Patch russa per l'SP2

Alcuni ricercatori russi hanno scoperto nella tecnologia di sicurezza Data Execution Protection del Service Pack 2 per Windows XP alcune falle che ne minerebbero l'efficacia. E propongono una patch non ufficiale

Mosca (Russia) - La protezione della memoria inclusa nel Service Pack 2 (SP2) per Windows XP, nota con il nome di Data Execution Protection (DEP), può essere bypassata via software. A sostenerlo è una piccola società di sicurezza russa, Positive Technologies, che ha già sviluppato una soluzione temporanea al problema.

"Abbiamo scoperto due piccole falle che un programmatore potrebbe utilizzare per aggirare il meccanismo DEP dell'SP2", ha spiegato Yury Maximov, CTO di Positive Technologies.

Come noto, la tecnologia DEP è un insieme di tecnologie hardware e software che, rafforzando la separazione tra le aree di memoria riservate ai dati e quelle riservate al codice, ha lo scopo di impedire a virus o altri programmi malevoli di sfruttare alcuni tipi di vulnerabilità (come il comunissimo "buffer overflow") per inserire del codice in aree riservate ai dati e successivamente invocarne l'esecuzione. Perché la tecnologia DEP possa funzionare è necessario che il processore supporti il bit "No eXecute" (NX), già implementato con differenti nomi all'interno dei più recenti processori desktop di Intel e dell'intera linea di Athlon 64 di AMD.
Maximov sostiene che le debolezze scoperte nell'implementazione software della tecnologia DEP, descritte nel dettaglio in questo documento, annullano di fatto i benefici forniti dal bit NX.

"Il problema non è solo teorico, ma reale", ha detto il dirigente della società russa. "Là fuori ci sono alcuni gruppi di cracker già al lavoro su alcuni exploit in grado di sfruttare i buchi nella DEP per inserire del codice malevolo all'interno della memoria di un PC".

Positive Technologies fornisce come soluzione temporanea al problema un piccolo programma gratuito, chiamato PTmsHORP, scaricabile da qui. E' bene ricordare, tuttavia, come gli esperti di sicurezza in genere scoraggino l'installazione di patch non ufficiali: queste potrebbero infatti causare problemi più gravi di quelli che vanno a correggere, o effetti collaterali difficili da diagnosticare.

Alcuni esperti hanno poi sottolineato come il numero di utenti in possesso dei requisiti necessari per il funzionamento della protezione DEP (SP2 più processore con bit NX) sia ancora esiguo, inoltre questi non sono esposti a particolari rischi più di quanto lo siano gli utenti di Windows senza DEP.

L'azienda russa afferma di aver segnalato il problema a Microsoft oltre un mese fa ma, ad oggi, non avrebbe ancora ottenuto una risposta.

Secondo Maximov, gli errori nella DEP dell'SP2 non possono essere corretti con una semplice patch: ciò significa che Microsoft potrebbe essere in grado di risolverli solo con il prossimo service pack per Windows XP. Va detto però che, al momento, Microsoft non ha rilasciato commenti su queste novità.
TAG: sicurezza
37 Commenti alla Notizia Patch russa per l'SP2
Ordina
  • Responding to a Russian security company's claim that it found a way to beat a protective element of Microsoft's Windows XP Service Pack 2, the software giant on Tuesday said it does not believe the issue represents a vulnerability. In fact, the company said the technology highlighted by Moscow-based Positive Technologies was never meant to be "foolproof" and added that the reported flaw does not, by itself, put consumers at risk. "An attacker cannot use this method by itself to attempt to run malicious code on a user's system," Microsoft said in a statement. "There is no attack that utilizes this, and customers are not at risk from the situation."
    non+autenticato
  • Bastano due cose :

    1) Editare il boot.ini di XP SP2. Cancellare la stringa "/noexecute=optin" o "/noexecute=optout" e rimpiazzarla con "/execute"

    2) Scaricare ed usare XP Antispy per disabilitare l'inutile "Centro di Sicurezza" - http://xp-antispy.org/index.php?option=com_remosit...

    Ecco, ora XP SP2 funzionerà come fosse SP1 ma con tutti gli hotfix.
    non+autenticato
  • >
    > Ecco, ora XP SP2 funzionerà come
    > fosse SP1 ma con tutti gli hotfix.


    beata ignoranza!
    non+autenticato
  • ma non capisco una mazzaDeluso
    Cos'è Execute ?
    A cosa serve?


    non+autenticato
  • Me lo sto proprio chiedendo..
    ..ma..ora che ci penso bene..

