Pagine

Visualizzazioni totali

Google Scholar
Visualizzazione post con etichetta Patch. Mostra tutti i post
Visualizzazione post con etichetta Patch. Mostra tutti i post

lunedì 15 maggio 2017

Mitigare gli effetti di WannaCry (WCry, WannaCriptOr)

Risultati immagini per wannacryLa campagna ransomware WannaCry, che sta affliggendo oltre 100 paesi in tutto il mondo, sta provocando danni molto elevati, sia sotto il profilo strettamente economico, che in termini di informazioni che non sarà più possibile recuperare.

In questo documento sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi. È abbastanza evidente che laddove i dati siano stati già cifrati l’unica strategia possibile è il ripristino da una copia di backup non toccata dal malware. Nell’ultima sezione sono contenute alcune considerazioni su quanto fare per il ripristino in questi casi.

Protezione dalla compromissione
L’unica vera protezione dalla compromissione è l’eliminazione della vulnerabilità attraverso l’istallazione della patch sviluppata e pubblicata da Microsoft con il Microsoft Security Bulletin MS17-010-Critical:


Nel Blog della società sono reperibili ulteriori informazioni utili:
Protezione contro l’azione del malware si può ottenere attraverso l’antivirus, che deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio.

È fondamentale tenere presente che se l’antivirus ha il vantaggio di poter “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.

Ulteriori misure atte a ridurre la probabilità di compromissione, e quindi l’estensione di questa, sono:
  1. Blocco del protocollo SMB sulla frontiera;
  2. Disattivazione del protocollo SMB ove non specificamente richiesto;
  3. Blocco sulla frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault e US-CERT
Riavvio delle macchine spente
Le macchine che erano spente al momento della diffusione, per altro molto rapida, del malware e non sono state accese sono sicuramente indenni; vale perciò la pena di usare qualche accorgimento per evitare che la compromissione presente in altri sistemi possa estendersi anche ad esse.

Contemporaneamente l’accensione di una macchina compromessa può provocare la compromissione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere all’accensione dei sistemi con particolare cautela.

La procedura che segue consente di ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti:
  1. Prima di accendere la macchina scollegarla dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi occorre disabilitarne l’interfaccia prima che avvenga il caricamento del sistema operativo, tale operazione può non essere alla portata dell’utente).
  2. Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, etc., non procedere oltre nel riavvio e chiedere il supporto esperto.
  3. Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto.
  4. Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.
  5. Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.

Particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione laddove sulla frontiera fosse bloccato il protocollo SMB, come consigliato al punto (1) dell’elenco contenuto nella sezione precedente. In generale debbono essere scrupolosamente osservate le seguenti regole:
  • Non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine.
  • Non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente (e.g. telefonicamente) l’effettivo invio da parte sua del messaggio.
La sicurezza non è mai assoluta
Le indicazioni contenute nel presente documento sono essenzialmente regole di buon senso che riducono il rischio di compromissione da parte di WannaCry, ma non possono annullarlo, anche perché gli attaccanti individuano continuamente nuove strategie per aggirare le misure di contrasto messe a protezione dei sistemi.

Per altro l’accento è stato posto sulla semplicità di attuazione, piuttosto che sulla completezza della copertura dei casi che possono verificarsi.

domenica 23 novembre 2014

Sicurezza d’autunno, 10 brividi


Hacker in azione

Abbiamo raccolto 10 tra minacce, vulnerabilità, segnalazioni (con qualche consiglio) cui prestare attenzione, selezionate dal nostro team di esperti in relazione alla loro diffusione negli ultimi giorni. In alcuni casi, si tratta semplicemente di curiosità raccolte nel cyberspazio, in grado di far riflettere su come il problema del crimine informatico non riguardi oramai solo privati  e aziende, ma sia un sistema utilizzato dai governi per mettere in difficoltà i Paesi nemici, oppure ancora, come basti poco per “suggestionare” la società e sfruttare le sue debolezze. Tra l’altro, quando alle vulnerabilità si rimedia con patch non del tutto adeguate, il cybercrime è talmente evoluto da essere in grado di sfruttare ulteriormente queste lacune per sferrare altri attacchi. Pensate poi nell’era di Internet of Things  e delle tecnologie M2M come potrebbero risultare esposti anche gli oggetti che utilizziamo tutti i giorni. Avete già i brividi? Ecco quindi le novità più importanti selezionate per voi.

1. Il virus Ebola riesce a far vittime non solo reali, ma anche nel mondo dei cibernauti. Dovevamo aspettarcelo. Più fonti sul Web segnalano l’ondata di spam (per ora non endemica) con finti suggerimenti per la sicurezza sanitaria che sarebbero  inviati dall’OMS (e ovviamente non lo sono). Le email contengono il trojan DarkComet Rat (questo sì per nulla nuovo). Una volta installato, il vostro computer diventa vulnerabile esponendo i dati in transito per esempio attraverso webcam e microfoni. Il buon senso vi sia sempre di aiuto, l’OMS non invia i consigli sanitari via email!

