Windows sotto minaccia: spunta una grave “0 day”

Spunta su un sito cinese il codice relativo ad un exploit in grado di colpire una nuova vulnerabilità di Windows 7, Vista e XP

Una nuova grave situazione di difficoltà coinvolge il mondo Windows. La segnalazione proviene da Marco Giuliani, ricercatore Prevx, secondo il quale una nuova vulnerabilità “0 day” è stata scoperta nella giornata di ieri e segnalata su di un sito in lingua cinese. Trattasi di un problema di grande rilevanza al momento confinato però fortunatamente ad un livello di allarme sterile: l’exploit è pubblico, ma il codice non è stato ancora sfruttato da alcun malware e non si registrano pertanto attacchi di alcun tipo.

Per Microsoft sono queste le ore dell’urgenza poiché occorre capire quanto la segnalazione sia reale, quanto sia pericolosa e se richieda o meno un intervento risolutore immediato. Il bug è stato identificato a livello di win32k.sys, pertanto direttamente nel cuore del sistema operativo. Secondo le prime segnalazioni risulterebbero coinvolti dal problema tanto Windows 7 quanto Windows Vista e Windows XP, tanto nella versione a 32bit quanto nella versione a 64bit.

Spiega Marco Giuliani: «La funzione del kernel di Windows NtGdiEnableEUDC non effettua una giusta convalida dei parametri in ingresso, causando una corruzione della memoria nel kernel stesso e permettendo ad un attacker di eseguire il proprio codice nocivo con i massimi privilegi di sistema». L’attacco è pertanto in grado di conquistare pieni privilegi sulla macchina vulnerabile, agendo così pressoché indisturbato ed elevando fortemente il grado di pericolosità di un eventuale exploit in azione.

Prevx non ha diramato ulteriori dettagli, ma ha spiegato di essere in collaborazione con Microsoft per discutere il problema e giungere quanto prima ad una soluzione. Il prossimo patch day è previsto per il 14 dicembre, dunque v’è teoricamente il tempo necessario per indagare a fondo e partorire una patch che possa porre soluzione al problema. È presumibile inoltre ipotizzare il rilascio di un “fix it” che automatizzi l’esecuzione di un workaround temporaneo per ridurre la portata del pericolo in attesa di un aggiornamento correttivo.

Questo potrebbe potenzialmente diventare un incubo vista la natura del difetto. Ci aspettiamo di vedere questo exploit utilizzato attivamente dal malware molto presto, è un’opportunità sicuramente da non perdere per i produttori di malware

Fiber

il codice Exploit di arbitrary code execution sarebbe sfruttabile tramite quale software VETTORE ?

il browser web? il plug-in Flash Player ? la Java VM ?

il VETTORE??

e’ una falla sfruttabile tramite REMOTE code execution o LOCAL code execution ?

se non si specifica nulla come se non si specifica se e’ una vulnerabilita’ sfruttabile da REMOTO navigando il web e’ come parlare delle ali degli angeli ..ovvero far terrorismo informatico

ma da Prevx che deve vendere l’antimalware non mi meraviglio faccia Hype su queste notizie …quello che mi meraviglia e’ copia/incollare le comunicazioni senza spcecificare nulla …..come nell’incolla fatto da WebNews

http://www.webnews.it Giacomo Dotta

Francamente spiace che si parli di “incolla” quando la vicenda è stata discussa con chi ci sta indagando sopra e ci ha messo a disposizione spiegazioni e dettagli, per quanto possibile, in attesa che sia possibile dire di più in proposito. Per logica di servizio segnalo comunque il fatto che l’attacco può provenire da più vettori (non è questo l’aspetto fondamentale: l’exploit potrà assumere varie forme), ma soprattutto va rimarcato il fatto che, una volta giunto sul pc, un eventuale malintenzionato sarà in grado di assumere alti privilegi agendo in modo estremamente pericoloso.

E’ di prossima pubblicazione una FAQ contenente nuovi dettagli sul problema.

Ne approfittiamo per ringraziare Marco Giuliani e Prevx per l’assistenza fornita.

Fiber

se questo exploit avesse piu’ software vettore sarebbe una tagedia

non puo’ essere cosi’ .
o ha come vettore il browser web o Flash Player o Java se si tratta di Remote code execution

se fosse invece Local code execution come sicuramente sara’ allora l’allarmismo e’ solo Hype di Prevx

saluti
http://www.webnews.it Giacomo Dotta

Maggiori informazioni disponibili qui come preannunciato
http://www.prevx.com/blog/162/Windows-day-exploit-QA-session.html
Paguro

Falla gravissima che bypassa tutte le protezione di Win7:
http://www.ilsoftware.it/articoli.asp?id=6795
Paguro

Altra conferma sulla pericolosità della falla:

http://www.megalab.it/6714/falla-in-win32k-sys-consente-di-bypassare-uac
Clod

Houston abbiamo un problema…falla molto pericolosa!
hexaae

Ha ragione Fiber. Il vettore è fondamentale e se è possibile sfruttarla da remoto anche tramite un semplice sito WEB è importante da sapere. Se invece riguarda l’esecuzione di codice in locale (= ti scarichi il tuo bel crack da emule e lo esegui ingenuamente) è molto ridimensionabile il danno prevedibile su vasta scala.

Mi fanno comunque ridere gli appelli al “hanno scavalcato l’UAC”, “ecco! L’UAC non è sicuro”! Qui UAC non c’entra nulla: è un caso di EOP (esacalation of privileges), come ci sono e saranno sempre per tutti i sistemi operativi inclusi Linux e MacOSX.

La vera notizia invece che è da 3 anni almeno che non si era visto niente del genere, da quando Vista ha fortunatamente introdotto l’UAC in Windows e tentato di educare gli utenti al sano principio dei least prvileges che da solo (e un pizzico di cervello a non eseguire da amministratore ogni cosa) rende inefficace il 92% del malware circolante per Win.
hexaae

==News==
Come era prevedibile, la falla è sfruttabile solo da un malware che è già presente nei nostri sistemi,mentre è impossibile l’azione ex-novo da remoto.