| Autore |
 Discussione n. 4836  |
|
|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24849 Messaggi |
 Inserito il - 04/01/2006 : 12:37:51
|
Falla WMF, il rischio aumenta: come rimediare__
by Paolo Attivissimo
La vulnerabilità che consente di attaccare un computer Windows
semplicemente mandandogli un'immagine appositamente confezionata nel
formato WMF oppure inducendo l'utente a visitare un sito contenente
una di queste immagini sta dilagando: sono sempre più numerosi i siti-
trappola che la sfruttano, c'è una versione che viaggia via e-mail,
una versione che si diffonde tramite MSN Messenger e c'è persino un
kit che consente a qualsiasi dilettante di confezionare attacchi
basati su questa falla di Windows. I link a informazioni su queste
versioni e sul kit sono nella versione Web di questo articolo:
http://attivissimo.blogspot.com/2006/01/falla-wmf-il-rischio-aumenta-
come.html
Link breve: http://tinyurl.com/9kq75
E' praticamente impossibile filtrare questo tipo di attacco bloccando
le immagini in formato WMF al firewall aziendale o con un antivirus,
perché il codice dell'attacco è dissimulabile in mille modi
differenti (rendendo impossibile il riconoscimento tradizionale degli
antivirus) e la trappola funziona anche se l'estensione data
all'immagine non è WMF: potreste ricevere un'immagine di nome "buon
anno.jpg" e pensare che sia sicura, mentre in realtà è in formato
WMF, e Windows la aprirebbe e la eseguirebbe. Quindi è inutile
pensare "non apro i file WMF": potreste aprirli senza saperlo.
In pratica, qualsiasi immagine è a rischio, e questo significa che
per un utente Windows, qualsiasi immagine allegata e qualsiasi sito
Web contenente immagini sono a rischio. Anche i siti "fidati" possono
infatti contenere immagini pubblicate da aggressori. Per esempio, una
pagina di un blog, di un forum o di Flickr, o un'inserzione su eBay ,
in pratica qualsiasi sito nel quale chiunque può pubblicare
un'immagine, potrebbe includere un'immagine WMF ostile: e in tal caso
basta visitarla con Windows per infettarsi.
Microsoft dice che non rilascerà una patch di correzione prima del 9
gennaio:
http://isc.sans.org/diary.php?rss&storyid=996
Chiunque abbia un computer Windows, in sostanza, per cinque giorni
non dovrebbe affacciarlo a Internet.
Anche la soluzione provvisoria, descritta in un articolo precedente,
è efficace soltanto in parte: alcuni programmi, come Lotus Notes,
restano vulnerabili anche dopo aver disattivato il componente di
Windows fallato che consente l'attacco con immagini WMF.
La situazione è ritenuta talmente grave che organizzazioni autorevoli
come il SANS Institute e F-Secure hanno preso la decisione senza
precedenti di consigliare agli utenti di installare una patch di
Windows non ufficiale oltre a disattivare il componente di Windows
fallato. La patch è stata preparata da Ilfak Guilfanov e altri, ed è
stata verificata dal SANS Institute, che la mette a disposizione qui:
http://isc.sans.org/diary.php?storyid=1010
La patch di Guilfanov è reversibile e potrà quindi essere
disinstallata quando Microsoft pubblicherà la correzione ufficiale.
Questa falla WMF è, secondo F-Secure, la vulnerabilità più estesa mai
verificatasi. Ne sono interessati tutti i computer Windows, sin dalla
versione 3.0, con o senza aggiornamenti di sicurezza: centinaia di
milioni di computer.
La cosa ironica è che la falla non è dovuta a un errore di
programmazione di Microsoft, ma a una scelta tecnica ben precisa e
intenzionale dell'azienda di zio Bill: quando introdusse il formato
WMF, negli anni Ottanta, Microsoft ritenne necessario consentire a
un'immagine di includere codice eseguibile, in modo da poterne
interrompere la stampa durante lo spooling (l'invio alla coda di
stampa). A nessuno, in casa Microsoft, venne in mente che un
aggressore avrebbe potuto sfruttare questa "funzione" per causare danni.
