Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Commenti a "Falla in win32k.sys consente di bypassare UAC"

Vuoi discutere qualcosa che riguarda le nostre News? Vuoi darci la tua opinione sui nostri articoli? Complimentarti o muovere una critica? Questa è la sezione giusta!

Commenti a "Falla in win32k.sys consente di bypassare UAC"

Messaggioda Zane » ven nov 26, 2010 1:58 am

Immagine
Falla in win32k.sys consente di bypassare UAC - Commenti

Una nuova debolezza in un file di sistema critico permette anche agli account limitati di eseguire programmi con pieni privilegi amministrativi, senza nemmeno far scattare il Controllo account utente. Il codice dimostrativo è già in circolazione. [continua...]
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sleeping » ven nov 26, 2010 1:58 am

Vale anche per le versioni a 64bit?
Avatar utente
sleeping
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2255
Iscritto il: sab ago 26, 2006 1:16 pm
Località: Verona & Trieste

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Gnulinux866 » ven nov 26, 2010 8:49 am

Si, il file in questione è presente anche nella 64bit.
Avatar utente
Gnulinux866
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: ven set 18, 2009 10:41 am


Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » ven nov 26, 2010 9:36 am

E cade anche l'ultima difesa per l'utente distratto [rolleyes]

Aperto il vaso di Pandora.....Ora si moltiplicheranno i virus che "non fanno scattare UAC".

Speriamo che aggiornino presto perché la falla non è grave...è gravissima,critica.

Vabbè che molti utenti cliccano sempre su Si/Consenti: un possibile virus UAC-Bypass ha solo un passaggio in meno da effettuare [devil]

Non resta che la prevenzione: affidarsi esclusivamente a misure di sicurezza integrate come UAC o software di terze parti può non essere sufficiente.
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » ven nov 26, 2010 10:55 am

Chiedo se è possibile verificare se EMET 2 possa arginare in qualche modo la falla ?
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Gnulinux866 » ven nov 26, 2010 12:05 pm

Microsoft fa l'ennesima figura di m..da... [rotfl]

Tutti i sistemi come qualsiasi software non sono esenti da bug, quindi il fatto che un sistema operativo abbia delle vulnerabilità gravi e non gravi, non dovrebbe destare scalpore, il problema in questa caso è che la falla in questione del kernel permette di bypassare tutte le protezioni, tra le quali anche UAC, il sistema che gestisce la separazione dei privilegi utente su Win7 e Vista, questo è gravissimo, in un OS che si rispetti non deve verificarsi una cosa simile.
Avatar utente
Gnulinux866
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: ven set 18, 2009 10:41 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Ale2695 » ven nov 26, 2010 3:35 pm

Bene, ora neppure l'UAC può salvarci... Per fortuna che esiste Linux!
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » ven nov 26, 2010 4:41 pm

Per poter sfruttare questa falla bisogna avere accesso fisico alla macchina oppure farla partire come un normale virus (quindi bisogna scaricarla e farla partire).
Non vedo nessun pericolo in più per chi già è abituato a una navigazione "allegra", inoltre, se tale falla non esistesse, si è già infetti se si ha l'abitudine di installare tutto ciò che proviene da warez/emule.

In altre parole, per sfruttarla, bisogna avercela nel cervello la falla.
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » ven nov 26, 2010 4:45 pm

Dimenticavo, per chi dice che linux (che è come parlare di sistemi NT di microsoft in quanto è un kernel e NON un sistema operativo) è immune da virus: http://www.iphoner.it/android-ancora-vi ... ile-google fa semplicemente disinformazione.
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » ven nov 26, 2010 4:57 pm

deepdark ha scritto:Dimenticavo, per chi dice che linux (che è come parlare di sistemi NT di microsoft in quanto è un kernel e NON un sistema operativo) è immune da virus: http://www.iphoner.it/android-ancora-vi ... ile-google fa semplicemente disinformazione.


Ma infatti nessuno qui dice che Linux è immune da virus [rolleyes]

Io stesso ho testato ,provato e creato oltre 67 virus molto pericolosi per Linux.....

La vuoi sapere la differenza sostanziale?

Su distro GNU/linux devi sudare come un matto per attivare una minaccia,e basta un semplice comando da terminale per ripulire il tutto.

Non mi pare che lo stesso si possa dire di Windows [rolleyes]

Android è una piattaforma basata su Linux che non ricalca le misure di sicurezza normalmente utilizzate in distribuzioni per desktop.

Il motivo di ciò è ripercorribile alla natura mobile del dispositivo....ti immagini a digitare su,sudo apt-get install e altri comandi su un Telefonino?

L'utente medio lo butterebbe dalla finestra al primo tentativo [:D]

Google lo ha semplificato in maniera così sostanziale da renderlo molto vulnerabile ad attacchi informatici.

la frase dell'articolo segnalato poi dice tutto

Questo malware si insedia all’interno del device tramite un falso media player pornografico che l’utente scarica e installa nel device.


Un player pornografico? [...]


