Autore |
Discussione n. 4836  |
|
admin
Webmaster
    

Regione: Italy
Prov.: Pisa
Città: Capannoli
24850 Messaggi |
Inserito il - 04/01/2006 : 12:37:51
|
Falla WMF, il rischio aumenta: come rimediare__
by Paolo Attivissimo
La vulnerabilità che consente di attaccare un computer Windows semplicemente mandandogli un'immagine appositamente confezionata nel formato WMF oppure inducendo l'utente a visitare un sito contenente una di queste immagini sta dilagando: sono sempre più numerosi i siti- trappola che la sfruttano, c'è una versione che viaggia via e-mail, una versione che si diffonde tramite MSN Messenger e c'è persino un kit che consente a qualsiasi dilettante di confezionare attacchi basati su questa falla di Windows. I link a informazioni su queste versioni e sul kit sono nella versione Web di questo articolo:
http://attivissimo.blogspot.com/2006/01/falla-wmf-il-rischio-aumenta- come.html Link breve: http://tinyurl.com/9kq75
E' praticamente impossibile filtrare questo tipo di attacco bloccando le immagini in formato WMF al firewall aziendale o con un antivirus, perché il codice dell'attacco è dissimulabile in mille modi differenti (rendendo impossibile il riconoscimento tradizionale degli antivirus) e la trappola funziona anche se l'estensione data all'immagine non è WMF: potreste ricevere un'immagine di nome "buon anno.jpg" e pensare che sia sicura, mentre in realtà è in formato WMF, e Windows la aprirebbe e la eseguirebbe. Quindi è inutile pensare "non apro i file WMF": potreste aprirli senza saperlo.
In pratica, qualsiasi immagine è a rischio, e questo significa che per un utente Windows, qualsiasi immagine allegata e qualsiasi sito Web contenente immagini sono a rischio. Anche i siti "fidati" possono infatti contenere immagini pubblicate da aggressori. Per esempio, una pagina di un blog, di un forum o di Flickr, o un'inserzione su eBay , in pratica qualsiasi sito nel quale chiunque può pubblicare un'immagine, potrebbe includere un'immagine WMF ostile: e in tal caso basta visitarla con Windows per infettarsi.
Microsoft dice che non rilascerà una patch di correzione prima del 9 gennaio:
http://isc.sans.org/diary.php?rss&storyid=996
Chiunque abbia un computer Windows, in sostanza, per cinque giorni non dovrebbe affacciarlo a Internet.
Anche la soluzione provvisoria, descritta in un articolo precedente, è efficace soltanto in parte: alcuni programmi, come Lotus Notes, restano vulnerabili anche dopo aver disattivato il componente di Windows fallato che consente l'attacco con immagini WMF.
La situazione è ritenuta talmente grave che organizzazioni autorevoli come il SANS Institute e F-Secure hanno preso la decisione senza precedenti di consigliare agli utenti di installare una patch di Windows non ufficiale oltre a disattivare il componente di Windows fallato. La patch è stata preparata da Ilfak Guilfanov e altri, ed è stata verificata dal SANS Institute, che la mette a disposizione qui:
http://isc.sans.org/diary.php?storyid=1010
La patch di Guilfanov è reversibile e potrà quindi essere disinstallata quando Microsoft pubblicherà la correzione ufficiale.
Questa falla WMF è, secondo F-Secure, la vulnerabilità più estesa mai verificatasi. Ne sono interessati tutti i computer Windows, sin dalla versione 3.0, con o senza aggiornamenti di sicurezza: centinaia di milioni di computer.
La cosa ironica è che la falla non è dovuta a un errore di programmazione di Microsoft, ma a una scelta tecnica ben precisa e intenzionale dell'azienda di zio Bill: quando introdusse il formato WMF, negli anni Ottanta, Microsoft ritenne necessario consentire a un'immagine di includere codice eseguibile, in modo da poterne interrompere la stampa durante lo spooling (l'invio alla coda di stampa). A nessuno, in casa Microsoft, venne in mente che un aggressore avrebbe potuto sfruttare questa "funzione" per causare danni.
Questo è quello che i critici di Windows intendono quando parlano di un sistema operativo progettato male e senza considerare seriamente la sicurezza. La falla è rimasta in Windows per una quindicina d'anni, nonostante tutte le strombazzate iniziative di "Trustworthy Computing" ("Informatica degna di fiducia"), e non è stata Microsoft a scoprirla.
Riassumendo, ecco come contenere il rischio:
* Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF. * Non usate programmi di posta che visualizzano automaticamente le immagini. * Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows. * Disattivate Google Desktop, se lo usate. * Usate la patch di sicurezza non ufficiale. * Installate la patch Microsoft appena viene resa disponibile.
