Alfonso Maruccia

Il worm russo all'attacco dello 0-day di Windows

I ricercatori scoprono una pericolosa vulnerabilitÓ nei sistemi Microsoft. GiÓ sfruttata per attaccare organizzazioni come la Nato e aziende occidentali. Una patch dovrebbe essere in arrivo

Roma - La società di sicurezza iSight Partners ha svelato l'esistenza di "SandWorm", un codice malevolo progettato per sfruttare una vulnerabilità 0-day presente all'interno di tutte le versioni di Windows supportate (ma non su XP) e già adoperata da ignoti cracker russi per condurre una campagna di cyber-spionaggi ai danni della NATO. La vulnerabilità (CVE-2014-4114) riguarda sia i sistemi Windows per desktop (Vista, 7, 8) che Server, ed è presente a causa del modo in cui l'OS Microsoft tratta un pacchetto OLE in forma di DLL; un malintenzionato può sfruttare la falla per scaricare e lanciare gli eseguibili indicati in un file .inf, mandando quindi in esecuzione codice malevolo da remoto.

Come spiegato da iSight, la falla è già stata attivamente sfruttata dai cracker in una campagna di cyber-spionaggio a opera dei soliti black hat russi che ha preso di mira NATO, governi dell'Ucraina e dell'Europa occidentale, aziende impegnate nel settore dell'energia eolica (in Polonia), aziende di telecomunicazioni europee e organizzazioni accademiche statunitensi.

Gli attacchi - di tipo spear-phishing - vengono condotti per mezzo di un file PowerPoint "armato" per sfruttare la vulnerabilità, spiega la società, mentre per quanto riguarda l'eventuale furto di dati sensibili o riservati non sono al momento disponibili dettagli specifici.
La vulnerabilità ribattezzata SandWorm - a causa dei continui riferimenti al classico sci-fi di Frank Herbert, Dune, dice iSight - ha oramai fatto i suoi danni ma non tutto è perduto: gli aggiornamenti in arrivo oggi con il Patch Tuesday mensile dovrebbero servire (anche) a chiudere il bug incriminato.

Alfonso Maruccia
Notizie collegate
  • AttualitàBanche d'affari attaccate da cracker russiL'FBI conferma di stare indagando. Ma non ci sono informazioni precise su quali istituti siano stati violati e quante informazioni sottratte. Ignoto anche il movente dell'azione. Si sospetta ci possano essere dietro le tensioni internazionali in Ucraina
  • SicurezzaPatch Tuesday, martedì di passione per IEIl prossimo aggiornamento di sicurezza di Microsoft si prospetta di dimensioni notevoli, e per giunta indirizzato a correggere bug piuttosto pericolosi. La star di ottobre Ŕ il solito Internet Explorer
52 Commenti alla Notizia Il worm russo all'attacco dello 0-day di Windows
Ordina
  • affinché questo exploit funzioni occorre l'interazione con l'utente cioè l'utente deve espressamente autorizzare l'installazione del file inf, per cui è solo tanto rumore per nulla...
    Logicamente è pericolosa perché in quell'inf si può caricare qualsiasi cosa da remoto, ma se non decidi tu stesso di farlo partire, non succede nulla
    non+autenticato
  • Sasser, Blaster e Nimda nessuno se li ricorda?

    Forse l'unico Sistema Operativo che è rimasto inviolato per parecchio tempo è stato OpenBSD: "Solamente due buchi di sicurezza remoti con l'installazione di default da un casino di tempo!" cit.
    non+autenticato
  • > Forse l'unico Sistema Operativo che è rimasto
    > inviolato per parecchio tempo è stato OpenBSD:
    > "Solamente due buchi di sicurezza remoti con
    > l'installazione di default da un casino di
    > tempo!"
    > cit.

    Solamente due utenti.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Forse l'unico Sistema Operativo che è rimasto
    > > inviolato per parecchio tempo è stato
    > OpenBSD:
    >
    > > "Solamente due buchi di sicurezza remoti con
    > > l'installazione di default da un casino di
    > > tempo!"
    > > cit.
    >
    > Solamente due utenti.

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: for teh lulz
    > Sasser, Blaster e Nimda nessuno se li ricorda?
    >
    > Forse l'unico Sistema Operativo che è rimasto
    > inviolato per parecchio tempo è stato OpenBSD:
    > "Solamente due buchi di sicurezza remoti con
    > l'installazione di default da un casino di
    > tempo!"
    > cit.

    resta da vedere cosa ci puoi fare con l'installazione di default.
    non+autenticato
  • anche il mio OS che non esiste è sicurissimo lo usa solo nessuno.
    non+autenticato
  • se non conoscete una cosa, non è detto che non venga utilizzata: http://www.informit.com/articles/article.aspx?p=36...

    OpenBSD viene usato particolarmente su dispositivi di rete (Firewall, IDS, Server Web,...)

