Mauro Vecchio

Microsoft a caccia di worm

Rilasciate le nuove patch per correggere almeno una decina di vulnerabilità interne ai sistemi operativi Windows. Tra queste, una falla nello spooler di stampa sfruttata a sorpresa dalla famiglia di worm nota come Stuxnet

Roma - Un nuovo bollettino di sicurezza - codice MS10-061 - recentemente pubblicato sul sito ufficiale di Microsoft. Una serie di patch, a correggere più di una decina di vulnerabilità che hanno afflitto i sistemi operativi Windows, tra cui XP, Vista e 7. Ma soprattutto per risolvere un'altra critica vulnerabilità, precedentemente scovata dagli analisti di Kaspersky Lab.

Una falla interna al Print Spooler Service di Windows, che permetterebbe ad un ipotetico cracker di ottenere in remoto il controllo del computer, attraverso una particolare richiesta di stampa inviata ad un sistema centrale che non abbia predisposto alcuna credenziale d'autenticazione per lo stesso spooler di stampa.

Questa vulnerabilità era stata scoperta prima da Kaspersky Lab e poi da Symantec, sfruttata dalla famiglia di worm Stuxnet. E Stuxnet aveva destato più di una preoccupazione alla fine dello scorso luglio.
La falla abusata da Stuxnet era un difetto strutturale nella visualizzazione delle icone dei file .lnk, meglio noti come scorciatoie. BigM aveva in seguito rilasciato alcune patch, in occasione del tradizionale Patch Tuesday del mese successivo. Ma un recente articolo apparso sul blog Securelist aveva parlato di alcune sorprese legate alla famiglia di worm.

Stando alle analisi di Kaspersky Lab, Stuxnet avrebbe abusato di "svariate falle zero-day di Windows". "Il worm non si diffonde soltanto attraverso le vulnerabilità LNK - si può leggere nel post - Una volta infettato un computer all'interno di un network locale, cerca di intrufolarsi in altri dispositivi utilizzando altre due strade di propagazione".

La prima, sfruttando la vulnerabilità di MS08-067, già utilizzata - anche se in maniera leggermente differente - all'inizio del 2009 da Kido (meglio noto come Conficker). La seconda, proprio attraverso il Print Spooler Service di Windows, la cui falla è stata appunto risolta dall'azienda di Redmond.

Intanto, nuovi aggiornamenti hanno gettato luce su un altro worm, quel "Here you have" che aveva già causato più di un grattacapo ad alcune corporation statunitensi. Un worm quasi vintage, che aveva sorpreso gli analisti per la sua capacità di propagarsi via posta elettronica.

In un filmato recentemente apparso su YouTube, si può ascoltare una gracchiante voce elettronica che parla di un movimento di resistenza iracheno, con una mappa della regione spagnola dell'Andalusia sullo sfondo. Il virus avrebbe così attaccato le grandi aziende a stelle e strisce come forma di vendetta contro i torti subiti dal popolo musulmano.

Mauro Vecchio
Notizie collegate
  • SicurezzaSymantec, Norton e le emozioni da malwareLa società di sicurezza presenta prodotti di punta rinnovati promettendo più sicurezza per tutti. Soprattutto per i molti, numeri alla mano, che finiscono vittima della frustrazione connessa al cybercrime
  • TecnologiaMicrosoft SIR, virus in calo in ItaliaL'ultima edizione del Security Intelligence Report di Microsoft evidenzia come le infezioni da malware stiano diminuendo in vari paesi, Italia inclusa. Il crimine informatico, avverte però Microsoft, ha i connotati di una vera industria
  • AttualitàConficker blocca la polizia di ManchesterIl noto worm si sarebbe insinuato attraverso una chiavetta USB infetta. Le forze dell'ordine della città rimarranno disconnesse fino a quando non sarà ristabilita la normalità
15 Commenti alla Notizia Microsoft a caccia di worm
Ordina
  • Questa ennesima falla dimostra che chi non ritiene windows un sistema sicuro, ha ragione.
    A malincuore , ma devo ammetterlo.
  • ora si può infettare un pc stampando? ah ah ah ah ah ah ah ah ah ah ah ah ah ah ah
    ora la cosa si fa veramente ridicola x big M di remmond! fra non molto x infettarsi basterà inserire la presa di corrente!
    forse prima o poi qualcuno si deciderà a riscrivere dall'inizio il kernell con un codice sorgente tutto nuovo.
  • - Scritto da: hacher
    > ora si può infettare un pc stampando? ah ah ah ah
    > ah ah ah ah ah ah ah ah ah ah ah
    >
    > ora la cosa si fa veramente ridicola x big M di
    > remmond! fra non molto x infettarsi basterà
    > inserire la presa di
    > corrente!
    > forse prima o poi qualcuno si deciderà a
    > riscrivere dall'inizio il kernell con un codice
    > sorgente tutto
    > nuovo.