Vi prego, non sommergetemi di richieste di assistenza: voi siete tanti, e io sono uno solo. Ho già scritto qui tutto quello che so. Chiedete ad amici e colleghi, interpellate il responsabile aziendale della sicurezza, rivolgetevi a un negozio d'informatica che offra assistenza tecnica, e consultate Microsoft e la casa produttrice del vostro computer, visto che l'assistenza tecnica è inclusa nel prezzo di acquisto di Windows.
Se vi state chiedendo che cosa sto facendo io per evitare le infezioni prodotte da questa falla, la risposta è semplice. Uso un Mac e il mio sito gira su una macchina Linux.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- (C) 2005 by Paolo Attivissimo (www.attivissimo.net).
|
|
admin
Webmaster
    

Regione: Italy
Prov.: Pisa
Città: Capannoli
24850 Messaggi |
Inserito il - 05/01/2006 : 12:25:13
|
Falla WMF, lo spiegone di Microsoft e le immagini di siti infetti; Wincrash
by Paolo Attivissimo
Microsoft ha pubblicato una pagina in italiano di spiegazione della falla WMF già descritta in altri miei articoli:
http://www.microsoft.com/italy/technet/security/advisory/912840.mspx
La prima parte è un esercizio di arrampicamento sugli specchi per cercare di far credere che la falla non sia poi così grave (poi diventa più interessante):
"un utente malintenzionato che sfrutti questa vulnerabilità non ha alcun modo per obbligare gli utenti a visitare un sito Web dannoso. L'utente malintenzionato dovrebbe indurre le vittime a visitare il sito, in genere persuadendole a fare clic su un collegamento che le indirizzi al sito Web di origine dell'attacco."
Come se questo fosse difficile... In pratica, siccome non c'è modo di distinguere un link malintenzionato da uno onesto (perché chiunque può pubblicare, anche su un sito onesto come eBay o Flickr o un blog, un link che porta a un "sito Web dannoso"), questo paragrafo significa ammettere che non bisogna cliccare su nessun link, in assoluto, in nessuna pagina Web. Che bello. Tanto vale smettere di usare Internet. E' come dire "certo, la nostra automobile s'incendia se la accendi e la usi normalmente, ma basta non accenderla e non si corre alcun pericolo... non è un problema grave".
Giusto per dare un'idea di quanto sia difficile distinguere un sito ostile da uno onesto, date un'occhiata a questa serie di schermate di siti infetti pubblicata da ZdNet:
http://ct.zdnet.com/clicks?c=1090530-7131198&brand=zdnet&ds=5&fs=0
Microsoft minimizza ulteriormente dicendo che
In un attacco basato sulla posta elettronica, i clienti dovrebbero essere persuasi a selezionare un collegamento all'interno di un messaggio e-mail dannoso o ad aprire un allegato in grado di sfruttare tale vulnerabilità.
Anche questo, come dimostrano i tantissimi attacchi di phishing, non è particolarmente difficile, e signica che non si deve più cliccare su nessun link presente in un e-mail (anche in quelli provenienti da persone fidate, perché l'indirizzo del mittente potrebbe essere stato falsificato) e non bisogna aprire nessun allegato. Non poter fare queste due cose rende praticamente inutile la posta, ma a parte questo, va tutto bene, madama la marchesa.
Finito il pistolotto, zio Bill dice finalmente qualcosa di utile:
Sia nel caso di attacchi basati sulla posta elettronica che in quelli basati sul Web, il codice verrebbe eseguito nel contesto di protezione dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
Questo è effettivamente un buon consiglio. Bisognerebbe fare quello che fanno gli utenti Mac e Linux, ossia creare sul proprio computer due utenti: uno privilegiato e onnipotente (l'amministratore del sistema), da usare esclusivamente per la manutenzione e l'intervento tecnico; e uno con privilegi minimi, da usare per l'attività normale. In questo modo, se si viene attaccati, il danno è limitato ai dati dell'utente non privilegiato e non intacca il sistema operativo.
Il problema è che molti programmi per Windows non funzionano correttamente se usati da un utente non privilegiato, grazie al diffuso malcostume (diffuso grazie al modo in cui Microsoft preinstalla Windows) di usare Windows con privilegi massimi sempre e comunque, per cui molte società di software non si prendono la briga di confezionare correttamente i propri programmi.
Lo spiegone di Microsoft prosegue dando istruzioni in italiano su come disattivare (e poi riattivare, quando sarà pronta la correzione definitiva) il componente fallato e sulle conseguenze di questa disattivazione.