2. Solo questo martedì, il patch day di Microsoft prevedeva per i suoi sistemi la patch MS114-060, che riguardava il sistema a oggetti OLE. Questa patch non si è rivelata abbastanza robusta tanto che a distanza di poche ore la vulnerabilità è stata sfruttata ancora e sono stati segnalati attacchi contro Taiwan da parte di hacker cinesi. Ancora prima una vulnerabilità simile era già stata sfruttata dalla criminalità informatica russa –  che fa riferimento al Sandworm Team – per attaccare, tra gli altri, anche alcuni organismi della UE.

3. Android con la sua diffusione ha meritato tutta l’attenzione possibile e immaginabile degli hacker. Pochi giorni fa è emersa una vulnerabilità che permette di inserire malware nelle immagini. La vulnerabilità riguarda Android 4.4.2. L’attacco dimostrativo, AngeCryption, ha evidenziato come sia possibile nascondere un APK (Android Package) infetto dietro un’immagine sfruttando la crittografia AES, procedura per cui identificare l’immagine infetta diventa decisamente laborioso. Il consiglio di Google, è sempre il medesimo: utilizzare esclusivamente app da Play store. Non è detto tra l’altro che la patch, quando sarà individuata quella definitiva, sia disponibile anche per tutte le versioni precedenti di Android.

4. Ottobre è stato il mese europeo della sicurezza informatica (ECSM). In Italia se ne sono occupati ClusitEnisa (Agenzia europea per la sicurezza delle reti e dell’informazione), ma anche il nostro Ministero dello sviluppo economico. Perché questa attenzione? Perché la sicurezza informatica non è un problema solo dei privati cittadini, e delle grandi aziende ma è un problema per tutto il tessuto economico nazionale. Sotto attacco oggi ci sono anche le PMI italiane. Si stima che il costo medio di un singolo attacco a una nostra azienda sia passato dai 50mila agli 80mila euro. Nel 2014 sono aumentati i cyberattacchi contro le istituzioni governativi, i politici e i servizi aziendali. Ma sono aumentati anche gli attacchi contro cloud, social network e servizi in mobilità. Clusit denuncia che il 60% degli attacchi in Rete concerne il cybercrime a differenza del 60% degli attacchi in Rete concerne il cybercrime a differenza del 36% preso in esame nel 2011
  
5. Virtualizzare che passione. Malware, virus, attacchi informatici, con la virtualizzazione generalmente hanno vita più difficile, perché questo? Perché lavorare su un desktop virtualizzato significa spesso avere maggiori possibilità di isolare sia in entrata che in uscita malware e infezioni. Il problema però è spesso dati dai dispositivi mobile. In questo ambito la cultura della virtualizzazione è solo agli inizi, sono pochissime le nostre PMI aziende che dispongono di sistemi di sicurezza ad hoc per i dispositivi mobile. Gli attacchi più pericolosi arrivano, e arriveranno presto ancora di più da questo fronte.

6. Ricorderemo questi giorni perché con l’arrivo dei nuovi smartphone di Apple mezzo mondo ha preso coscienza dei passi in avanti nei sistemi di pagamento mobile. Non li ha inventati Apple i sistemi di pagamento mobile, ma come spesso accade Cupertino, con il suo Apple Pay ha contribuito a rendere popolare le nuove possibilità di pagamento ed è servito ad affinare e a rendere semplice un concetto importante. Le transazioni monetarie effettuate contactless tramite smartphone (qualsiasi OS) saranno sempre più al centro dell’attenzione degli hacker, vedremo cosa succederà, intanto tutti si muovono sull’argomento con i piedi di piombo.

7. Sportelli bancomat svuotati anche senza la scheda. Intanto, per rimanere con i piedi per terra, in questi giorni, ricordiamo che chi con il malware ci sa davvero fare è riuscito a svuotare sportelli bancomat, anche senza la scheda. In questo caso è stato sfruttato un trojan Tyupkin, il trojan è da innestare nel computer che gestisce lo sportello bancomat ed è questa la parte più complessa del piano criminale. Al primo riavvio, l’attaccante ne ha potuto prendere il pieno controllo e praticamente far fare allo sportello quello che voleva, senza che il sistema bancario registrasse alcunché. Ovviamente roba per esperti, che si esercitavano – guarda un po’ – proprio nel week end. Se ne è occupata l’Interpol.

8. Per un Android che certo in termini di sicurezza lascia a desiderare, con le buone trimestrali, anche Apple colleziona però un’attenzione maggiore da parte degli hacker. E’ un dato di fatto che alcune botnet estremamente attive possano contare tra i computer ‘zoombie’ anche MacOs. In america ne hanno individuati 17mila con Mac.BackDoor.iWorm a bordo. Sembra che il sistema di controllo sfrutti Reddit come applicazione dove postare le istruzioni. E per non farsi mancare nulla ecco anche gli attacchi ad iCloud, l’ultimo è di pochissimi giorni fa. Ne parliamo su ITespresso.it.

