoricamente, perché non ho provato,non ha la prerogativa di funzionare solo con il browser ma anche ad esempio con il client di posta elettronica.
Cioè ogni download che si effetta dalla rete.
Io ho impostato Chrome in modo che chieda dove salvare il download.
Ed ogni file downloadato nelle varie cartelle compreso il desktop,se eseguito,viene bloccato a default.

Sarei tentato di pensare che tale tua "anomalia" sia imputabile all'account amministratore ed alla sua gestione dei permessi.
Se fosse così ci sarebbe un motivo in più (che si aggiunge ai molti altri) per NON usare l'account amministratore.
Anche perché tutte le configurazioni di sicurezza un po' più evolute del solito,fanno sempre uso dell'account Standard che "prende" il modus operandi che ho messo all'attenzione io.

Comunque ho testato il trucco 1806 talmente poco che il motivo potrebbe essere imputabile ad altro,ma non credo, solitamente ho impressioni giuste......

lo sospettavo anche io che fosse quello il problema
posso farti un ultima domanda anche se hai testato poco questo tipo di protezione per far funzionare il file basta sbloccarlo nelle proprietà perché facendo anche così non ho ottenuto nessun cambiamento ma ripeto ho agito da amministratore

ultima cosa offtopic perché i tuoi post su hwupgrade.it vengono visualizzati *

[sampei.nihira]

Sono visualizzati così perché li ho cancellati io.
Anzi ti dirò di più i nuovi test li stò inserendo,solamente su MLI.....

Si esatto per avviare un eseguibile downloadato occorre cliccare con il destro sullo stesso eseguibile per sbloccarlo.
Applica-OK.
Poi ovvio sempre doppio click e viene eseguito.

[eugenio19911]

Sono visualizzati così perché li ho cancellati io.
Anzi ti dirò di più i nuovi test li stò inserendo,solamente su MLI.....

Si esatto per avviare un eseguibile downloadato occorre cliccare con il destro sullo stesso eseguibile per sbloccarlo.
Applica-OK.
Poi ovvio sempre doppio click e viene eseguito.

a me però non si sblocca
meglio se proverò poi quando avrò l'account adeguato

Sono visualizzati così perché li ho cancellati io.
anzi ti dirò di più i nuovi test li stò inserendo,solamente su MLI

non so cosa ti abbiano fatto ma sono contento che di qua resti un ottimo elemento per ampliare la sezione sicurezza con temi permettimi il termine, un po' fuori dal normale (dato che quasi la totalità sono richieste di aiuto) e con consigli molto utili e dettagliati
allora ri-benvenuto

[sampei.nihira]

Sono visualizzati così perché li ho cancellati io.
Anzi ti dirò di più i nuovi test li stò inserendo,solamente su MLI.....

Si esatto per avviare un eseguibile downloadato occorre cliccare con il destro sullo stesso eseguibile per sbloccarlo.
Applica-OK.
Poi ovvio sempre doppio click e viene eseguito.

a me però non si sblocca
meglio se proverò poi quando avrò l'account adeguato

Sono visualizzati così perché li ho cancellati io.
anzi ti dirò di più i nuovi test li stò inserendo,solamente su MLI

non so cosa ti abbiano fatto ma sono contento che di qua resti un ottimo elemento per ampliare la sezione sicurezza con temi permettimi il termine, un po' fuori dal normale (dato che quasi la totalità sono richieste di aiuto) e con consigli molto utili e dettagliati
allora ri-benvenuto

Non mi hanno fatto praticamente nulla,ho solo deciso così.

No,non sono dettagliati.
Dovrei non lavorare per avere tempo per farli dettagliati.
Devo ammettere che sarebbe una "bella occupazione".

Comunque pian pianino.....anche se nessuno mi aiuta....alla fine ce la faccio.

Eugenio passa prima possibile al SUA,fai finta che hai formattato !!

[nix87]

@ sampei:

Anch'io seguo con interesse i tuoi interventi nel forum, tuttavia non sempre riesco a prestarci la dovuta attenzione a causa dei miei impegni di studio.
Quindi mi scuserai se spesso non mi accingo a fare esperimenti di 'smanettamento' di cui avresti bisogno nelle tue ricerche...

Continuo comunque a seguire gli sviluppi dei tuoi esperimenti