Un exploit 0day minaccia tutte le versioni...

In questo forum vengono inseriti tutti i commenti inviati per ogni articolo pubblicato nelle pagine de IlSoftware.it

Moderatore: Staff forum IlSoftware.it

Admin
Senior Software
Senior Software
Messaggi: 6627
Iscritto il: 28 giu 2000 14:47

Un exploit 0day minaccia tutte le versioni...

Messaggioda Admin » 25 nov 2010 12:03

C'è un brutto spiffero in Windows. Lo affermano i tecnici di Prevx, società inglese da anni attiva nel campo della sicurezza informatica (recentemente acquisita da Webroot; ved., in proposito, questo nostro articolo). Da qualche ora un forum cinese ha funto da cassa di risonanza per la diffusione dei dettagli tecnici circa una nuova pericolosa vulnerabilità scoperta nel sistema operativo targato Microsoft. La falla è stata definita da Prevx particolarmente seria perché interessa il file win32k.sys al quale fa capo il kernel mode di Windows. In modalità kernel, lo ricordiamo, le applicazioni hanno piena libertà di accedere alla memoria, all'hardware ed a tutte le altre risorse disponibili sul sistema in uso.L'API NtGdiEnableEUDC definita nel file win32k. ( http://www.ilsoftware.it/articoli.asp?ID=6795 per consultare il testo completo.)

davidf
Ospite

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda davidf » 25 nov 2010 13:04

Fortunatamente non è exploitabile da remoto, è solo locale.

gnulinux866
Junior Software
Junior Software
Messaggi: 171
Iscritto il: 25 ott 2008 11:21

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda gnulinux866 » 26 nov 2010 08:54

Davidef, al contrario tale falla è sfruttabile anche da remoto.

suc
Ospite

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda suc » 26 nov 2010 10:37

http://www.securityfocus.com/bid/45045" onclick="window.open(this.href);return false; Microsoft Windows User Access Control (UAC) Bypass Local Privilege Escalation Vulnerability
Remote: No
Local: Yes

gnulinux866 quale parte di "Local Privilege Escalation" non ti è chiara? quale parte di "remote: No" non ti è chiara?

Avatar utente
Michele Nasi
Direttore IlSoftware.it
Direttore IlSoftware.it
Messaggi: 10122
Iscritto il: 26 ago 2000 15:35
Località: Arezzo
Contatta:

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda Michele Nasi » 26 nov 2010 10:42

Sì, il malware deve essere già presente sul sistema dell'utente affinché possa sfruttare questa vulnerabilità. Aggiungo il link alla FAQ preparata da Marco Giuliani: http://www.prevx.com/blog/162/Windows-d ... ssion.html" onclick="window.open(this.href);return false;

gnulinux866
Junior Software
Junior Software
Messaggi: 171
Iscritto il: 25 ott 2008 11:21

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda gnulinux866 » 27 nov 2010 07:56

Ti spiego una falla sfruttabile in locale con relativo exploit, può essere veicolata da altro malware, non a caso Giuliani scrive: ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/" onclick="window.open(this.href);return false;

gnulinux866
Junior Software
Junior Software
Messaggi: 171
Iscritto il: 25 ott 2008 11:21

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda gnulinux866 » 27 nov 2010 08:14

Ti spiego una falla sfruttabile in locale con relativo exploit, può essere veicolata da altro malware, non a caso Giuliani scrive: ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/" onclick="window.open(this.href);return false;
Ed aggiungo che, una situazione simile, rappresenta una sorta di vaso di pandora, che deve essere chiuso subito, altrimenti diventa di rifermento per virus writers, anzi credo che già lo sia.

ture
Ospite

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda ture » 27 nov 2010 11:42

Ma anche no:

2) Can this flaw be exploited from remote? No it can't. It is a local privilege escalation exploit. This means that the potential malware must be already in the target machine to exploit this flaw
http://www.prevx.com/blog/162/Windows-d ... ssion.html" onclick="window.open(this.href);return false;

Less critical per secunia: http://secunia.com/advisories/42356" onclick="window.open(this.href);return false;

SnakePowa93
Ospite

Re: Un exploit 0day minaccia tutte le versioni...

Messaggioda SnakePowa93 » 30 nov 2010 12:48

Sono stato infettato da questo malware circa 4 giorni fa... Nulla, non sono riuscito a toglierlo (il pc era totalmente bloccato). A malincuore ho dovuto formattare... ma è successo dell'incredibile: quando ho formattato la partizione e messo un XP Pro modificato (quelli che si trovano in giro, che sono simili a vista o 7) e il problema persisteva! Il pc non si avviava e si riavviava di continuo... ogni tanto si bloccava ad una schermata nera e mi dava un errore proprio su questo win32k.sys e mi ricordo che stavano scritte una serie di cose incomprendibili riguardo "kernel mode".
Fortunatamente dopo un'altra formattazione ho messo XP Pro normale e tutto si è risolto, altrimenti non sarei qui a raccontarlo...
Spero non vi accada sta cosa T_T
Saluti