Alessandro Del Rosso

Un nuovo exploit minaccia Vista

Un esperto di sicurezza ha pubblicato un exploit per una recente vulnerabilitÓ di Windows Vista. Potrebbe essere utilizzato per eseguire del codice a distanza. Microsoft sta ultimando una patch

Roma - A rendere più urgente la correzione di un recente bug di Windows relativo al protocollo di rete Server Message Block (SMB) 2 è stata la divulgazione, negli scorsi giorni, di un nuovo exploit pubblico utilizzabile per eseguire codice sui PC in cui girano Windows Vista, Windows Server 2008 e le versioni di Windows 7 precedenti alla RTM.

Ad allarmare gli esperti c'è il fatto che il nuovo exploit, scritto dal ricercatore Stephen Fewer di Harmony Security, è stato inserito in Metasploit, un toolkit open source per il penetration testing utilizzato di frequente anche per fini poco leciti.

Microsoft è a conoscenza del problema da circa un mese e sebbene non abbia ancora rilasciato una patch ha messo a disposizione degli utenti un workaround automatizzato: per applicarlo è sufficiente visitare questa pagina e cliccare sul pulsante Fix it di sinistra, il quale provvede a disattivare SMB 2. Per riattivare questo componente, preferibilmente dopo aver applicato la relativa patch (in via di sviluppo), basterà cliccare sul pulsante Fix it di destra.
La falla, relativa all'implementazione del protocollo SMB 2, è stata scoperta lo scorso mese dall'esperto di sicurezza Laurent Gaffié, il quale pubblicò anche un exploit proof of concept: tale codice era però soltanto dimostrativo, e non poteva essere utilizzato direttamente per lanciare degli attacchi. Nonostante ciò, ai ricercatori di sicurezza non è occorso molto tempo per mettere a punto i primi exploit funzionanti: fino ad oggi il loro codice è circolato però soprattutto in forma privata, e poteva essere utilizzato solo per attacchi di denial of service.

Fewer sostiene che il suo exploit può essere utilizzato anche per l'esecuzione di codice a distanza, e per installare sui PC delle vittime backdoor o malware. L'efficacia del programma è stata però messa in dubbio da Kostya Kortchinsky, ricercatore senior presso la società Immunity, il quale afferma di essere riuscito ad eseguire del codice per mezzo dell'exploit di Fewer esclusivamente all'interno di una macchina virtuale VMware: al di fuori dell'ambiente di virtualizzazione il codice di Fewer causerebbe soltanto il crash del sistema.

Microsoft dovrebbe correggere definitivamente la falla con il rilascio dei prossimi bollettini di sicurezza, previsti per il 13 ottobre.

Come si è detto, BigM ha già fornito una soluzione temporanea al problema servendosi di uno script Fix it, una forma di workaround introdotta circa sei mesi fa e, da allora, utilizzata in oltre 300 occasioni per risolvere problemi, modificare le configurazioni di Windows o proteggere gli utenti da certi virus. Microsoft afferma che in oltre il 95% dei casi il pulsante Fix it "ha completamente risolto il problema".

Alessandro Del Rosso
Notizie collegate
  • SicurezzaSicurezza, il caldo settembre di MicrosoftCinque bollettini di sicurezza, tutti critici, e un advisory nel quale si conferma l'esistenza di una vulnerabilitÓ zero-day. Salva la versione finale di Seven, problemi per le release candidate e Vista
71 Commenti alla Notizia Un nuovo exploit minaccia Vista
Ordina
  • Tanto Vista ha venduto talmente poco che questo exploit inciderà si e no su quei 4 sfigati che se lo sono trovato preinstallato e se lo sono fatto piacere non sostituendolo con XP o con un più sicuro e prestante Linux.

    Quando uscirà Seven tutti i Winzozz Vista prenderanno la strada del Cestino e conseguente Svuota Cestino...

    Mamma mia che vita breve che ha avuto questo OS e i suoi exploit...Sorride
    non+autenticato
  • Beh hanno trovato almeno un modo per rendere sicura almeno una versione di windows A bocca apertaDDD
    non+autenticato
  • - Scritto da: iRoby
    > Tanto Vista ha venduto talmente poco che questo
    > exploit inciderà si e no su quei 4 sfigati che se
    > lo sono trovato preinstallato e se lo sono fatto
    > piacere

    Esatto. "Se lo sono fatto piacere"... un po' come quando Rocky diceva "non fa male, non fa male" durante il film. Perche' bisogna essere ai limiti del masochismo per avere il coraggio di dire che passare da XP a Vista e' un buon affare, visto che non ha alcuna funzionalita' di nota aggiuntiva tranne l'odioso UAC e succhia il doppio delle risorse. Vorrei vedere in faccia chi ha il coraggio di difendere AERO(fagia)
    non+autenticato
  • - Scritto da: rotfl