9. Poodle. Non ci sono bastati Heartbleed ShellShock, anzi, non li avevamo ancora digeriti ed ecco il nuovo terribile bug. In italiano il nome suona quasi amichevole, perché significa barboncino. Purtroppo si tratta di un brutto affare e il nome è un acronimo: Padding Oracle On Downgraded Legaxy Encryption, il baco riguarda la versione 3 del protocollo SSL, ancora implementato da praticamente tutti i browser, come sistema ‘di scorta’. Poodle consente un attacco di tipo man in the middle, per cui si riescono a decifrare i cookie e magari ottenere informazioni sensibili dell’utente. L’attaccante deve essere nella stessa rete dell’attaccato perché tutto sia più semplice. WiFi pubblico? Ve la siete cercata.

10. Brividi di sicurezza? Fate bene! Il primo passo per non rimanere vittime è la consapevolezza. Quindi come primo punto usare il buonsenso, password complesse, e non fare mai clic in modo affrettato. Con questi consigli già sareste a metà dell’opera. Poi, certo, la protezione di un buon antivirus, e ancora meglio,iniziate a informarvi sull’autenticazione a due fattori che, almeno per gli ambiti più delicati nel financial e sulle comunicazioni personali è già disponibile e può tutelare buona parte delle vostre operazioni. Quando navigate però occhi sempre ben aperti. E non credete mai a chi vi dice con un banner che il vostro computer è infetto. Lasciatelo stabilire al vostro antivirus.

martedì 30 aprile 2013

Cos'è una Botnet?

rete botnetLe botnet hanno fatto la loro apparizione in pubblico agli inizi del 2000, quando un teenager canadese ha lanciato una serie di attacchi denial-of-service contro diversi siti importanti. Nel giro di alcuni anni, l’adolescente, sotto lo pseudonimo di Mafiaboy, ha attaccato Yahoo, ETtrade, Dell, eBay e Amazon, tra molti altri, sovraccaricando i server fino a farti esplodere. Sebbene Mafiaboy, il cui vero nome è Michael Calce, non usasse una botnet per lanciare questi attacchi, gli esperti di sicurezza IT si stavano già rendendo conto che gli attacchi DDoS e le botnet (una grande rete di computer infettata da un malware specifico) avrebbero ben presto iniziato ad essere una grande minaccia per la stabilità e l’integrità di Internet. E gli esperti IT difficilmente si sbagliano. 

Definizione di Botnet
Con il termine botnet si intende una rete di computer infetta e controllata da un hacker in modalità remota. Le botnet generalmente sono create da un hacker o da un piccolo gruppo di hacker attraverso un malware. I PC individuali che sono parte di una botnet vengono spesso chiamati “bots” o “zombie” e non c’è un minimo in base al quale possiamo iniziare a considerare una rete di PC una “botnet”. In linea generale, una botnet di piccole dimensioni è composta da una centinaia o migliaia di computer infetti, mentre una botnet di grandi dimensioni può forse raggiungere vari milioni di PC. Esempi di botnet conosciute, emerse di recente, includono Conficker, Zeus, Waledac, Mariposa e Kelihos. In genere, ci si riferisce ad una botnet come se fosse una singola entità; tuttavia, i creatori di malware come Zeus vendono i loro oggetti a qualsiasi persona disposta a pagarli. Per questo motivo esistono dozzine di botnet separate che usano lo stesso malware e operano allo stesso tempo.

Metodi di Infezione
Ci sono due metodi principali attraverso i quali un hacker infetta i PC per farli entrare nella botnet: drive-by download e e-mail. Gli attacchi drive-by download si compongono di vari passaggi; il primo step, vede l’hacker impegnato nella ricerca di una pagina web popolare con una vulnerabilità che si possa sfruttare. In seguito, l’hacker carica il codice malware nella pagina in questione  e sfrutta la vulnerabilità attraverso il browser usando, per esempio, Google Chrome o Internet Explorer. Il codice ridirezione il browser dell’utente ad un altro sito controllato dall’hacker dove l’utente, senza accorgersene, scaricherà il codice bot e lo installerà sul suo computer. Il secondo caso (posta elettronica) è molto più semplice. L’hacker invia una grande quantità di spam con allegati contenenti file word o PDF con codici infetti o con link che portano a un sito che ospita il codice dannoso. Una volta che il codice è stato installato sul computer della vittima, il PC è parte della botnet. L’hacker può gestire i comandi in forma remota, caricare dati e scaricare nuovi componenti; in pratica ha il controllo assoluto del computer.