Questo è quello che i critici di Windows intendono quando parlano di
un sistema operativo progettato male e senza considerare seriamente
la sicurezza. La falla è rimasta in Windows per una quindicina
d'anni, nonostante tutte le strombazzate iniziative di "Trustworthy
Computing" ("Informatica degna di fiducia"), e non è stata Microsoft
a scoprirla.
Riassumendo, ecco come contenere il rischio:
* Non usate Internet Explorer, ma sostituitelo con Firefox o Opera,
che vi avvisano se aprite un file WMF.
* Non usate programmi di posta che visualizzano automaticamente le
immagini.
* Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei
comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e
riavviate Windows.
* Disattivate Google Desktop, se lo usate.
* Usate la patch di sicurezza non ufficiale.
* Installate la patch Microsoft appena viene resa disponibile.
Vi prego, non sommergetemi di richieste di assistenza: voi siete
tanti, e io sono uno solo. Ho già scritto qui tutto quello che so.
Chiedete ad amici e colleghi, interpellate il responsabile aziendale
della sicurezza, rivolgetevi a un negozio d'informatica che offra
assistenza tecnica, e consultate Microsoft e la casa produttrice del
vostro computer, visto che l'assistenza tecnica è inclusa nel prezzo
di acquisto di Windows.
Se vi state chiedendo che cosa sto facendo io per evitare le
infezioni prodotte da questa falla, la risposta è semplice. Uso un
Mac e il mio sito gira su una macchina Linux.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2005 by Paolo Attivissimo (www.attivissimo.net).
|
|
|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24849 Messaggi |
Inserito il - 05/01/2006 : 12:25:13
|
Falla WMF, lo spiegone di Microsoft e le immagini di siti
infetti; Wincrash
by Paolo Attivissimo
Microsoft ha pubblicato una pagina in italiano di spiegazione della
falla WMF già descritta in altri miei articoli:
http://www.microsoft.com/italy/technet/security/advisory/912840.mspx
La prima parte è un esercizio di arrampicamento sugli specchi per
cercare di far credere che la falla non sia poi così grave (poi
diventa più interessante):
"un utente malintenzionato che sfrutti questa vulnerabilità non
ha alcun modo per obbligare gli utenti a visitare un sito Web
dannoso. L'utente malintenzionato dovrebbe indurre le vittime a
visitare il sito, in genere persuadendole a fare clic su un
collegamento che le indirizzi al sito Web di origine dell'attacco."
Come se questo fosse difficile... In pratica, siccome non c'è modo di
distinguere un link malintenzionato da uno onesto (perché chiunque
può pubblicare, anche su un sito onesto come eBay o Flickr o un blog,
un link che porta a un "sito Web dannoso"), questo paragrafo
significa ammettere che non bisogna cliccare su nessun link, in
assoluto, in nessuna pagina Web. Che bello. Tanto vale smettere di
usare Internet. E' come dire "certo, la nostra automobile s'incendia
se la accendi e la usi normalmente, ma basta non accenderla e non si
corre alcun pericolo... non è un problema grave".
Giusto per dare un'idea di quanto sia difficile distinguere un sito
ostile da uno onesto, date un'occhiata a questa serie di schermate di
siti infetti pubblicata da ZdNet:
http://ct.zdnet.com/clicks?c=1090530-7131198&brand=zdnet&ds=5&fs=0
Microsoft minimizza ulteriormente dicendo che
In un attacco basato sulla posta elettronica, i clienti
dovrebbero essere persuasi a selezionare un collegamento all'interno
di un messaggio e-mail dannoso o ad aprire un allegato in grado di
sfruttare tale vulnerabilità.