"Chi è causa del suo mal,pianga se stesso"
[ciao]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » ven nov 26, 2010 5:16 pm

Su windows esiste l'account limitato che impedisce lo sfruttamento delle falle (a meno di bug come quello sopra) e l'installazione di virus. Se poi uno si vuol far del male e scaricare (e installare) la qualunque da internet peggio per lui, ma scaricare un programma dannoso è fattibile per qualunque S.O. https://www.pcalsicuro.com/main/2010/03 ... i-inutili/ come tu stesso hai detto. Che sia più difficile crearlo non saprei, non sono un programmatore, ma poco cambia, di necessità (di infettare) se ne fa virtù.
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » ven nov 26, 2010 6:49 pm

Qualche info in più.
La falla è sfruttabile da un malwares che è già presente nei nostri sistemi,mentre è impossibile l'azione ex-novo da remoto.
Un ennesima conferma che la prevenzione affidata ad un ottima configurazione di sicurezza è sempre l'arma migliore per la protezione dei nostri pc connessi alla rete.

Marco Giuliani dal blog di Prevx ci fà sapere che il sw ,aggiornato proprio per l'occasione, è già in grado di proteggere il sistema da questa falla.
Anche la versione free. [;)]

http://www.prevx.com/blog/162/Windows-d ... ssion.html
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda rolloLG » ven nov 26, 2010 8:18 pm

Il vettore è fondamentale, e se è possibile sfruttarla da remoto anche tramite un semplice sito WEB è importante da sapere. Se invece riguarda l’esecuzione di codice in locale (= ti scarichi il tuo bel crack da emule e lo esegui ingenuamente) è molto ridimensionabile il danno prevedibile su vasta scala.

Mi fanno comunque ridere gli appelli al “hanno scavalcato l’UAC”, “ecco! L’UAC non è sicuro”! Qui UAC non c’entra nulla: è un caso di EOP (esacalation of privileges), come ci sono e saranno sempre per tutti i sistemi operativi inclusi Linux e MacOSX.

La vera notizia invece che è da 3 anni almeno che non si era visto niente del genere, da quando Vista ha fortunatamente introdotto l’UAC in Windows e tentato di educare gli utenti al sano principio dei least prvileges che da solo (e un pizzico di cervello a non eseguire da amministratore ogni cosa) rende inefficace il 92% del malware circolante per Win.
Avatar utente
rolloLG
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: dom gen 11, 2009 11:22 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda rolloLG » ven nov 26, 2010 8:26 pm

sampei.nihira ha scritto:Qualche info in più.
La falla è sfruttabile da un malwares che è già presente nei nostri sistemi,mentre è impossibile l'azione ex-novo da remoto.
Un ennesima conferma che la prevenzione affidata ad un ottima configurazione di sicurezza è sempre l'arma migliore per la protezione dei nostri pc connessi alla rete.

Marco Giuliani dal blog di Prevx ci fà sapere che il sw ,aggiornato proprio per l'occasione, è già in grado di proteggere il sistema da questa falla.
Anche la versione free. [;)]

http://www.prevx.com/blog/162/Windows-d ... ssion.html

Quindi con obiettivo cinismo:
- si fa il classico terrorismo informatico allarmando tutti di una gravissima falla, valida anche per i più moderni Windows.
- non si specifica però (attentamente) il vettore (= file scaricati, un semplice sito web, flash...) mantenendo appunto lo status di "terrorismo informatico"
- la cosa poi si sgonfia risultando in un classico EOP come ci sono da sempre pet tutti gli OS (e che effettivamente non si vedevano da 3 anni da Vista in poi) riproducibile solo scaricando ed eseguendo volontariamente codice in locale.
- ovviamente PrevX ha "la cura"
[rotolo]
Avatar utente
rolloLG
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: dom gen 11, 2009 11:22 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » ven nov 26, 2010 9:01 pm

Escludendo I.E. (usarlo vorrebbe dire darsi la zappa sui piedi visto anche le molto più valide alternative), le falle di Windows sfruttabili da remoto sono molto ma molto poche (parlo di falle 0day), ben più pericolosi sono flash, adobe, quicktime, ecc e ancor più l'utente.
E' finito il tempo di "ho aperto internet e mi sono infettato", se così fosse vorrebbe dire che non patchi il sistema (o che usi i.e.). Ormai nel 99% dei casi ci si infetta perché si è "distratti" o per menefreghismo. Nell'1% inserisco chi viene infetto dall'autorun delle chiavette, non disattivabile da chi non ha un po' di "malizia" e che comunque non usa un buon antivirus (comunque sempre colpa dell'utente). Tutto ciò sotto win Xp poichè se si parla di Seven (soprattutto se a 64bit) bisogna avere la volontà di infettarsi (e molte volte non basta neppure quella).