Come vengono usate
Il modo più comune di utilizzare la botnet è attraverso attacchi DDoS. Questi attacchi utilizzano la potenza del computer e la larghezza della banda di centinaia o migliaia di PC per direzionare una grande quantità di traffico a un sito specifico con l’intenzione di sovraccaricarlo. Ci sono diversi tipi di attacchi DDoS, ma l’obiettivo è sempre lo stesso: far collassare il sito. In genere, gli hacker sono soliti utilizzare questa tecnica per mettere in ginocchio le pagine web del nemico.  Nonostante ciò, ben presto, hanno iniziato ad utilizzare questo metodo per attaccare portali come Yahoo e MSN, negozi e banche online, nonché siti del governo. Tra questi criminali si annoverano gruppi hacker, come  Anonymous e LulzSec. Inoltre, i cyber-criminali usano gli attacchi DDoS per colpire siti di banche online con lo scopo di nascondere attacchi ben più gravi diretti alle stesse banche. Le botnet vengono anche utilizzate in molte altre operazioni. Gli spammer utilizzano le botnet per l’invio massivo di spam o per frodi di carta di credito su larga scala.

Come difendersi
Ci sono diversi modi per proteggersi dagli attacchi DDoS che utilizzano reti botnet, ma quasi tutti operano a livello di server o ISP. Per gli utenti, la migliore difesa dalle botnet è tenere i propri computer, dispositivi e software sempre aggiornati e con gli ultimi patch in commercio, nonché prestare molta attenzione prima di cliccare su di un link sospetto. Gli hacker approffitano dell’ingenuità degli utenti che molto spesso cliccano su siti e aprono allegati pericolosi senza rendersi conto di quello che fanno. Se gli utenti acquistassero più consapevolezza e abilità, sarebbe molto più difficile per gli hacker stabilire e usare botnet.
 

sabato 16 aprile 2011

Rimuovere diritti di amministratore in Windows7: -75% di rischio vulnerabilità


La lotta al malware è una battaglia infinita, che Microsoft combatte mensilmente con il rilascio di bollettini di sicurezza e patch per tutte le vulnerabilità di volta in volta scoperte. Nel 2010 sono stati oltre 100 i bollettini rilasciati, per la correzione di 256 vulnerabilità di Windows. A questo proposito, i ricercatori di BeyondTrust hanno effettuato un’interessante analisi di tutte le vulnerabilità di Windows 7 e Internet Explorer 8 scoperte da Microsoft nel 2010: i risultati sono piuttosto eloquenti: un sistema utilizzato da utenti privi di diritti di amministratore, è un sistema meno “esposto” alle vulnerabilità. I principali risultati di questa relazione dimostrano che un’utenza senza privilegi di amministratore è protetta dal:


75% delle vulnerabilità classificate come critiche, 100% delle vulnerabilità di Microsoft Office segnalate nel 2010, 100% delle vulnerabilità di Internet Explorer segnalate nel 2010, 64% di tutte le vulnerabilità riportate da Microsoft nel 2010


Peter Beauregard, direttore del programma di gestione di BeyondTrust che ha condotto l’indagine, ha dichiarato:


Mentre la percentuale di vulnerabilità rilevate è diminuita eliminando diritti di amministratore, l’indagine rivela un aumento di vulnerabilità complessive. Negli ultimi cinque anni, sebbene Microsoft abbia costantemente migliorato la sicurezza del suo s.o., sicurezza che trova il suo apice in Windows 7. Sfortunatamente, tutte le piattaforme soffrono di vulnerabilità di sicurezza e come indicato dai recenti numeri di Android, più popolare si diventa, più aumenta il rischio che queste vulnerabilità vengano sfruttate per fini illeciti.


Che fare se non tenersi sempre aggiornati con tutti i bollettini di sicurezza di volta in volta rilasciati?


Fonte: Oneitsecurity - Autore: Paolo Leonardi

sabato 5 marzo 2011

Attenti alle falle nella sicurezza dei software e al loro sfruttamento da parte dei malware.


Cosa bolle nel torbido calderone dei kit di exploit

Kaspersky Lab ha pubblicato un articolo dal titolo "I kit di exploit da una nuova prospettiva", scritto da due esperti di Kasperky Lab: Marco Preuss (capo del team Global Research & Analysis in Germania) e Vicente Diaz (senior malware analyst). L'articolo fa luce sull'oscuro mondo dei kit di exploit, sulle vulnerabilità che prendono di mira e in che modo vengono copiati ed adattati per garantire proventi agli autori.I kit di exploit, come implica il nome, sfruttano le varie vulnerabilità che continuano a essere scoperte nei software più diffusi. I kit contengono diversi programmi maligni e sono utilizzati principalmente per sferrare attacchi automatici in modalità "drive-by download", allo scopo di diffondere malware quali trojan e di altri tipi. Quelli descritti nell'articolo sono reperibili sul mercato nero, con prezzi che vanno da alcune centinaia a oltre mille euro. I più conosciuti sono Phoenix, Eleonore e Neosploit. Secondo l'articolo, le vulnerabilità Java, Internet Explorer e PDF rappresentano insieme il 66% dei vettori di attacco utilizzati dai kit di exploit più popolari. Si tratta per la maggior parte di vulnerabilità vecchie, per le quali sono disponibili delle patch. Tuttavia continuano ad essere sfruttate con successo perché alcuni utenti non aggiornano i propri sistemi. Da un'analisi degli exploit più recenti, come Crimepack e SEO Sploit Pack, si evince che i loro creatori conoscono bene le vulnerabilità più diffuse e creano dei nuovi malware appositamente per sfruttarle. Inoltre, la maggior parte degli exploit sembra avere delle origini comuni. Phoenix Exploit Kit, ad esempio, utilizza del codice proveniente dai precedenti kit Fire-Pack e ICE-Pack. "Più un kit di exploit assume popolarità maggiori saranno i guadagni che gli autori ricaveranno dalle vendite. C'è una cosa che un kit di exploit deve offrire per acquisire popolarità in questo mercato fortemente competitivo: un tasso di infezioni elevato. Per questo i nuovi arrivati nel settore usano metodi già esistenti e comprovati, il che potrebbe spiegare le tante similarità tra i vari pacchetti" concludono gli autori dell'articolo.