    Si, veramente i principi del ridicolo...
    E sai cos'è il bello? che c'è gente come Uau, nome e cognome ecc.. che darebbero il Qlo per loro...

    Povera gente, mi fanno veramente pena!
    non+autenticato
  • - Scritto da: RealENNECI
    > Si, veramente i principi del ridicolo...
    > E sai cos'è il bello? che c'è gente come Uau,
    > nome e cognome ecc.. che darebbero il Qlo per
    > loro...
    >
    > Povera gente, mi fanno veramente pena!


    però non è bello fare attacchi personali, io preferisco restare ai fatti compiuteristici
  • Sei un grandeSorride
    non+autenticato
  • - Scritto da: hacher
    > ora si può infettare un pc stampando? ah ah ah ah
    > ah ah ah ah ah ah ah ah ah ah ah
    >
    > ora la cosa si fa veramente ridicola x big M di
    > remmond! fra non molto x infettarsi basterà
    > inserire la presa di
    > corrente!
    > forse prima o poi qualcuno si deciderà a
    > riscrivere dall'inizio il kernell con un codice
    > sorgente tutto
    > nuovo.


    informati,leggi che arricchisci la istruzione in questi campi dove non ne sai niente

    What might an attacker use the vulnerability to do?

    An attacker who successfully exploited this vulnerability could run arbitrary code on a user's system with system privileges. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts.

    How could an attacker exploit the vulnerability?

    An attacker could exploit this vulnerability by crafting and sending a malicious print request to a vulnerable system that has a print spooler interface exposed over RPC. The target system would not properly validate whether the remote user has sufficient permissions, and permit the remote attacker to create a file in a Windows system directory. When dropped in particular locations, these files may be automatically executed by the system.

    What systems are primarily at risk from the vulnerability?

    Workstations and terminal servers that share a printer, or print servers are primarily at risk. Servers could be at more risk if administrators allow users to log on to servers and to run programs. However, best practices strongly discourage allowing this

    ________________________________________________________

    perche l'attacco vada a fine e si arrivi all'autoinstallazione di software malevolo il computer client dell'azienda deve essere loggato con diritti Administrator

    da quando in qua' computer client aziendali stanno loggati con gli account Admin che sono tutti Limitati su XP ? ( se gestiti da Sys Admin non capre) ?


    da quando in qua i Printing Server di LAN Intranet stanno col lo spooler di stampa di rete su chiamate RCP loggati/accesi con account Amministrativi?? mai !!

    se non sapete nulla di queste cose.. si ribadisce per l'ennesima volta: meglio tacere
    non+autenticato
  • Nessuno deve essere loggato. L'importante e' che un programa venga eseguito. Un attaccante deve soltanto depositare una DLL o un EXE infetto che venga eseguito anche dal sistema. Ce ne sono fraccate eseguite da Windows come Administrator... non ti serve un amministratore capra (anche se pure quelli non scarseggiano)