    Per l'utilizzo casalingo è più indicato Free/PC-BSD
    non+autenticato
  • ... dovevano essere sicuri ?!!A bocca aperta

    Nulla è sicuro e su questo non ci piove, ma certi lo sono molto meno di altri !
    non+autenticato
  • Almeno non è un complotto della microsoft per farci abbandonare xp, rilasciando di proposito vulnerabilità per cui non sono disponibili aggiornamenti.
    Questo dimostra che xp, nonostante venga denigrato come obsoleto ed insicuro ha ancora dei lati positivi, anche per un altro motivo:

    dopo aver invaso un sistema bisogna anche rendere permanente l'infezione o non serve a molto averlo fatto.
    Applicazioni come autoruns possono controllare tutto ciò che parte all'avvio. Un occhio esperto trova tutto Ficoso
    Il problema è che windows 7 o 8 hanno una quantità tale di programmi e servizi in avvio automatico che distinguere trojan e virus diventa difficile. Con xp sono una manciata e si finisce in un minuto Sorride
    non+autenticato
  • - Scritto da: Undertaker
    > Almeno non è un complotto della microsoft per
    > farci abbandonare xp, rilasciando di proposito
    > vulnerabilità per cui non sono disponibili
    > aggiornamenti.
    Magari/probabilmente la vulnerabilità c'è pure in XP, ma essendo fuori supporto non lo considerano neanche più...
    non+autenticato
  • no xp non è vulnerabile ma la cosa è più complessa di come viene presentata


        An exposed dangerous method vulnerability exists in the OLE package manager in Microsoft Windows and Server
            Impacting all versions of the Windows operating system from Vista SP2 to Windows 8.1
            Impacting Windows Server versions 2008 and 2012
        When exploited, the vulnerability allows an attacker to remotely execute arbitrary code
        The vulnerability exists because Windows allows the OLE packager (packager .dll) to download and execute INF files. In the case of the observed exploit, specifically when handling Microsoft PowerPoint files, the packagers allows a Package OLE object to reference arbitrary external files, such as INF files, from untrusted sources.
        This will cause the referenced files to be downloaded in the case of INF files, to be executed with specific commands
        An attacker can exploit this vulnerability to execute arbitrary code but will need a specifically crafted file and use social engineering methods (observed in this campaign) to convince a user to open it
    non+autenticato
  • - Scritto da: eheheh
    >     An attacker can exploit this vulnerability to
    > execute arbitrary code but will need a
    > specifically crafted file and use social
    > engineering methods (observed in this campaign)
    > to convince a user to open
    > it

    praticamente è l'utente che deve espressamente decidere di scaricare e aprire quel file, quindi tanto rumore per nulla...
    non+autenticato
  • - Scritto da: divoletta
    > - Scritto da: eheheh
    > >     An attacker can exploit this vulnerability
    > to
    > > execute arbitrary code but will need a
    > > specifically crafted file and use social
    > > engineering methods (observed in this campaign)
    > > to convince a user to open
    > > it
    >
    > praticamente è l'utente che deve espressamente
    > decidere di scaricare e aprire quel file, quindi
    > tanto rumore per
    > nulla...

    Il file si chiama jennifer_lawrence_nuda.exe, quindi le possibilita' che venga scaricato e doppiocliccato dall'utente sono effettivamente pari a zero, e anche se per sbaglio qualcuno arrivasse a doppiocliccarci sopra, ci pensa l'antivirus a dire "Attenzione, il file puo' contenere codice malevolo..."

    25 macchine infettate cosi' solo nell'azienda dove lavoro.

    Tanto rumore per nulla.
  • - Scritto da: panda rossa
    > - Scritto da: divoletta
    > > - Scritto da: eheheh
    > > >     An attacker can exploit this
    > vulnerability
    > > to
    > > > execute arbitrary code but will need a
    > > > specifically crafted file and use social
    > > > engineering methods (observed in this
    > campaign)
    > > > to convince a user to open
    > > > it
    > >
    > > praticamente è l'utente che deve
    > espressamente
    > > decidere di scaricare e aprire quel file,
    > quindi
    > > tanto rumore per
    > > nulla...
    >
    > Il file si chiama jennifer_lawrence_nuda.exe,
    > quindi le possibilita' che venga scaricato e
    > doppiocliccato dall'utente sono effettivamente
    > pari a zero, e anche se per sbaglio qualcuno
    > arrivasse a doppiocliccarci sopra, ci pensa
    > l'antivirus a dire "Attenzione, il file puo'
    > contenere codice
    > malevolo..."
    >
    > 25 macchine infettate cosi' solo nell'azienda
    > dove
    > lavoro.
    >
    > Tanto rumore per nulla.
    Questo è l'utente stupido, si può infettare così come in altri modiA bocca aperta e anche con gli OS UNIX (per altre cose).
    Molto peggio era il bug di OpenSSH :asd:
    non+autenticato
  • Ma non dovevano scappare tutti da xp ... chi rimaneva con xp rischiava l' apocalisse ... e poi ... e' l'unico che non e' vulnerabile ?
    non+autenticato
  • - Scritto da: lorenzo
    > Ma non dovevano scappare tutti da xp ... chi
    > rimaneva con xp rischiava l' apocalisse ... e poi
    > ... e' l'unico che non e' vulnerabile
    > ?