La versione completa dell'articolo "I kit di exploit da una nuova prospettiva" è disponibile all'indirizzo: kaspersky.com/it/reading_room?chapter=207717037

Fonte: Kaspersky Lab

martedì 3 agosto 2010

Microsoft: una patch per la falla dei collegamenti


Ieri sera, lunedì 2 agosto, alle 19 ora italiana, Microsoft ha rilasciato una patch correlata alla falla nella gestione dei collegamento di Windows identificata di recente

Microsoft si prepara a rilasciare al di fuori del consueto ciclo mensile di aggiornamento una nuova patch correlata alla falla nella gestione dei collegamento di Windows emersa di recente. La manovra si è resa necessaria visto l'incremento di attacchi noti, in grado di sfruttare tale vulnerabilità e i rischi di conseguenza sempre più concreti per gli utenti Windows. Il rilascio della nuova patch MS10-046 è previsto per oggi 2 agosto alle ore 19 (ora italiana). L'allarme è scattato oramai da un paio di settimane e ha messo inizialmente sotto i riflettori le normali chiavette USB dove un collegamento opportunamente confezionato presente al loro interno è risultato in grado di forzare Windows a caricare in memoria file nocivi. Successivamente, la falla nei collegamenti è stata sfruttata da un virus denominato Sality.AT, noto per infettare altri file e copiare se stesso all'interno dei media removibili, con la capacità di disabilitare i programmi di sicurezza presenti all'interno dei computer infetti e scaricare altri malware dalla rete. A partire dal 23 giugno la nuova minaccia ha mostrato una attività virulenta in fortissima crescita, con oltre 8.000 computer infetti; si tratta di una impennata decisamente preoccupante dal momento che solamente pochi giorni prima i sistemi infetti risultavano praticamente vicini allo zero. L'imminente patch MS10-046 risulta quindi strategica nella prevenzione di nuove infezioni, sia per gli utenti consumer che per chi ha la necessità di proteggere il proprio business. Come già annunciato, dall'aggiornamento saranno esclusi Windows XP SP2 e Windows 2000, non più supportati da Microsoft.

lunedì 29 marzo 2010

Charlie Miller: sconfortato dalla sicurezza


Charlie Miller, ancora una volta re della CanSecWest grazie ad un nuovo exploit su Safari, ha lamentato gli scarsi passi avanti della sicurezza: annunciati 20 bug scoperte in prodotti Microsoft, Apple e Adobe, ma i gruppi dovranno trovarseli da sé.

Charlie Miller è sinonimo di Pwn2Own, l'hacking contest della CanSecWest. Charlie Miller è sinonimo di bug e di ricerca. Ma la sua ricerca è arrivata ad un corto circuito. È egli stesso ad ammetterlo, confidando un certo sconforto per il modo in cui il mondo della sicurezza si è appiattito limitando l'evoluzione ad un gioco a "guardia e ladri" tra scoperta dei bug e rilascio delle patch. Charlie Miller spiega che, usando semplicissime tecnologie, è riuscito a scovare oltre una ventina di bug in prodotti Microsoft, Apple e Adobe. Trattasi di poche righe di codice autoprodotto, un sistema che si propone di mettere alla prova i vari applicativi con procedure automatiche di test. Il "dumb fuzzer", così è denominato il sistema, permette di inserire dati tramite apposito bot per valutare dove e se il sistema fallisce nell'elaborazione. Tutte cose che già i produttori utilizzano ma, secondo Miller, poco e male.
Il ricercatore si dice pronto a svelare il peccato, ma non il peccatore: sebbene abbia rivelato la scoperta dei bug, infatti, non intende diramare ulteriori dettagli per evitare di mettere a rischio l'utenza. Ed i bug non saranno rivelati nemmeno ai produttori: Miller intende piuttosto spiegare come trovare i problemi per far sì che ogni produttore adotti le tecniche migliori per analizzare i propri codici e risolvere ogni problematica emergente in autonomia.
«Trovo bug, molti bug. È una cosa sorprendente e sconfortante». Perchè grandi gruppi come Microsoft, Apple e Adobe, pur avendo team dedicati alla sicurezza, non riescono a tarpare in anticipo quelle falle in cui Miller puntualmente inciampa? L'annuncio di Miller ha lo scopo di costringere i team dei tre gruppi a moltiplicare gli sforzi: una volta spiegato il metodo, infatti, dovranno confrontarsi con la ricerca poiché messi sotto pressione da una ventina di bug a tutt'oggi in bilico. Una falla è stata invece rivelata. Scoperta con le stesse tecnologie spiegate nell'intervista, è stata sfruttata per affondare un MacBook Pro tramite Safari. Si è trattata però di una dimostrazione con un fine specifico: 10000 dollari e la conferma di essere il re del Pwn2Own.