    > Esatto. "Se lo sono fatto piacere"... un po' come
    > quando Rocky diceva "non fa male, non fa male"
    > durante il film. Perche' bisogna essere ai limiti
    > del masochismo per avere il coraggio di dire che
    > passare da XP a Vista e' un buon affare, visto
    > che non ha alcuna funzionalita' di nota
    > aggiuntiva tranne l'odioso UAC e succhia il
    > doppio delle risorse. Vorrei vedere in faccia chi
    > ha il coraggio di difendere
    > AERO(fagia)

    Guarda io sono uno di quelli che hanno criticato Vista all'inizio, ma adesso, non mi faccio problemi a sceglierlo e preferirlo quando possibile.
    Il consumo di risorse è eccessivo, ma sul mio hardware la cosa non influisce più di tanto, su altri PC sono il primo ad evitarlo come la peste.
    Al di là dell'interfaccia grafica (che prefersico, Aero o no) che non conta nulla, trovo irrinunciabile l'instant search (specie quello nella barra di avvio) anche perchè mi ero troppo abituato ad usare Katapult (su linux) e Spotlight (su Mac OSX), al punto da sentirmi monco su XP.
    Un'altra cosa è lo scheduler migliorato, sopratutto per i multicore, tanto da non bloccare i processi tentando di fare qualcosa con carico al 100%. Deve migliorare perchè ancora il sistema risulta praticamente inutilizzabile, ma il fatto che non si blocchi è un miglioramento tangibile.
    La stabilità e la sicurezza sono quelle di XP (nè più, ne meno), da segnalare la gestione dei permessi avanzata anche sulle versioni Home (che su XP mancava totalmente).
  • "preparatevi a cambiare S.O." potrebbe essere il titolo della notizia
    non+autenticato
  • - Scritto da: freeeak
    > "preparatevi a cambiare S.O." potrebbe essere il
    > titolo della
    > notizia
    perchè?
    lroby
    5311
  • - Scritto da: lroby
    > - Scritto da: freeeak
    > > "preparatevi a cambiare S.O." potrebbe essere il
    > > titolo della
    > > notizia
    > perchè?

    Perche' Vista fa schifo.
    non+autenticato
  • - Scritto da: rotfl
    > Perche' Vista fa schifo.
    hahaahahaha ok.. avevo chiesto una risposta seria..
    lroby
    5311
  • Quindi ti autoescludi da solo? Occhiolino
    non+autenticato
  • - Scritto da: lroby
    > - Scritto da: rotfl
    > > Perche' Vista fa schifo.
    > hahaahahaha ok.. avevo chiesto una risposta
    > seria..

    Ah perche' non fa schifo?
    non+autenticato
  • - Scritto da: lroby
    > - Scritto da: rotfl
    > > Perche' Vista fa schifo.
    > hahaahahaha ok.. avevo chiesto una risposta
    > seria..

    Tranquillo Microsoft Vista fa schifo, mentre Ideal Standard Vista Roby edition for WC è fantastico.
  • - Scritto da: dont feed the troll/dovella
    > Tranquillo Microsoft Vista Roby edition è
    > fantastico ed è l'IDEAL per tutti quanti.
    > dovrebbe diventare lo standard.
    ECCO fatto, avevi scritto male la frase, ma ho capito il senso
    te l'ho corretta ioOcchiolino
    lroby
    5311
  • - Scritto da: lroby
    > - Scritto da: dont feed the troll/dovella
    > > Tranquillo Microsoft Vista Roby edition è
    > > fantastico al posto di IDEAL STANDARD, + stimolante.

    Così mi sembra ancora + chiaro.
  • ╚ la "lRoby Rigatiere IT Ediscion" ? Occhiolino
    non+autenticato
  • - Scritto da: Yellow
    > ╚ la "lRoby Rigatiere IT Ediscion" ? Occhiolino

    no la Rigatiere IT Ediscion è la versione recuperata dalla monnezza e imbellettata.