Nelle domande più frequenti c'è inoltre un utile elenco di società antivirali che offrono protezione contro questa falla. Aggiungo che Future Time, che distribuisce in Italia il noto software antivirus Nod32, ha preparato una patch non ufficiale
http://futuretime.itaweb.it/wmfpatch11.zip
Si tratta di un'alternativa a quella segnalata nel mio articolo precedente:
http://attivissimo.blogspot.com/2006/01/falla-wmf-il-rischio-aumenta- come.html
Infine, una nota tecnica poco confortante: secondo Microsoft, l'attivazione della funzione DEP, consigliata da molti siti di sicurezza, funziona soltanto se attivata a livello hardware:
La funzionalità Protezione esecuzione programmi basata sul software non riduce la vulnerabilità mentre, se applicata a livello di hardware, potrebbe avere esito positivo quando è abilitata. Rivolgersi al produttore dell'hardware per ottenere ulteriori informazioni su come abilitare questa funzionalità e per sapere se è in grado di ridurre la possibilità di attacchi.
La patch ufficiale è attesa per il 10 gennaio. Sarà comunque mia premura avvisarvi subito quando è pronta.
__Wincrash bello grosso a Como Brogeda__
Ieri sono passato dalla dogana fra la Svizzera e l'Italia a Como. Uscendo dalla Svizzera vedo che il grande tabellone video luminoso, che di solito presenta pubblicità, ha qualche problemino sul lato extracomunitario e sta facendo quindi un altro genere di pubblicità (quella negativa) alla stabilità di Windows: se vi interessa, nel mio blog trovate la foto scattata al volo col telefonino (cliccate sulla foto se volete ingrandirla).
http://attivissimo.blogspot.com/2006/01/wincrash-la-dogana-di-como- brogeda.html
Oltre dodici ore dopo, verso l'una del mattino, era ancora in queste condizioni. Complimenti.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- (C) 2005 by Paolo Attivissimo (www.attivissimo.net).
|
 |
|
admin
Webmaster
    

Regione: Italy
Prov.: Pisa
Città: Capannoli
24850 Messaggi |
Inserito il - 06/01/2006 : 12:18:18
|
Patch Microsoft pronta; apparizione mistica; OpenOffice.org portatile
by Paolo Attivissimo
Pronta in anticipo la patch Microsoft per la falla WMF
Microsoft ha rilasciato prima della data annunciata la patch che corregge la falla WMF discussa negli articoli precedenti. La patch è disponibile subito anche in versione italiana.
Gli utenti delle versioni recenti di Windows non devono fare altro che usare Windows Update per scaricare e installare automaticamente l'aggiornamento. Chi preferisce scaricarlo manualmente e leggersi la documentazione, può farlo nell'apposita pagina di Microsoft (in inglese):
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
Se il link qui sopra è spezzato, andate alla versione blog di questo articolo:
http://attivissimo.blogspot.com/2006/01/patchwmf_05.html
Niente patch, tuttavia, per chi è rimasto a Windows 98, 98 SE e Windows ME. Microsoft dice, nella pagina citata sopra, che per queste versioni rilascia soltanto aggiornamenti riguardanti problemi "critici" di sicurezza, e a suo avviso "la vulnerabilità non è critica perché non è stato identificato un vettore di attacco sfruttabile che classificherebbe come 'Critica' la severità per queste versioni".
Niente patch anche per Windows NT e per le versioni pre-4 di Windows 2000. Agli utenti di questi sistemi, zio Bill consiglia di comperare una versione di Windows più aggiornata.
Inoltre secondo un articolo di ZDNet, praticamente tutti gli antivirus sono ora in grado di riconoscere gran parte degli attacchi che sfruttano la falla WMF:
http://news.zdnet.com/2100-1009_22-6018696.html?tag=nl.e589
Vari antivirus sono stati messi alla prova da parte di AV-Test: BitDefender, Computer Associates eTrust-VET, F-Secure, Kaspersky, McAfee, Eset Nod32, Microsoft OneCare (sperimentale) e Symantec hanno bloccato tutti i file ostili usati dal test, ben 206, basati sulla falla WMF.
Avast, Clam AntiVirus e Aladdin eSafe ne hanno lasciato passare uno. E' andata molto peggio con altri antivirus, come Fortinet, AntiVir, AVG, Dr Web e Trend Micro, che non hanno riconosciuto dieci o più file infetti. I dati completi del test sono pubblicati nell'articolo di ZDNet.
__Apparizione mistica a Digitalk.tv__
Il 13/1/2006 alle 23, e in replica il giorno successivo alle 8.25, sarò uno degli ospiti di Digitalk.tv, programma in onda sul Technology Channel E-TV (canale 817 di Sky), condotto da Marco Camisani Calzolari. Si parlerà di bufale, truffe in Rete e dintorni; in studio, oltre al sottoscritto, ci saranno Alessandro Piccioni, caporedattore di Leggendemetropolitane.net; Pier Luigi Tolardo, di Zeus News; e Giancarlo Livraghi:
http://digitalk.tv/
La cosa interessante di Digitalk è che il programma è liberamente scaricabile, in tutte le sue puntate, dagli archivi di Digitalk.tv, in vari formati e anche tramite il feed RSS per iPod o più in generale per iTunes.