lunedì 8 marzo 2010

Microsoft: due bollettini e otto vulnerabilità per il patch day di marzo


Si annuncia un patch day senza grosse novità quello relativo al mese di marzo che porterà, da martedì prossimo, aggiornamenti per Windows e Office sui computer dei clienti Microsoft. Le patch distribuite saranno solo due e riguarderanno otto vulnerabilità riscontrate, come già accennato prima, sui sistemi operativi Windows XP, Vista e Windows 7, e sulla suite per la produttività Office, per un problema che vede Excel tra i software afflitti da vulnerabilità. Gli aggiornamenti, pur essendo pochi, numericamente parlando, sono comunque di un certo rilievo, tanto che Microsoft li ha classificati come “importanti” a causa del pericolo che essi comportano e che vede a rischio la riservatezza e l’integrità dei dati degli utenti. Le patch saranno disponibili secondo il tradizionale canale di Windows Update nella giornata di martedì 9 marzo, mentre va ricordato che, come peraltro ampiamente previsto, tra le patch in arrivo non c’è la correzione per il problema rilevato su Internet Explorer la scorsa settimana. Un problema relativo agli utenti che usano il browser di Microsoft su Windows XP ma che non ha ancora causato exploit degni di nota, facendo quindi propendere il gruppo americano per la scelta di chiudere con calma la falla in questione, prendendo tutto il tempo necessario a studiare il problema e ad adottare le contromosse necessarie.

mercoledì 24 febbraio 2010

Falla in Firefox, l'exploit è già pubblico


L'exploit che sfrutta una falla ancora priva di patch è in vendita, ed è solo questione di tempo prima che diventi di pubblico dominio.

Mozilla ha appena rilasciato le versioni 3.0.18 e 3.5.8 di Firefox, chiudendo alcune falle di sicurezza e risolvendo alcuni problemi di stabilità. Sfortunatamente, è appena apparsa un'altra falla piuttosto grave.
La gravità della vulnerabilità appena scoperta da Evgeny Legerov, di Intervydis, sta nel fatto che esiste già il codice in grado di sfruttarla per ottenere il controllo dei Pc che eseguono Firefox. Le versioni vulnerabili comprendono tutte quelle della serie 3.x, sia quelle appena aggiornate che la recente 3.6; l'exploit funziona - secondo i test di Intervydis - sia sotto Windows Xp sia sotto Vista. Mozilla ha dichiarato di non aver ancora potuto confermare l'esistenza dell'exploit, ma le indagini sono in corso. Quanto alla natura del problema, Legerov preferisce non rilasciare ulteriori dettagli per non aggravare la situazione.
Tuttavia Legerov ha già reso il codice parte di Vulndisco, un sistema automatico per sfruttare gli exploit venduto ai professionisti di sicurezza. Potrebbe non volerci molto prima che qualcuno lo renda pubblicamente disponibile.

mercoledì 17 febbraio 2010

Aggiornamento “straordinario” per Adobe Reader e Adobe Acrobat


Adobe ha deciso di rilasciare una patch straordinaria, cioè fuori dalla consueta tempistica che prevede il rilascio trimestrale degli aggiornamenti dei prodotti software della casa. Nel bollettino diramato si evince come ad essere interessati dall’aggiornamento siano le versioni Adobe Reader 9.3 per Windows, Macintosh e UNIX, Adobe Acrobat 9.3 per Windows e Macintosh, nonché le precedenti versioni Adobe Reader 8.2 e Acrobat 8.2 per Windows e Macintosh. Le vulnerabilità in oggetto pare siano collegate a quella inerente Flash Player e in grado di sovvertire la sandbox del dominio e causare delle richieste non autorizzate, falla per cui la scorsa settimana era stato rilasciato un apposito aggiornamento. Inoltre, Adobe ha individuato due vulnerabilità critiche che potrebbero portare ad un crash delle applicazioni interessate con la possibilità che un utente malintenzionato possa prendere il controllo del sistema. L’aggiornamento sarà rilevato e installato nelle prossime ore in via automatica da Adobe Reader e Adobe Acrobat, tuttavia, in caso si preferisca aggiornare manualmente il proprio software, sarà possibile accedere ai link delle rispettive versioni idonee al sistema operativo in uso direttamente dal bollettino di sicurezza diramato da Adobe.

venerdì 22 gennaio 2010

La patch urgente per Internet Explorer è finalmente arrivata


Microsoft ha finalmente rilasciato la correzione al bug che ha permesso l'attacco a Google. La patch corregge in tutto otto buchi.