    Praticamente Seven.
  • da remoto non funziona perchè c'è Windows Firewall abilitato di default
    non+autenticato
  • SMB2 non è esposto ad Internet. Quindi tanto rumore per nulla!
    non+autenticato
  • Che basta che venga disabilitato il firewall e siamo da capo. Bella garanzia di sicurezza la tua
    non+autenticato
  • La firewall serirebbe proprio a questo, se la disabiliti é come lasciare la macchina (auto) aperta a Scampia.. se te la fregano te la sei cercata.
    PS: si lo so l'utonto non sa neanche cosa sia... ma se chi glielo vende (il PC) spiega al cliente che la firewall é importante quanto l'antivirus magari nessuno la toglie.
    non+autenticato
  • - Scritto da: Steve Robinson Hakkabee
    > PS: si lo so l'utonto non sa neanche cosa sia...
    > ma se chi glielo vende (il PC) spiega al cliente
    > che la firewall é importante quanto l'antivirus
    > magari nessuno la
    > toglie.
    proprio perchè l'utonto non sa neanche cosa sia, è molto improbabile che vada a toccarlo ,sopratutto perchè disattivandolo anche per errore, è Windows stesso a romperti le scatole per fartelo riattivare.
    lroby
    5311
  • - Scritto da: lroby
    > - Scritto da: Steve Robinson Hakkabee
    > > PS: si lo so l'utonto non sa neanche cosa sia...
    > > ma se chi glielo vende (il PC) spiega al cliente
    > > che la firewall é importante quanto l'antivirus
    > > magari nessuno la
    > > toglie.
    > proprio perchè l'utonto non sa neanche cosa sia,
    > è molto improbabile che vada a toccarlo
    > ,sopratutto perchè disattivandolo anche per
    > errore, è Windows stesso a romperti le scatole
    > per fartelo
    > riattivare.

    O soprattutto perché in rete l'utonto legge che per risolvere il problema X deve disabilitare il fw...e poi non lo riabilita.

    Ma di che ti lamenti, poi vengono da te a farselo riparare.
    non+autenticato
  • - Scritto da: Yellow
    > O soprattutto perché in rete l'utonto legge che
    > per risolvere il problema X deve disabilitare il
    > fw...e poi non lo
    > riabilita.
    qui sarebbero da fucilare quelli che suggeriscono di disattivare il firewall per ogni problema che cè sul pc.
    per poi scoprire che non è mai lui il responsabile (salvo casi di rete che non và)
    lroby
    5311
  • - Scritto da: lroby
    > - Scritto da: Yellow
    > > O soprattutto perché in rete l'utonto legge che
    > > per risolvere il problema X deve disabilitare il
    > > fw...e poi non lo
    > > riabilita.
    > qui sarebbero da fucilare quelli che suggeriscono
    > di disattivare il firewall per ogni problema che
    > cè sul
    > pc.
    > per poi scoprire che non è mai lui il
    > responsabile (salvo casi di rete che non
    > và)

    Eh lo so, ma ormai il danno è fatto e il tipo ha scordato di riattivare il fw e buonanotte sognatori.
    non+autenticato
  • - Scritto da: Steve Robinson Hakkabee
    > La firewall serirebbe proprio a questo, se la
    > disabiliti é come lasciare la macchina (auto)
    > aperta a Scampia.. se te la fregano te la sei
    > cercata.

    "Serirebbe" a cosa che poi leggono in rete che per far andare questo o quel programma ti consigliano di disabilitare il fw e poi si dimenticano di riattivarlo...

    > PS: si lo so l'utonto non sa neanche cosa sia...
    > ma se chi glielo vende (il PC) spiega al cliente
    > che la firewall é importante quanto l'antivirus
    > magari nessuno la
    > toglie.

    Certo, l'importante è crederci a Babbo natale
    non+autenticato
  • Be un bel ragionamento!
    non+autenticato
  • Dopo avere letto il tuo, qualsiasi cosa è un ottimo ragionamento a confronto
    non+autenticato
  • Il nuovo windows piu' sicuro... i winzozzari a menarsela che IE gira nella sand box cosi' e' invulnerabile, che quelle stupide finestre che chiedono "consenti consenti" servono a qualcosa...

    Poi to guarda cosa capita comunque? Cos'e' cambiato dalle versioni procedente di Windows? niente ! e' solo piu' pensante.
    non+autenticato
  • bah a me l'unica sandbox che sembra funzionare davvero è quella di chrome

    riguardo vista sono stati i fan a montarsi la testa, nè uac nè il sono dei meccanismi di sicurezza system wide ma solo dei metodi di autenticazione

    e Russinovich l'ha detto chiaramente in un articolo sul suo blog l'anno scorso

    poi vabbè i fanboy interpretano a modo loro, ma questo è un altro discorso
  • - Scritto da: pabloski
    > bah a me l'unica sandbox che sembra funzionare
    > davvero è quella di
    > chrome

    Sandboxie. Mai visto nulla evadere da quella sandbox.
    non+autenticato
  • da remoto non funziona perchè c'è Windows Firewall abilitato di default
    non+autenticato
  • Che basta che venga disabilitato et voilà siamo da capo
    non+autenticato
  • http://www.zeusnews.it/index.php3?ar=stampa&cod=11...

    Ma guarda, come al solito è windows che mette a repentaglio anche la sicurezza di altri prodotti. E chissà quando lo patcheranno!A bocca aperta
    Shiba
    3651
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)