    Cordiali saluti
  • - Scritto da: markoer
    > Nessuno deve essere loggato. L'importante e' che
    > un programa venga eseguito. Un attaccante deve
    > soltanto depositare una DLL o un EXE infetto che
    > venga eseguito anche dal sistema. Ce ne sono
    > fraccate eseguite da Windows come
    > Administrator... non ti serve un amministratore
    > capra (anche se pure quelli non
    > scarseggiano)
    >
    >
    > Cordiali saluti


    perche' si esegue anche un .exe che e' INSTALLAZINE di sofware malware e va a buon fine l'installazione scrivendo le chimate nel registro e l'autoavvio del malware anche in KERNEL MODE se non si e' loggati con diritti Admin?

    ma cosa vai dicendo? ma quando mai?

    cosa dite io mi chiedo

    studiate che e' meglio ..poi parlate sempre e solo sui blog..in altri posti nel mondo reale non potreste fare scrivendo certe fesserie

    cordiali saluti a te Sorride
    non+autenticato
  • - Scritto da: A.besson

    > studiate che e' meglio ..poi parlate sempre e
    > solo sui blog..in altri posti nel mondo reale non
    > potreste fare scrivendo certe fesserie
    >

    Hai ragione.
    Windows e' un sistema estremamente sicuro.
    Io non ho alcuna difficolta' a permettere ad un server windows di gestire gli apparecchi che ti terranno in vita, se disgraziatamente tu finissi intubato in ospedale e la tua vita dipendesse dal buon funzionamento di quella macchina.
  • - Scritto da: panda rossa
    > - Scritto da: A.besson
    >
    > > studiate che e' meglio ..poi parlate sempre e
    > > solo sui blog..in altri posti nel mondo reale
    > non
    > > potreste fare scrivendo certe fesserie
    > >
    >
    > Hai ragione.
    > Windows e' un sistema estremamente sicuro.
    > Io non ho alcuna difficolta' a permettere ad un
    > server windows di gestire gli apparecchi che ti
    > terranno in vita, se disgraziatamente tu finissi
    > intubato in ospedale e la tua vita dipendesse dal
    > buon funzionamento di quella
    > macchina.

    ma tu sai ripetere sempre e solo le stesse ed identiche cose??

    non cambi mai disco?

    cambialo e affronta gli argomenti invece che far girare sempre gli stessi dishi..

    sei monotono e patetico
    non+autenticato
  • - Scritto da: A.besson

    > perche' si esegue anche un .exe che e'
    > INSTALLAZINE di sofware malware e va a buon
    > fine l'installazione scrivendo le chimate nel
    > registro e l'autoavvio del malware anche in
    > KERNEL MODE se non si e' loggati con diritti
    > Admin?
    >
    > ma cosa vai dicendo? ma quando mai?
    >
    > cosa dite io mi chiedo
    >
    > studiate che e' meglio ..poi parlate sempre e
    > solo sui blog..in altri posti nel mondo reale non
    > potreste fare scrivendo certe fesserie

    calma... fai un respiro profondo... pensa alla tua insegnante di italiano alle elementari e falle fare bella figura almeno una volta nella vita.
    non+autenticato
  • - Scritto da: illuso
    > - Scritto da: A.besson
    >
    > > perche' si esegue anche un .exe che e'
    > > INSTALLAZINE di sofware malware e va a buon
    > > fine l'installazione scrivendo le chimate nel
    > > registro e l'autoavvio del malware anche in
    > > KERNEL MODE se non si e' loggati con diritti
    > > Admin?
    > >
    > > ma cosa vai dicendo? ma quando mai?
    > >
    > > cosa dite io mi chiedo
    > >
    > > studiate che e' meglio ..poi parlate sempre e
    > > solo sui blog..in altri posti nel mondo reale
    > non
    > > potreste fare scrivendo certe fesserie
    >
    > calma... fai un respiro profondo... pensa alla
    > tua insegnante di italiano alle elementari e
    > falle fare bella figura almeno una volta nella
    > vita.
    calma meglio che faccia un respiro prondo.... penso alla mia insegnate di italiano alle elementari e a farle fare bella figura almeno una volta nella vita..

    ma sono un Illuso se penso a cio'
    non+autenticato