Quando si tratta di un'emergenza, Microsoft deroga all'abitudine - consolidata fin dal 2003 - di rilasciare le patch per i propri software tutte insieme una volta al mese; stavolta l'emergenza c'è davvero dato che, dopo l'attacco contro Google (e altre 22 aziende americane), l'exploit è divenuto pubblico e la situazione va peggiorando. Internet Explorer (nelle versioni 6, 7 e 8) riceverà dunque un aggiornamento già nella giornata di oggi, 21 gennaio. Microsoft sostiene che l'aggiornamento alla versione più recente del browser è di per sé misura sufficiente a ridurre i rischi di venire colpiti da un attacco grazie alle misure di sicurezza introdotte come la funzionalità Dep (Data Execution Prevention); tuttavia diversi ricercatori hanno fatto notare come gli ultimi attacchi sfruttino delle tecniche efficaci nel superare anche queste protezioni. Nonostante sia oggettivamente più difficile, sui sistemi recenti, sfruttare il bug, solo una patch può risolvere definitivamente il problema: ecco perché Microsoft ha deciso di correre ai ripari annunciando l'intenzione di rilasciare l'aggiornamento per le 10.00 del mattino secondo il fuso orario di Seattle (le 19:00 in Italia). Nel frattempo pare che i browser alternativi a Internet Explorer stiano guadagnando in popolarità, in particolare a seguito delle raccomandazioni diramate dai governi francesi e tedesco: dal 12 al 18 gennaio il numero dei download di Firefox in Germania, da parte degli utenti di IE, è aumentato sensibilmente, con 300.000 scaricamenti in più rispetto a quelli previsti in base all'andamento normale.

giovedì 21 gennaio 2010

Microsoft corre ai ripari, in arrivo oggi una patch per Internet Explorer


Dopo le roventi polemiche dei giorni scorsi, Microsoft corre ai ripari e aggiorna Internet Explorer. La patch metterà una pezza, o almeno così dovrebbe essere, alla vulnerabilità che tanto ha fatto parlare in queste ore anche a causa della presa di posizione netta del governo tedesco e di quello francese. Il tutto è cominciato dalla scoperta che l’attacco subito da Google in Cina possa essere stato causato da una falla del browser di Microsoft, una vulnerabilità che avrebbe consentito ai pirati informatici di prendere il controllo dei sistemi degli utenti e rubare informazioni personali. Un pericolo che, per i due governi sopra menzionati, sarebbe stato rilevante, tanto da non aver usato mezze misure nel consigliare agli utenti di usare browser alternativi ad Internet Explorer, ottenendo un certo clamore mediatico che non ha sicuramente fatto piacere a Microsoft, già in difficoltà con il suo browser, che continua a perdere quote sul mercato, e non certo bisognosa di una simile pubblicità. Il colosso del software ha quindi risposto cercando di minimizzare l’allarme e affermando che il problema è evidente per le versioni più vecchie del browser, precisando anche che ad essere colpiti sono state per lo più aziende e in numero molto limitato, aggiungendo che non c’è un serio pericolo per gli utenti privati. Una difesa quasi d’ufficio che però, com’è apparso logico un po’ a tutti, a nulla sarebbe servita se non fosse stata accompagnata da un atto concreto come il rilascio di una patch specifica. Da ieri si sono fatte ricorrenti le voci che davano il gruppo di Redmond intenzionato a rilasciare un aggiornamento al di fuori dei soliti e quasi inflessibili schemi che pianificano il rilascio delle varie patch per i prodotti Microsoft, un’azione tempestiva e necessaria con lo scopo di limitare i danni ed evitare di perdere ulteriore terreno nella “guerra dei browser”. L’aggiornamento per Internet Explorer sarà quindi rilasciato oggi tramite Windows Update e riguarderà le versioni 6, 7 e 8 del browser di Microsoft funzionanti sui sistemi operativi Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 e Windows Server 2008.



mercoledì 11 novembre 2009

Microsoft, Novembre porta 6 patch



6 patch per 15 vulnerabilità, 3 aggiornamenti critici e 3 importanti. È questo il computo dell'aggiornamento di sicurezza mensile rilasciato da Microsoft. Windows 7 risulta al riparo da problemi, mentre Office richiede update per Excel e Word.