    COME HO FATTO A VIVERE FINO AD OGGI SENZA LA DEP?

    Dobbiamo correre subito ai ripari perché se la DEP può essere aggirata allora si che siamo in pericolo..
    Pensate a tutto ciò che cambierà nella vostra vita per colpa di questo bug..

    A microsoft... ma va cxxa va..
  • Per creare un exploit occorrono queste condizioni:
    - trovare una vulnerabilità da buffer overflow in una DLL di windows
    - allorare memoria esattamente nel pattern descritto da maxpatrol.com
    quindi le probabilità di essere vulnerabili sono praticamente NULLE!!!!
    non+autenticato

  • - Scritto da: Anonimo
    > Per creare un exploit occorrono queste
    > condizioni:
    > - trovare una vulnerabilità da buffer
    > overflow in una DLL di windows
    > - allorare memoria esattamente nel pattern
    > descritto da maxpatrol.com
    > quindi le probabilità di essere
    > vulnerabili sono praticamente NULLE!!!!
    Forse vogliono evitare che la microsoft spii certi compure.....
    non+autenticato


  • - Scritto da: Anonimo
    > Per creare un exploit occorrono queste
    > condizioni:
    > - trovare una vulnerabilità da buffer
    > overflow in una DLL di windows
    > - allorare memoria esattamente nel pattern
    > descritto da maxpatrol.com
    > quindi le probabilità di essere
    > vulnerabili sono praticamente NULLE!!!!
    Certo i sistemi operativi microsoft sono il massimo in materia di sicurezza: Occhiolino allora perché tutte queste vulnerabilità prima o poi suno utilizzate per dei virus o del malware?

  • - Scritto da: Anonimo
    > Per creare un exploit occorrono queste
    > condizioni:
    > - trovare una vulnerabilità da buffer
    > overflow in una DLL di windows
    > - allorare memoria esattamente nel pattern
    > descritto da maxpatrol.com
    > quindi le probabilità di essere
    > vulnerabili sono praticamente NULLE!!!!

    A me pare che i tipi di maxpatrol abbiano dato dimostrazione dell'exploit:

    http://www.maxpatrol.com/defeating-xpsp2-heap-prot...

    Mah, solo il tempo potra' dirlo se siamo davanti ad una nuova infezione biblica modello codered, nimda, sqlslammer, blaster, ...
    11237

  • > A me pare che i tipi di maxpatrol abbiano
    > dato dimostrazione dell'exploit:
    >

    non hai capito un tubo, che occorre trovare prima una dll o un eseguibile che sia vulnerabile al buffer overflow per sploitare quella vulnerabilità il chè rende ancora più difficoltosa la cosa, e a quella difficotà si aggiunge pure il fatto che i file di windows xp sp2 sono stati compilati con l'opzione di protezione dai buffer overflow, quindi al massimo puoi avere exploit sui programmi caserecci...
    non+autenticato

  • - Scritto da: Anonimo

    > > A me pare che i tipi di maxpatrol
    > abbiano
    > > dato dimostrazione dell'exploit:
    >
    > non hai capito un tubo, che occorre trovare
    > prima una dll o un eseguibile che sia
    > vulnerabile al buffer overflow per sploitare
    > quella vulnerabilità il chè
    > rende ancora più difficoltosa la
    > cosa,

    Dici ? Visto l'alto numero di dll che gironzolano per un sistema, non credo sia cosi' difficile.

    > e a quella difficotà si
    > aggiunge pure il fatto che i file di windows
    > xp sp2 sono stati compilati con l'opzione di
    > protezione dai buffer overflow, quindi al
    > massimo puoi avere exploit sui programmi
    > caserecci...

    No, aspetta, spiegami questa opzione del compilatore. Dove l'hai letta ?
    11237
  •     
    http://www.microsoft.com/technet/prodtechnol/winxp...

    Memory protection. Some attacks by malicious software leverage software security vulnerabilities that allow too much data to be copied into areas of the computer?s memory. These vulnerabilities are typically referred to as buffer overruns. Although no single technique can completely eliminate this type of vulnerability, Microsoft is employing a number of security technologies to mitigate these attacks from different angles. First, core Windows components have been recompiled with the most recent version of our compiler technology, which provides added protection against buffer overruns. Additionally, Microsoft is working with microprocessor companies to help Windows support hardware-enforced data execution prevention (DEP) on microprocessors that contain the feature. Data execution prevention uses the CPU to mark all memory locations in an application as non-executable, unless the location explicitly contains executable code. This way, when an attacking worm or virus inserts program code into a portion of memory marked for data only, an application or Windows component will not run it.
    non+autenticato