Anche questo, come dimostrano i tantissimi attacchi di phishing, non
è particolarmente difficile, e signica che non si deve più cliccare
su nessun link presente in un e-mail (anche in quelli provenienti da
persone fidate, perché l'indirizzo del mittente potrebbe essere stato
falsificato) e non bisogna aprire nessun allegato. Non poter fare
queste due cose rende praticamente inutile la posta, ma a parte
questo, va tutto bene, madama la marchesa.
Finito il pistolotto, zio Bill dice finalmente qualcosa di utile:
Sia nel caso di attacchi basati sulla posta elettronica che in
quelli basati sul Web, il codice verrebbe eseguito nel contesto di
protezione dell'utente connesso. Pertanto, gli utenti con account
configurati in modo da disporre solo di diritti limitati sono esposti
all'attacco in misura inferiore rispetto a quelli che operano con
privilegi di amministrazione.
Questo è effettivamente un buon consiglio. Bisognerebbe fare quello
che fanno gli utenti Mac e Linux, ossia creare sul proprio computer
due utenti: uno privilegiato e onnipotente (l'amministratore del
sistema), da usare esclusivamente per la manutenzione e l'intervento
tecnico; e uno con privilegi minimi, da usare per l'attività normale.
In questo modo, se si viene attaccati, il danno è limitato ai dati
dell'utente non privilegiato e non intacca il sistema operativo.
Il problema è che molti programmi per Windows non funzionano
correttamente se usati da un utente non privilegiato, grazie al
diffuso malcostume (diffuso grazie al modo in cui Microsoft
preinstalla Windows) di usare Windows con privilegi massimi sempre e
comunque, per cui molte società di software non si prendono la briga
di confezionare correttamente i propri programmi.
Lo spiegone di Microsoft prosegue dando istruzioni in italiano su
come disattivare (e poi riattivare, quando sarà pronta la correzione
definitiva) il componente fallato e sulle conseguenze di questa
disattivazione.
Nelle domande più frequenti c'è inoltre un utile elenco di società
antivirali che offrono protezione contro questa falla. Aggiungo che
Future Time, che distribuisce in Italia il noto software antivirus
Nod32, ha preparato una patch non ufficiale
http://futuretime.itaweb.it/wmfpatch11.zip
Si tratta di un'alternativa a quella segnalata nel mio articolo
precedente:
http://attivissimo.blogspot.com/2006/01/falla-wmf-il-rischio-aumenta-
come.html
Infine, una nota tecnica poco confortante: secondo Microsoft,
l'attivazione della funzione DEP, consigliata da molti siti di
sicurezza, funziona soltanto se attivata a livello hardware:
La funzionalità Protezione esecuzione programmi basata sul
software non riduce la vulnerabilità mentre, se applicata a livello
di hardware, potrebbe avere esito positivo quando è abilitata.
Rivolgersi al produttore dell'hardware per ottenere ulteriori
informazioni su come abilitare questa funzionalità e per sapere se è
in grado di ridurre la possibilità di attacchi.
La patch ufficiale è attesa per il 10 gennaio. Sarà comunque mia
premura avvisarvi subito quando è pronta.
__Wincrash bello grosso a Como Brogeda__
Ieri sono passato dalla dogana fra la Svizzera e l'Italia a Como.
Uscendo dalla Svizzera vedo che il grande tabellone video luminoso,
che di solito presenta pubblicità, ha qualche problemino sul lato
extracomunitario e sta facendo quindi un altro genere di pubblicità
(quella negativa) alla stabilità di Windows: se vi interessa, nel mio
blog trovate la foto scattata al volo col telefonino (cliccate sulla
foto se volete ingrandirla).
http://attivissimo.blogspot.com/2006/01/wincrash-la-dogana-di-como-
brogeda.html
Oltre dodici ore dopo, verso l'una del mattino, era ancora in queste
condizioni. Complimenti.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2005 by Paolo Attivissimo (www.attivissimo.net).
|
 |
|
|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24849 Messaggi |
Inserito il - 06/01/2006 : 12:18:18
|
Patch Microsoft pronta; apparizione mistica; OpenOffice.org portatile
by Paolo Attivissimo
Pronta in anticipo la patch Microsoft per la falla WMF
Microsoft ha rilasciato prima della data annunciata la patch che
corregge la falla WMF discussa negli articoli precedenti. La patch è
disponibile subito anche in versione italiana.