    Io non sono scappato, e non sono incocciato in alcuna apocalisse.

    Anzi XP (sp3 pro), di cui ho immmagini e clone bootabili su HDD separati, resta il mio sistema preferito, per lo meno in ambito M$, malgrado la presenza di sistemi più recenti in dual boot ed in altri computers, tutti perà affetti da quel pachiderma spione di WinUpdate.
    non+autenticato
  • - Scritto da: Nauseato
    > Io non sono scappato, e non sono incocciato in
    > alcuna apocalisse.

    Qualsiasi OS win in mano all'utonto è quasi sempre un disastro annunciato (in stile 2012 di Emmerich) e questo grazie a tutta una serie di automatismi settati di default a 'membro di segugio' sin dalla primissima installazione e che rendono semplice la vita all'utilizzatore ma anche allo script kiddie di turno.

    - Scritto da: Nauseato
    > Anzi XP (sp3 pro), di cui ho immmagini e clone
    > bootabili su HDD separati, resta il mio sistema
    > preferito, per lo meno in ambito M$, malgrado la
    > presenza di sistemi più recenti in dual boot ed
    > in altri computers, tutti perà affetti da quel
    > pachiderma spione di WinUpdate.

    Riguardo XP direi che (anche se oramai da diversi mesi è stato privato del supporto ufficiale di mamma Redmond) se settato ed amministrato correttamente è più che sicuro e la prova - almeno per quel che mi riguarda - è che sto continuando ad usarlo senza nessun problema: virus non ne prendevo prima esattamente come non ne prendo adesso.

    La ricetta di base (che può essere cucinata anche dall'utonto e che è valida per tutti i sistemi win-based) è semplice: non usare Internet Exploder, Outlook Express, la Suite di Office, Windows Media Player, Adobe Reader (per i PDF meglio Sumatra PDF portable Ed. oppure FoxItReader portable Ed.) e ovviamente disabilitare Assistenza remota + WinUpdate e Segnalazione errori.

    Per chi invece ci capisce un poco di più suggerirei di ridurre i servizi e le voci in autorun al minimo indispensabile, disabilitare le condivisioni amministrative nascoste, gestire adeguatamente i permessi di accesso a drive e cartelle, disabilitare UPNP, Netbios su TCP/IP, RPC Locator ma soprattutto dotarsi un Firewall/HIPS di buona fattura, di un programma per la virtualizzazione del sistema, di un anti-keylogger e di un software per la creazione di immagini di ripristino, usare Tor Browser e TrueCrypt 7.1a; di contro non occorre nessun antivirus residente: è sufficiente un prodotto on-demand (tipo Emsisoft Emergency Kit ma anche i Live CD di Avira/Kaspersky e all'occorrenza VirusTotal o AV multi-engine similari)...AV on-demand da utilizzarsi una volta alla settimana oppure in caso di anomalie; e per finire suggerirei pochi altri attrezzi del mestiere - dal mio punto di vista fondamentali - per l'analisi del sistema, ad esempio: HijackThis, RootRepeal, Gmer, TDSSKiller, LSPFix.

    Java va installato solo se ci sono programmi che lo richiedono espressamente e non va attivata la funzionalità browser ma se proprio è necessario i parametri di utilizzo vanno settati con criterio dal pannello di controllo. Java inoltre dovrebbe essere lanciato sandboxato ed i permessi di connessione internet/intranet bloccati globalmente e poi settati uno ad uno tramite whitelist. A proposito: l'ultima (e definitiva) versione compatibile al 100% con XP è Java 7 Update 71.

    Flash va invece settato in maniera adeguata dal pannello e tenuto 'dormiente' tramite questo add-on di Firefox:
    https://addons.mozilla.org/it/firefox/addon/flashd...
    ed attivato a manina solo quando necessario e, appena possibile, nuovamente disattivato. Consiglio anche di lanciare Firefox in un'area virtualizzata: in questo modo sia plugin-container.exe che plugin-hang-ui.exe verranno a loro volta virtualizzati e di conseguenza anche la sessione di Flash.

    Già con questi pochi accorgimenti base si rende XP discretamente sicuro Sorride ma soprattutto si può continuare ad usare un OS parco di risorse e molto più malleabile e meno spione dei suoi successori...
  • A proposito di XP, una domanda: ma dato che il supporto non c'è più, significa anche che non si può più attivare una nuova installazione (esempio, formatto il disco e voglio reinstallarci sopra XP)?
    Oppure quello si può ancora fare (solo che poi non si possono più scaricare le varie patch/service pack, quindi te lo devi tenere col modello base)?
    non+autenticato
  • - Scritto da: Leonida
    > A proposito di XP, una domanda: ma dato che il
    > supporto non c'è più, significa anche che non si
    > può più attivare una nuova installazione
    > (esempio, formatto il disco e voglio
    > reinstallarci sopra
    > XP)?

    recupera una versione 'corporate': non ha bisogno di attivazione.
    Poi fatti anche una macchina virtuale con lo stesso in modo che quando l'hardware diverrà incompatibile potrai continuare ad usarlo (se vorrai)
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)