  • - Scritto da: Anonimo
    >     
    > www.microsoft.com/technet/prodtechnol/winxppr
    >
    > Memory protection. Some attacks by malicious
    > software leverage software security
    > vulnerabilities that allow too much data to
    > be copied into areas of the computer?s
    > memory. These vulnerabilities are typically
    > referred to as buffer overruns. Although no
    > single technique can completely eliminate
    > this type of vulnerability, Microsoft is
    > employing a number of security technologies
    > to mitigate these attacks from different
    > angles. First, core Windows components have
    > been recompiled with the most recent version
    > of our compiler technology, which provides
    > added protection against buffer overruns.
    > Additionally, Microsoft is working with
    > microprocessor companies to help Windows
    > support hardware-enforced data execution
    > prevention (DEP) on microprocessors that
    > contain the feature. Data execution
    > prevention uses the CPU to mark all memory
    > locations in an application as
    > non-executable, unless the location
    > explicitly contains executable code. This
    > way, when an attacking worm or virus inserts
    > program code into a portion of memory marked
    > for data only, an application or Windows
    > component will not run it.

    Tuttavia leggere ciò che si quota proprio male non farebbe...
    Perchè da quello che si dice un conto è il DEP, ovvero il controllo che non possa essere eseguito codice contenuto nei segmenti dati ma solo quello nel segmento code, un conto sono le ottimizzazioni del compilatore per evitare i buffr underrun che funzionano anche senza DEP e che per inciso a mio parere fanno ben poco se non aumentare la memoria richiesta dal programma (Se non ricordo male si mette un fence register con un dato casuale e prima di ritornare la funzione si verifica che il dato nel fence register non sia stato modificato).
    Quanto a dire se sia una cosa semplice o complessa da attuare, be, non lo so... Ti dirò che da un Servizio Pacco che condivideva i miei file e le mie cartelle con il resto del mondo non mi piaceva proprio (che centra che tanto la mia difesa a doppio bastione fermava comunque tutto?).

    Bye
    RTFM
    non+autenticato

  • - Scritto da: Anonimo
        
    > First, core Windows components have
    > been recompiled with the most recent version
    > of our compiler technology, which provides
    > added protection against buffer overruns.

    Come ? Non lo dicono. Non credo che il compilatore analizzi il codice e capisca dove puo' intervenire un buffer overrun.

    > Additionally, Microsoft is working with
    > microprocessor companies to help Windows
    > support hardware-enforced data execution
    > prevention (DEP) on microprocessors that
    > contain the feature.

    Questo non evita il buffer overrun, e' una "pezza".
    11237

  • > Come ? Non lo dicono. Non credo che il
    > compilatore analizzi il codice e capisca
    > dove puo' intervenire un buffer overrun.

    se sei ignorante è meglio che stai zitto visto che esistono tecniche fra l'altro anche semplici nel funzionamento, che però consentono di evitare i buffer overflow (per semplificare al massimo e dare solo un esempio di base, basta che un compilatore inserisca, dopo ogni buffer allocato nello stack/heap, una variabile sentinella che vigila sullo stato di quel buffer; se il valore è cambiato allora il buffer è stato sovrascritto; lo scopo dei buffer overflow è scavalcare il buffer e andare a scrivere altri dati che vengono dopo al buffer per esempio l'indirizzo di ritorno di una procedura in modo da far eseguire un'altra procedura al posto di quella)
    non+autenticato

  • - Scritto da: Anonimo

    > > Come ? Non lo dicono. Non credo che il
    > > compilatore analizzi il codice e capisca
    > > dove puo' intervenire un buffer overrun.
    >
    > se sei ignorante è meglio che stai
    > zitto

    Arrogante.

    > visto che esistono tecniche fra
    > l'altro anche semplici nel funzionamento,
    > che però consentono di evitare i
    > buffer overflow (per semplificare al massimo
    > e dare solo un esempio di base, basta che un
    > compilatore inserisca, dopo ogni buffer
    > allocato nello stack/heap, una variabile
    > sentinella che vigila sullo stato di quel
    > buffer;

    Mi sa' che stai confondendo i check durante la compilazione con quelli runtime.

    > lo scopo dei buffer overflow
    > è scavalcare il buffer e andare a
    > scrivere altri dati che vengono dopo al
    > buffer per esempio l'indirizzo di ritorno di
    > una procedura in modo da far eseguire
    > un'altra procedura al posto di quella)

    Questo lo so benissimo.
    11237
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)