Con l'arrivo del secondo martedì del mese, Microsoft ha rilasciato il proprio Microsoft Security Bulletin Summary di Novembre. Come preannunciato, il bollettino porta agli utenti 6 patch, 3 delle quali considerate «importanti» ed altrettante di rilevanza «critica». Microsoft e Office gli ambiti coinvolti, con una lieta novella per Windows 7: il nuovo sistema operativo del gruppo è al momento estraneo agli aggiornamenti di sicurezza. 6 patch, 15 vulnerabilità: a tanto ammonta il computo dell'intervento Microsoft di Novembre. Le patch coinvolgenti Windows sono le MS09-063, MS09-064, MS09-065 e MS09-066. La patch MS09-063 coinvolge soltanto Windows Vista e Windows Server 2008 andando a correggere una vulnerabilità critica riscontrata nel Web Services on Devices Application Programming Interface (SWDAPI) tale da permettere l'esecuzione di codice da remoto. La patch MS09-04 coinvolge esclusivamente Windows 2000 chiudendo una vulnerabilità nel Microsoft License Logging Server. La patch MS09-065 è invece tra le più importanti della tornata di Novembre poiché permette l'esecuzione di codice da remoto nel caso in cui l'utente si trovi a contatto con uno speciale font Embedded OpenType (lo scenario di attacco è pertanto quello di una semplice visita su di un sito Web utilizzante il font maligno); coinvolti Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. L'ultima patch MS09-066 risolve infine una vulnerabilità "importante" in Active Directory directory service, Active Directory Application Mode (ADAM), ed Active Directory Lightweight Directory Service (AD LDS). Office viene tirato in ballo dall'aggiornamento con due interventi "importanti". La patch MS09-067 risolve una vulnerabilità in Microsoft Office Excel che permette ad un incursore remoto di accedere alla macchina con i medesimi privilegi dell'utente loggato. La patch MS09-068, invece, impatta Microsoft Office Word, ivi comprese la versioni 2004 e 2008 per Mac OS; l'attacco può essere mandato a segno proponendo file Word corrotti, riuscendo potenzialmente a prendere pieno controllo del sistema colpito. Nei giorni scorsi Microsoft ha ribadito l'importanza di avvalersi del tool di aggiornamento automatico Microsoft Update il quale, a differenza di Windows Update, monitora anche la suite Office e permette un aggiornamento più puntuale della macchina in uso.

giovedì 5 novembre 2009

Microsoft risolve il problema della patch CryptoAPI



Microsoft ha rilasciato un workaround per risolvere i problemi introdotti dall’aggiornamento al problema della libreria CryptoAPI (vedi Security Bulletin MS09-056).
Questo update rilasciato in occasione dell’ultimo Patch Day era di fondamentale importanza per mettere in sicurezza i sistemi Windows data la grave falla che interessava la libreria CryptoAPI, utilizzata dai software più disparati, in primis da browser come Internet Explorer, Safari e Google Chrome.
A dimostrazione della pericolosità di questa falla, va ricordato che sono comparsi certificati SSL fasulli (caso Paypal) in grado di ingannare i browser. Purtroppo però l’aggiornamento ha causato grossi problemi ad altre applicazioni tra le quali Live Communication Server 2005, Office Communications Server 2007 e la versione di prova di Office Communicator 2007: in particolare gli utenti non erano più in grado di connettersi ai rispettivi server.
Il programma ocsasnfix.exe (disponibile qui) corregge i problemi sia lato client che server.
Dettagli su come utilizzarlo sono stati pubblicati da Microsoft in un apposito articolo nella “knowledgebase”. Nel frattempo sono stati rivisti e rilasciati nuovamente anche gli update MS09-062 e MS09-043.

mercoledì 23 settembre 2009

Le patch in ritardo sono il nemico più grande della sicurezza

Nonostante la maggior parte dell’attività di fronte al computer si svolga sul Web, i pericoli maggiori arrivano ancora dall’utilizzo di software non aggiornato. È quanto emerge da un’inchiesta svolta congiuntamente da SANS Institue, Qualys e TippingPoint.
La ricerca ha preso in esame più di 15.000 aziende in un periodo compreso tra marzo e agosto di quest’anno. I risultati ottenuti non lasciano dubbi: i ritardi nell’installazione di patch e versioni più aggiornate degli applicativi rappresentano troppo spesso una porta aperta per gli aggressori.
Basti pensare, ad esempio, che le varie falle di tipo 0-day che hanno colpito QuickTime. nell’ultimo periodo sono responsabili di ben il 72% degli attacchi sferrati contro software Apple. Una sorte simile tocca ad Adobe, che con il suo Reader e il Flash Player è tra le aziende più sfruttate dai malintenzionati. La colpa non va però addossata ai produttori di software, ma piuttosto alle aziende stesse. In ambito enterprise (ambito in cui la ricerca si è concentrata) molte delle installazioni ricevono aggiornamenti più o meno velocemente a seconda della loro criticità. Accade spesso che per essere sicuri di avere tutto il software funzionante, gli aggiornamenti vengano ritardati di proposito per effettuare ulteriori test. Test che potrebbero essere effettuati molto più rapidamente se, come accade per i sistemi operativi, i vari software applicativi utilizzassero tutti uno stessa distribuzione centralizzata degli aggiornamenti. Un tale sistema permetterebbe inoltre alle aziende di far meglio fronte alla carenza di organico che troppo spesso affligge i reparti responsabili dell’IT Security.