Gli utenti delle versioni recenti di Windows non devono fare altro
che usare Windows Update per scaricare e installare automaticamente
l'aggiornamento. Chi preferisce scaricarlo manualmente e leggersi la
documentazione, può farlo nell'apposita pagina di Microsoft (in
inglese):
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
Se il link qui sopra è spezzato, andate alla versione blog di questo
articolo:
http://attivissimo.blogspot.com/2006/01/patchwmf_05.html
Niente patch, tuttavia, per chi è rimasto a Windows 98, 98 SE e
Windows ME. Microsoft dice, nella pagina citata sopra, che per queste
versioni rilascia soltanto aggiornamenti riguardanti problemi
"critici" di sicurezza, e a suo avviso "la vulnerabilità non è
critica perché non è stato identificato un vettore di attacco
sfruttabile che classificherebbe come 'Critica' la severità per
queste versioni".
Niente patch anche per Windows NT e per le versioni pre-4 di Windows
2000. Agli utenti di questi sistemi, zio Bill consiglia di comperare
una versione di Windows più aggiornata.
Inoltre secondo un articolo di ZDNet, praticamente tutti gli
antivirus sono ora in grado di riconoscere gran parte degli attacchi
che sfruttano la falla WMF:
http://news.zdnet.com/2100-1009_22-6018696.html?tag=nl.e589
Vari antivirus sono stati messi alla prova da parte di AV-Test:
BitDefender, Computer Associates eTrust-VET, F-Secure, Kaspersky,
McAfee, Eset Nod32, Microsoft OneCare (sperimentale) e Symantec hanno
bloccato tutti i file ostili usati dal test, ben 206, basati sulla
falla WMF.
Avast, Clam AntiVirus e Aladdin eSafe ne hanno lasciato passare uno.
E' andata molto peggio con altri antivirus, come Fortinet, AntiVir,
AVG, Dr Web e Trend Micro, che non hanno riconosciuto dieci o più
file infetti. I dati completi del test sono pubblicati nell'articolo
di ZDNet.
__Apparizione mistica a Digitalk.tv__
Il 13/1/2006 alle 23, e in replica il giorno successivo alle 8.25,
sarò uno degli ospiti di Digitalk.tv, programma in onda sul
Technology Channel E-TV (canale 817 di Sky), condotto da Marco
Camisani Calzolari. Si parlerà di bufale, truffe in Rete e dintorni;
in studio, oltre al sottoscritto, ci saranno Alessandro Piccioni,
caporedattore di Leggendemetropolitane.net; Pier Luigi Tolardo, di
Zeus News; e Giancarlo Livraghi:
http://digitalk.tv/
La cosa interessante di Digitalk è che il programma è liberamente
scaricabile, in tutte le sue puntate, dagli archivi di Digitalk.tv,
in vari formati e anche tramite il feed RSS per iPod o più in
generale per iTunes.
Sarebbe bello se anche tutti gli altri programmi di questo genere
capissero che se vogliono essere visti di più, se vogliono davvero
fare cultura, e se vogliono che la gente ne parli, trasmetterli una
sola volta per non mostrarli mai più e vietarne la distribuzione
online è semplicemente stupido.