Sarebbe bello se anche tutti gli altri programmi di questo genere capissero che se vogliono essere visti di più, se vogliono davvero fare cultura, e se vogliono che la gente ne parli, trasmetterli una sola volta per non mostrarli mai più e vietarne la distribuzione online è semplicemente stupido.
__OpenOffice.org disponibile in versione portatile su chiave USB__
Il sito Portableapps.com ha pubblicato una versione della suite OpenOffice.org che si può spostare da un computer a un altro tenendola comodamente su una chiave USB:
http://portableapps.com/apps/office/suites/portable_openoffice
Portable Openoffice.org, come il programma originale OpenOffice.org, è scaricabile liberamente e include un elaboratore di testi, uno spreadsheet, un gestore di presentazioni, un programma di disegno e un database. La versione Portable al momento esiste soltanto per Windows e in inglese. Pesa 74 megabyte.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- (C) 2006 by Paolo Attivissimo (www.attivissimo.net).
|
 |
|
admin
Webmaster
    

Regione: Italy
Prov.: Pisa
Città: Capannoli
24850 Messaggi |
Inserito il - 09/01/2006 : 12:12:44
|
Come funziona la patch WMF; promemoria post-patch
by Paolo Attivissimo
La versione blog di questo articolo è presso http:// attivissimo.blogspot.com/2006/01/postwmf.html
Securiteam pubblica una breve intervista tecnica a Ilfak Guilfanov, l'autore della patch non ufficiale che risolve la falla WMF:
http://blogs.securiteam.com/index.php/archives/176
Ecco come Ilfak spiega la falla e la patch (la traduzione e la sintesi sono opera mia; se sapete l'inglese, vi consiglio di leggervi l'intero originale).
"Un file WMF appositamente confezionato può prendere il controllo completo del vostro computer. In effetti un file WMF non è un file grafico normale, somiglia più a un programma che a un file di dati, perché è composto da una sequenza di comandi per Windows. La maggior parte dei comandi è del tipo "disegna una riga blu", "riempi di rosso un rettangolo", e così via. C'è un codice di comando molto potente nei file WMF, il cui significato è "se va storto qualcosa, fai quanto segue:". In questo modo, il creatore del file WMF può far fare al vostro computer quello che gli pare usando questo codice di comando e poi causando intenzionalmente una condizione d'errore."
A proposito della patch di Ilfak:
"La patch non fa altro che rimuovere questo comando potente. Non fa nient'altro: modifica al volo l'immagine in memoria del sistema e non altera nessun file sul disco. Modifica l'immagine della DLL di sistema "gdi32.dll", perché è lì che si trova il codice vulnerabile."
Sempre Securiteam ha un'analisi tecnica di come funziona la patch Microsoft:
http://blogs.securiteam.com/index.php/archives/184
"Fa esattamente quello che faceva la patch di Ilfak Guilfanov, con la differenza che lui l'ha creata in poche ore (più un po' di test). Microsoft ha disabilitato SETABORT: la stessa cosa che ha fatto Ilfak, riarrangiandola un po'. Confrontate pure."
L'articolo mostra bit per bit cosa viene cambiato dalla patch Microsoft e cosa viene cambiato dalla patch di Ilfak. Certo, Microsoft deve fare un controllo di qualità molto severo, per cui è comprensibile un certo ritardo. Però Securiteam nota che la nuova gdi32.dll, dopo l'installazione della patch, non è datata ieri (giorno di rilascio della patch), ma 28 dicembre 2005: il giorno dopo l'annuncio della falla. Mistero.
Promemoria per chi ha disabilitato shimgvw.dll: ricordatevi di riabilitarlo, altrimenti le anteprime in Esplora Risorse e il visualizzatore immagini e fax non funzioneranno, neppure se installate la patch Microsoft. Il comando di riabilitazione è già stato descritto in altri articoli, ma lo ripeto per scrupolo: al prompt dei comandi di Windows, digitate REGSVR32 SHIMGVW.DLL.
Per finire, una chicca: la falla WMF esiste tuttora ed è senza patch... per gli utenti Linux. Mi riferisco a quelli che usano Wine, Cedega e Crossover Office per far girare sotto Linux i programmi per Windows: secondo un commento su ZDNet, Wine ha implementato l'intera API per WMF senza rendersi conto che conteneva un problema di sicurezza. Wine, insomma, è così fedele nel replicare il funzionamento di Windows che ne replica persino le falle:
http://blogs.zdnet.com/Ou/index.php?p=146
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- (C) 2006 by Paolo Attivissimo (www.attivissimo.net).
|
 |
|
|
Discussione n. 4836  |
|
|
|