C'è crisi anche per i sistemi antivirus, si danno da fare per creare allarmismi inutili.
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Gnulinux866 » sab nov 27, 2010 8:01 am

Ragazzi, come ho scritto nel mio commento precedente, tutti i sistemi come qualsiasi software non sono esenti da bug, quindi il fatto che un sistema operativo abbia delle vulnerabilità gravi e non gravi, non dovrebbe destare scalpore, il problema in questa caso è che la falla in questione del kernel permette di bypassare tutte le protezioni, tra le quali anche UAC, il sistema che gestisce la separazione dei privilegi utente su Win7 e Vista, questo è gravissimo, in un OS che si rispetti non deve verificarsi una cosa simile, il kernel è il cuore del sistema operativo e deve essere adeguatamente protetto.

Un falla così grave sfruttabili principalmente in locale, può essere tranquillamente veicolata da altro malware, non a caso Giuliani scrive: : ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/

Come ha scritto già qualcuno questa falla è una sorta di vaso di pandora, che deve essere chiusa subito, altrimenti diventa di rifermento per virus writers, anzi credo che già lo sia.
Avatar utente
Gnulinux866
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: ven set 18, 2009 10:41 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » sab nov 27, 2010 11:37 am

Gnulinux866 ha scritto:Ragazzi, come ho scritto nel mio commento precedente, tutti i sistemi come qualsiasi software non sono esenti da bug, quindi il fatto che un sistema operativo abbia delle vulnerabilità gravi e non gravi, non dovrebbe destare scalpore, il problema in questa caso è che la falla in questione del kernel permette di bypassare tutte le protezioni, tra le quali anche UAC, il sistema che gestisce la separazione dei privilegi utente su Win7 e Vista, questo è gravissimo, in un OS che si rispetti non deve verificarsi una cosa simile, il kernel è il cuore del sistema operativo e deve essere adeguatamente protetto.

Un falla così grave sfruttabili principalmente in locale, può essere tranquillamente veicolata da altro malware, non a caso Giuliani scrive: : ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/

Come ha scritto già qualcuno questa falla è una sorta di vaso di pandora, che deve essere chiusa subito, altrimenti diventa di rifermento per virus writers, anzi credo che già lo sia.


Per cortesia, non facciamo terrorismo informatico:

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw
http://www.prevx.com/blog/162/Windows-d ... ssion.html

Less critical per secunia: http://secunia.com/advisories/42356
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 11:56 am

deepdark ha scritto:
Per cortesia, non facciamo terrorismo informatico


Suvvia,la fonte stessa che hai postato sembra un bollettino di terroristi [:D]

Why is this flaw considered critical? This flaw allows all software, even if run from a limited account, to gain system privileges. We see many of drive-by attacks, which make use of application exploits to drop malware on vulnerable machines. While there are still a huge number of customers who are used to run their operating system with administrative privileges, most users are using limited accounts or administrator accounts in Admin Approval Mode (User Account Control). Using a limited account gives them a great advantage versus malware, because it limits the vulnerable surface the malware can damage. This 0-day exploit allows a malware that has already been dropped on the system to bypass these limitations and get the full control of the system.


Questa falla ha un peso ENORME su tutti i Windows installati finora,considerando per ipotesi che:

- la maggioranza degli utenti utilizza account amministrativi,e molti di questi disattivano pure UAC [f] questi qui si sarebbero infettati comunque,in qualsiasi maniera,anche con 3 antivirus installati

- utenti ragionevoli con account amministrativi che lasciano UAC attivo e si dotano di un buon pacchetto di sicurezza [f] Utenti difficili da infettare,ma se un giorno il loro pacchetto sicurezza fa cileca.....formattano

- Utenti paranoici con account limitati,UAC al massimo stile Vista,Sandbox e altra roba da "guerra biologia" a disposizione [f] Questi non li infetti praticamente mai,se non superi uno a uno tutti i programmi e le contromisure che adottano.

se sconfiggi questi ultimi hai vinto la sfida con tutti gli altri: al momento i malviventi hanno superato UAC e altre contromisure del sistema operativo,alcuni virus si fanno beffa delle Sandbox e altri ancora "mutano" per ingannare Euristica e firme antivirali.

é una partita a Scacchi: se riesci a far cadere gli utenti più bravi e attenti in fatto di sicurezza (il RE),il gioco è finito,cadono anche i pedoni e i restanti pezzi della scacchiera (tutti gli utenti poco pratici di PC)

EDIT

ovviamente parliamo di rischio "potenziale": ovvio che se non scarichi nulla di pericoloso/poco attendibile/sconosciuto,non rischi nulla.
Ma il pericolo è lì.
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » sab nov 27, 2010 5:04 pm

Chi vuole provare:

http://nakedsecurity.sophos.com/2010/11 ... asses-uac/

Ho letto anche che CIS ha qualche problemino con il Poc,chi usa questo sw si informi meglio....

Mentre SandboxIE supera l'esame brillantemente !! [applauso+]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » sab nov 27, 2010 5:28 pm

sampei.nihira ha scritto:Ho letto anche che CIS ha qualche problemino con il Poc,chi usa questo sw si informi meglio....


Con la sandbox a "limitato" non passa nulla,ho appena provato [8D]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Prossimo

Torna a Commenti

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising