Alessandro Del Rosso

L'Help di WinXP nel mirino dei cracker

Sophos ha avvistato sul Web il primo malware capace di sfruttare una recente vulnerabilitÓ nell'Help Center di Windows XP. Microsoft Ŕ ancora impegnata alla realizzazione di una patch

Roma - Quello che molti esperti di sicurezza temevano si è verificato: la vulnerabilità recentemente scoperta nel Windows Help and Support Center di Windows XP è stata utilizzata per infettare certi computer via web.

A riportarlo è Sophos, i cui ricercatori hanno recentemente scoperto la presenza, su un sito web, di un malware (Sus/HcpExpl-A) in grado di sfruttare la falla per scaricare e installare sul PC delle vittime altri programmi maligni, tra cui il trojan Drop-FS.

Sulla base di questa segnalazione Microsoft ha tempestivamente aggiornato il suo advisory, dove ora si legge che "siamo a conoscenza di un limitato numero di attacchi sul campo che utilizzano il codice di questo exploit". Il codice a cui si riferisce BigM è quello pubblicato la scorsa settimana da Tavis Ormandy, il ricercatore di Google che ha scoperto e divulgato la debolezza.
A tal proposito va ricordato come Microsoft abbia fortemente criticato Ormandy per aver divulgato i dettagli del bug senza attendere il rilascio di una patch ufficiale. BigM sostiene di essere stata messa al corrente del problema con soli cinque giorni di anticipo rispetto alla pubblicazione dell'exploit. In un recente tweet, tuttavia, Ormandy ha difeso il suo operato affermando che "questi cinque giorni sono stati spesi per negoziare una correzione entro 60 giorni".

Mentre lavora allo sviluppo di una patch, Microsoft raccomanda agli utenti di Windows XP di applicare questo Fix it o uno degli altri workaround illustrati nel suo advisory. Anche Windows Server 2003 è potenzialmente vulnerabile, ma l'exploit di Ormandy si è dimostrato inefficace con questo sistema operativo.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaGoogle scova falle in Windows XPUna vulnerabilitÓ potenzialmente grave Ŕ stata scoperta da un ricercatore di BigG nelle funzioni di Help del vecchio OS di Microsoft. Pubblicato anche un exploit e un fix non ufficiale. Irritazione a Redmond
46 Commenti alla Notizia L'Help di WinXP nel mirino dei cracker
Ordina
  • O meglio uno di questi:

    Sabayon
    Gentoo
    Debian
    Ubuntu
    Mandriva
    PcLinuxOS
    Fedora
    Mint
    ...
    ...
    ...
    ...
    non+autenticato
  • Fanboys alla carica!!!!
    non+autenticato
  • ok torna a patchare i tuoi server irc..
    non+autenticato
  • sempre meglio che dover formattare ogni settimanaA bocca aperta
    non+autenticato
  • >
    > Sabayon
    > Gentoo
    > Debian
    > Ubuntu
    > Mandriva
    > PcLinuxOS
    > Fedora
    > Mint
    > ...
    > ...
    > ...
    > ...

    Tolgono il bug del'help, ma hanno corretto il bug delle finestre modali?
    Altrimenti tanto vale tenere XP.
  • - Scritto da: pippo75
    > >
    > > Sabayon
    > > Gentoo
    > > Debian
    > > Ubuntu
    > > Mandriva
    > > PcLinuxOS
    > > Fedora
    > > Mint
    > > ...
    > > ...
    > > ...
    > > ...
    >
    > Tolgono il bug del'help, ma hanno corretto il bug
    > delle finestre
    > modali?
    > Altrimenti tanto vale tenere XP.

    Non so se parliamo della stessa cosa ma su Ubuntu 10.04, quando viene richiesta la password per un'applicazione che necessita dei permessi di root, appare una finestra modale che non ha alcun bug, per quanto ho visto. Hai un link o è chiedere troppo? Non ho trovato nulla da nessuna parte...*

    Poi vorrei sollevare un'obiezione: 'correggono' anche decine di altri bug, anche se sul 'correggere' non sono d'accordo. ╚ come se usare una macchina Euro5 correggesse il bug che ha una Euro1 per l'inquinamento... Sono due macchine diverse.

    *Mi correggo al volo: Ho notato che non c'è modo di uscire se non attraverso i pulsanti (o cambiando terminale). Il bug è che non si possa uscire senza? Ma non è questo lo scopo delle finestre modali? Non si potrebbe implementare d'obbligo un pulsantino per chiuderle? Comunque è una disfunzionalità ma non un bug, non è pericoloso per il sistema. Software che apre finestre modali e non ti permette di uscirne è malware, IMHO. (E loggare sul tty1 e dare pkill pkill - o riavviare se non si è in grado - risolve la situazione al volo, il bug dell'Help non è così facile da sistemareSorride Credo sia bene fare due pesi due misure, in questi casi).
    non+autenticato
  • > Non so se parliamo della stessa cosa ma su Ubuntu
    > 10.04, quando viene richiesta la password per
    > un'applicazione che necessita dei permessi di
    > root, appare una finestra modale che non ha alcun
    > bug, per quanto ho visto. Hai un link o è
    > chiedere troppo? Non ho trovato nulla da nessuna
    > parte...*

    Si parlava di sostituire windows con una distro linux, quindi per i programmi windows si usa wine.
    Per quanto riguarda link, basta cercare con google ( wine window modal problem ) e ne trovi vari.
    Comunque quello che intendo io è, prova ad installare wine e poi un programma che usa finestre modali, queste finestre devono stare in primo piano fino a quando non c'è stata una risposta, cosa che non succede.
    E alcuni utenti principianti si possono trovare in difficoltà se questa sparisce.


    > una disfunzionalità ma non un bug, non è
    > pericoloso per il sistema. Software che apre
    > finestre modali e non ti permette di uscirne è
    > malware,

    o forse richiede una risposta specifica per continuare l'esecuzione.
  • - Scritto da: pippo75
    > Si parlava di sostituire windows con una distro
    > linux, quindi per i programmi windows si usa
    > wine.

    Pardon, avevo fraintesoImbarazzato

    > Per quanto riguarda link, basta cercare con
    > google ( wine window modal problem ) e ne trovi
    > vari.

    Grazie, non ne sapevo nulla, Wine lo uso poco onestamente.

    > Comunque quello che intendo io è, prova ad
    > installare wine e poi un programma che usa
    > finestre modali, queste finestre devono stare in
    > primo piano fino a quando non c'è stata una
    > risposta, cosa che non
    > succede.
    > E alcuni utenti principianti si possono trovare
    > in difficoltà se questa
    > sparisce.

    Es claro.

    > o forse richiede una risposta specifica per
    > continuare
    > l'esecuzione.

    Lascia stare quel discorso, era campato su ipotesi Anonimo
    non+autenticato
  • spero che questo consiglio non lo dia a tutti quelli che conosciA bocca aperta

    xp è oggettivamente da evitare, scegliete pure windows 7 ma xp è una bomba ad orologeria
    non+autenticato
  • Non contesto che abbia fatto bene a rendere noto che c'era una falla.
    Ha fatto malissimo a diffondere l'exploit senza dare tempo a MS di mettere a punto una patch.
    Sul fatto del reso pubblico, a chi?
    Ad una micro-fetta degli utenti di Windows
    non+autenticato
  • - Scritto da: Rover
    > Non contesto che abbia fatto bene a rendere noto
    > che c'era una
    > falla.
    > Ha fatto malissimo a diffondere l'exploit senza
    > dare tempo a MS di mettere a punto una
    > patch.
    > Sul fatto del reso pubblico, a chi?
    > Ad una micro-fetta degli utenti di Windows
    uff che noia. E' dai tempi di RFP (wiretrip.net - 2001) che ci si ciondola con queste questioni... e appunto lui aveva scritto una bella policy di responsibile disclosure che in supersintesi diceva "se entro 5 gg il produttore non ti da retta, tu pubblica". Forse il coder qui e' stato un po rude, ma mica c'e' una legge... magari se M$ avesse detto "ok lo patchamo ASAP" lui avrebbe atteso..
    non+autenticato
  • Da quando pubblicare info su un bug è reato?
  • - Scritto da: Valeren
    > Da quando pubblicare info su un bug è reato?

    http://www.exploit-db.com
    http://www.milw0rm.com

    Per fortuna non lo è, altrimenti chiunque usa software proprietario dipenderebbe esclusivamente dal produttore, senza poter verificare prima come si comporta. Denunciare le pratiche scorrette di Microsoft è un dovere, altro che reato!
    non+autenticato
  • - Scritto da: Rover
    > Non contesto che abbia fatto bene a rendere noto
    > che c'era una falla.

    Sai che cxlo fare l'exploit una volta che sai che da quelle parti c'e' una falla...

    > Ha fatto malissimo a diffondere l'exploit senza
    > dare tempo a MS di mettere a punto una patch.
    > Sul fatto del reso pubblico, a chi?
    > Ad una micro-fetta degli utenti di Windows
    krane
    21429
  • Di virus cosi' ne dovrebbero far uscire 10 al giorno. Cosi' qualcuno si da una svegliata. Amen.
    non+autenticato
  • veramente quella dei 5 giorni è prassi consolidata nell'ambito della sicurezza....è stata ms a far male fingendo di non sentire

    gli exploit si pubblicano proprio per costringere il produttore a rilasciare le patch
  • Troppo

    I giorni passati dalla notizia iniziale sono 6 e altri 5 ne sono passati da quando il tizio aveva avvisato MS.
    Arriviamo ad un totale di 11 giorni che secondo me per risolvere un problema conosciuto e ripetibile sono troppi!
    A questo punto il tipo ha fatto bene a sputtanare MS. visto che anche sotto questa pressione non stanno facendo nulla!
    G%2cG
    277
  • NO e ancora NO

    Cos'è questa nuova politica? Colpiamone 100 ( gli ignari utenti ) per educarne 1 ( la colpevole MS ) ?
    non+autenticato
  • - Scritto da: Ittiointerp rete
    > NO e ancora NO
    >
    > Cos'è questa nuova politica? Colpiamone 100 ( gli
    > ignari utenti ) per educarne 1 ( la colpevole MS
    > )
    > ?

    Gli utenti erano ignari della falla fin quando questa non è stata resa pubblica, come è stata scoperta dal dipendente di google potrebbe essere stata scoperta da altre persone con ben altre intenzioni nel corso degli ultimi anni.
    Ora come utente puoi effettuare una scelta, che sia quella di fregartene e rischiare, quella di non connettere il tuo pc con xp alla rete, quella di disabilitare il servizio incriminato (con le conseguenze del caso), quella di cambiare sistema operativo.
    sofos ha già scoperto che questa falla viene sfruttata, forse lo era già da prima...
    Boh, al corso di sicurezza ci hanno insegnato che nascondere le cose non è un buon metodo per renderle più sicure, si vede che alla ms dove volevano tenere la falla segreta per 60 giorni non hanno studiato sicurezza!
    G%2cG
    277
  • - Scritto da: Ittiointerp rete
    > NO e ancora NO
    >
    > Cos'è questa nuova politica? Colpiamone 100 ( gli
    > ignari utenti ) per educarne 1 ( la colpevole MS
    > )
    > ?

    La M$ a questo qui lo deve solo ringraziare.
    Avrebbe potuto vendere l'exploit ai russi e ricavarci parecchio, dopodiche' 100 sarebbe stato il numero degli XP rimasti sani!
  • ok torna a patchare i tuoi irc server e a scrivere codice gratis.
    non+autenticato
  • - Scritto da: bubu
    > ok torna a patchare i tuoi irc server e a
    > scrivere codice
    > gratis.

    Quanto rode l'invidia...
  • hahahahaha la tua..
    hahahahahahahhaha
    non+autenticato
  • Se ti vai a leggere l'ultimo bollettino di MS delle patch di giugno

    http://www.microsoft.com/technet/security/Bulletin...

    verso la fine trovi:

    Acknowledgments

    Microsoft thanks the following for working with us to help protect customers:

    • Chris Weber of Casaba Security for reporting the toStaticHTML Information Disclosure Vulnerability (CVE-2010-1257)

    • Takeshi Terada for reporting the toStaticHTML Information Disclosure Vulnerability (CVE-2010-1257)

    • Michal Zalewski of Google Inc. for reporting the Uninitialized Memory Corruption Vulnerability (CVE-2010-1259)

    • Chris Rohlf of Matasano Security for reporting the HTML Element Memory Corruption Vulnerability (CVE-2010-1260)

    • Chris Rohlf of Matasano Security for reporting the Uninitialized Memory Corruption Vulnerability (CVE-2010-1261)

    • Peter Vreugdenhil, working with TippingPoint'sZero Day Initiative, for reporting the Memory Corruption Vulnerability (CVE-2010-1262)

    Non mi sembra che ci sia stato alcun problema a ringraziare Michal Zalewski sempre di Google.
    non+autenticato
  • - Scritto da: Ittiointepr ete
    > Non mi sembra che ci sia stato alcun problema a
    > ringraziare Michal Zalewski sempre di
    > Google.

    Non c'è alcun problema a leggere l'articolo, no? Perché a me pare piuttosto chiaro. ╚ un dovere informare la gente di un bug aperto (Debian Promise insegna), potrebbero esserci già dei proof-of-concept in qualche forum russo per quanto ne sappiamo (e la MS si è rifiutata di patcharlo entro 60 giorni). Sarebbe un comportamento criticabile il vendere il bug a qualche virus-writer, non il divulgarlo pubblicamente.
    non+autenticato
  • Il fatto è che due giorni fa non erano noti attacchi, dopo che sto tizio ha sparso un po' di sangue, guarda caso sono arrivati gli squali.

    Ognuno è libero di passare il tempo a dileggiare MS quanto gli pare, ma
    aumentare la probabilità che gli utenti abbiano a rimetterci non mi pare un buon risultato.
    non+autenticato
  • - Scritto da: Ittiointerp rete
    > Il fatto è che due giorni fa non erano noti
    > attacchi, dopo che sto tizio ha sparso un po' di
    > sangue, guarda caso sono arrivati gli
    > squali.
    >
    > Ognuno è libero di passare il tempo a dileggiare
    > MS quanto gli pare,
    > ma
    > aumentare la probabilità che gli utenti abbiano a
    > rimetterci non mi pare un buon
    > risultato.

    Beh, se Microsoft s'è rifiutata di pubblicare una patch entro 60 giorni in realtà ha potenzialmente salvato tutti gli utenti. Ora che sanno del problema ci saranno sì virus a gogo, ma chi ha un addetto alla sicurezza può stare tranquillo. Prima potenzialmente potevano infettare tutte le macchine al mondo senza che nessuno sapesse di quella falla. Ogni cosa ha i suoi pro e i suoi contro... Io la trovo una scelta sensata ed etica (ha contattato Microsoft, ha trattato addirittura per i 60 giorni e, dopo i fatidici 5 giorni, ha reso tutto pubblico), l'errore è stato della Microsoft dal mio punto di vista. Se avesse accettato la sua segnalazione (per altro gratuita, l'impiegato non ha guadagnato niente in tutto ciò) oggi nessuno saprebbe del bug e forse ci sarebbe stata una patch prima che si diffondessero virus.
    non+autenticato
  • Sono secoli che dicono di averlo pensionato, che non ci saranno più update o fix e di passare a versioni successive...e invece continuano ad aggiornarlo.
    Boh?
  • - Scritto da: DarkOne
    > Sono secoli che dicono di averlo pensionato, che
    > non ci saranno più update o fix e di passare a
    > versioni successive...e invece continuano ad
    > aggiornarlo.
    > Boh?

    C'e' troppo lock-in nel mondo.
    XP durera' ancora per un bel pezzo, fino a morte fisica delle macchine su cui gira.
  • XP durera' ancora per un bel pezzo, fino a morte fisica delle macchine su cui gira.

    Ne sono convinto: XP (sp3) malgrado tutto è ancora il male minore, nel mare del "male" M$.
    non+autenticato
  • - Scritto da: Gattazzo
    > XP durera' ancora per un bel pezzo, fino a
    > morte fisica delle macchine su cui
    > gira.

    >
    > Ne sono convinto: XP (sp3) malgrado tutto è
    > ancora il male minore, nel mare del "male"
    > M$.

    Direi che è il male minore nel male "Closed OSes"
    Apple non è l'anti-ms;
    Apple è (MS ^ 4) + Fanatismo + Religione*

    * che è sempre (la storia parla chiaro) stata il male dell'umanità
    non+autenticato
  • Il supporto a XP SP2 è terminato l'anno scorso, per XP SP3 dovrebbe terminare nel 2014
    non+autenticato
  • Visto che è stato cancellato, lo rimetto.
    XP Sp3 è supportato fino al 2014
    Se dall'uscita di XP il bug non era venuto fuori non era particolarmente pericoloso. Estremamente scorretto e incosciente è invece il comportamento di questo Ormandy, che ha rivelato l'exploit senza dare tempo a MS di correggere il bug. Che potrebbere richiedere anche un po' di tempo per essere risolto, tra scrittura, collaudo e rilascio.
    Quindi, pur essendo vero che XP non è il massimo della sicurezza, è altrettanto vero che questo signore è peggio di un virus.
    non+autenticato
  • - Scritto da: rover
    > Visto che è stato cancellato, lo rimetto.

    visto che ti avevo risposto, lo ripeto.

    > XP Sp3 è supportato fino al 2014
    > Se dall'uscita di XP il bug non era venuto fuori
    > non era particolarmente pericoloso.

    Casomai non era particolarmente evidente. Ci sono falle emerse dopo decenni e comunque pericolose...

    > Estremamente
    > scorretto e incosciente è invece il comportamento
    > di questo Ormandy, che ha rivelato l'exploit
    > senza dare tempo a MS di correggere il bug.

    Nel twitter di Ormandy, linkato nell'articolo, si dice invece che aveva chiesto a MS che venisse patchato entro 60 giorni, prima di renderlo pubblico. Risposta di MS: nisba. Risposta di Ormandy: e allora lo pubblico.

    > Che
    > potrebbere richiedere anche un po' di tempo per
    > essere risolto, tra scrittura, collaudo e
    > rilascio.

    anche mesi... anni...

    > Quindi, pur essendo vero che XP non è il massimo
    > della sicurezza, è altrettanto vero che questo
    > signore ...

    questo signore ha fatto il suo dovere: ha trovato un baco dannoso ed ha cortesemente avvisato il produttore del software. Quando gli hanno fatto marameo per tappare il buchetto, lui si è un po' arrabbiato e lo ha messo in piazza.
  • Mi chiedo quanto tempo mai occorra da parte di una società coi mezzi di una M$ per correggere la più semplice al mondo delle falle immaginabili, che già per sua natura è assurdo che sia tale.

    Ma dico io, che pasticci immensi può aver mai fatto la suddetta monopolista (o almeno ci spera di diventarlo) in un microprogramma di LETTURA DI TESTO di documentazione? Perchè se per fornire delle banali documentazioni (che nel caso in questioni sono pressochè inutili), non occorre altro, secondo buon senso, salvo essere proprio bacati in testa!
    non+autenticato
  • - Scritto da: Gattazzo
    > Mi chiedo quanto tempo mai occorra da parte di
    > una società coi mezzi di una M$ per correggere la
    > più semplice al mondo delle falle immaginabili,
    > che già per sua natura è assurdo che sia tale.

    Devono ingaggiare un cocopro' che si deve studiare i sorgenti e capire dove mettere le mani, senza fare altri danni.
    Non dimenticare che la M$ alle sue dipendenze ha solo avvocati e markettari.
    Sviluppatori non ce ne sono piu' da un pezzo.

    O pensi che sia un avvocato quello che mette le pezze ?
    (Be' alcune delle ultime, forse si, visti gli effetti collaterali)
  • - Scritto da: Gattazzo
    > Mi chiedo quanto tempo mai occorra da parte di
    > una società coi mezzi di una M$ per correggere la
    > più semplice al mondo delle falle immaginabili,
    > che già per sua natura è assurdo che sia tale.

    Da quando hanno saputo del baco nella sede di Redmond ci sono decine di commerciali che girano in tondo gridando forte forte; tutti in cerca dell'unico programmatore che non sia stagista ma che magari e' in ferie.

    > Ma dico io, che pasticci immensi può aver mai
    > fatto la suddetta monopolista (o almeno ci spera
    > di diventarlo) in un microprogramma di LETTURA DI
    > TESTO di documentazione? Perchè se per fornire
    > delle banali documentazioni (che nel caso in
    > questioni sono pressochè inutili), non occorre
    > altro, secondo buon senso, salvo essere
    > proprio bacati in testa
    !
    krane
    21429
  • Ha una percentuale di diffusione troppo grande non può essere mandato in pensione adesso, è un dovere di Ms fornire patch, fino all 8 Aprile 2014.