__OpenOffice.org disponibile in versione portatile su chiave USB__
Il sito Portableapps.com ha pubblicato una versione della suite
OpenOffice.org che si può spostare da un computer a un altro
tenendola comodamente su una chiave USB:
http://portableapps.com/apps/office/suites/portable_openoffice
Portable Openoffice.org, come il programma originale OpenOffice.org,
è scaricabile liberamente e include un elaboratore di testi, uno
spreadsheet, un gestore di presentazioni, un programma di disegno e
un database. La versione Portable al momento esiste soltanto per
Windows e in inglese. Pesa 74 megabyte.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2006 by Paolo Attivissimo (www.attivissimo.net).
|
|
|
|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24849 Messaggi |
Inserito il - 09/01/2006 : 12:12:44
|
Come funziona la patch WMF; promemoria post-patch
by Paolo Attivissimo
La versione blog di questo articolo è presso http://
attivissimo.blogspot.com/2006/01/postwmf.html
Securiteam pubblica una breve intervista tecnica a Ilfak Guilfanov,
l'autore della patch non ufficiale che risolve la falla WMF:
http://blogs.securiteam.com/index.php/archives/176
Ecco come Ilfak spiega la falla e la patch (la traduzione e la
sintesi sono opera mia; se sapete l'inglese, vi consiglio di leggervi
l'intero originale).
"Un file WMF appositamente confezionato può prendere il
controllo completo del vostro computer. In effetti un file WMF non è
un file grafico normale, somiglia più a un programma che a un file di
dati, perché è composto da una sequenza di comandi per Windows. La
maggior parte dei comandi è del tipo "disegna una riga blu", "riempi
di rosso un rettangolo", e così via. C'è un codice di comando molto
potente nei file WMF, il cui significato è "se va storto qualcosa,
fai quanto segue:". In questo modo, il creatore del file WMF può far
fare al vostro computer quello che gli pare usando questo codice di
comando e poi causando intenzionalmente una condizione d'errore."
A proposito della patch di Ilfak:
"La patch non fa altro che rimuovere questo comando potente. Non
fa nient'altro: modifica al volo l'immagine in memoria del sistema e
non altera nessun file sul disco. Modifica l'immagine della DLL di
sistema "gdi32.dll", perché è lì che si trova il codice vulnerabile."
Sempre Securiteam ha un'analisi tecnica di come funziona la patch
Microsoft:
http://blogs.securiteam.com/index.php/archives/184
"Fa esattamente quello che faceva la patch di Ilfak Guilfanov,
con la differenza che lui l'ha creata in poche ore (più un po' di
test). Microsoft ha disabilitato SETABORT: la stessa cosa che ha
fatto Ilfak, riarrangiandola un po'. Confrontate pure."
L'articolo mostra bit per bit cosa viene cambiato dalla patch
Microsoft e cosa viene cambiato dalla patch di Ilfak. Certo,
Microsoft deve fare un controllo di qualità molto severo, per cui è
comprensibile un certo ritardo. Però Securiteam nota che la nuova
gdi32.dll, dopo l'installazione della patch, non è datata ieri
(giorno di rilascio della patch), ma 28 dicembre 2005: il giorno dopo
l'annuncio della falla. Mistero.
Promemoria per chi ha disabilitato shimgvw.dll: ricordatevi di
riabilitarlo, altrimenti le anteprime in Esplora Risorse e il
visualizzatore immagini e fax non funzioneranno, neppure se
installate la patch Microsoft. Il comando di riabilitazione è già
stato descritto in altri articoli, ma lo ripeto per scrupolo: al
prompt dei comandi di Windows, digitate REGSVR32 SHIMGVW.DLL.
Per finire, una chicca: la falla WMF esiste tuttora ed è senza
patch... per gli utenti Linux. Mi riferisco a quelli che usano Wine,
Cedega e Crossover Office per far girare sotto Linux i programmi per
Windows: secondo un commento su ZDNet, Wine ha implementato l'intera
API per WMF senza rendersi conto che conteneva un problema di
sicurezza. Wine, insomma, è così fedele nel replicare il
funzionamento di Windows che ne replica persino le falle:
http://blogs.zdnet.com/Ou/index.php?p=146
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2006 by Paolo Attivissimo (www.attivissimo.net).
|
|
|
| |
Discussione n. 4836 |
|
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Falla WMF, il rischio aumenta: come rimediare__
