Monitored: Problemi di sicurezza in IE 6 e 7 (MS-SEC 981374)

10 marzo 2010

Stato News: Nuovo

OS Coinvolti: Microsoft Windows XP Sp2/3, Vista Sp1/2.

Non Coinvolti: Microsoft Windows Seven Sp0

Software Coinvolti: Internet Explorer versioni 6, 7

Effetto: Un attaccante potrebbe impiegare la vulnerabilità allo scopo di ottenere gli stessi privilegi d’azione in dotazione dell’account colpito. Se l’utente sta utilizzando un profilo amministrativo, anche l’intruder godrà degli stessi diritti d’azione, installando software aggiuntivo, modificando configurazioni, rimuovendo protezioni di sicurezza ecc.

Exploit Status: In The Wild. Microsoft nel suo bollettino ha identificato la presenza di attacchi eseguiti sfruttando questa vulnerabilità.

Descrizione: Un utente maligno potrebbe creare un sito web (o banner pubblicitario) dotato di script ed automazioni capaci nello sfruttare la vulnerabilità descritta da questo bollettino. L’attacco non può essere eseguito automaticamente e necessita del compimento di alcune operazioni da parte della vittima, al fine d’inizializzare la procedura di compromissione del sistema. Occorre ipotizzare probabili casi di phishing, e-Mail pericolose, impiego di Social Engineering e similari, al fine di aumentare le probabilità di successo nella perpetrazione dell’azione maligna.

Note: Sistemi operativi Server e precedenti a Windows XP non trattati dal bollettino.

Consigli

- Non utilizzare account dotati di privilegi amministrativi se non durante le operazioni d’installazione di software o periferiche.

- Non disattivare le protezioni di sicurezza presenti nel sistema operativo (es. UAC), atte nel mitigare i danni compiuti nel sistema, in caso di compromissione.

- Attivare la funzionalità di Protezione Esecuzione Programmi (Data Execution Prevention) sia per l’esecuzione di tutto il software installato nel sistema locale, che abilitando la “modalità protetta” (Protected Mode) nella sezione “Opzioni Internet” alla voce inerente alla Trusted Zone “Internet” ed “Intranet”.

- Posizionare lo switch della Trusted Zone “Internet” ed “Intranet” al valore “Alto”, allo scopo di disabilitare l’esecuzione automatica di script ed ActiveX.

Share

Tag: , , , , , , , ,
Pubblicato in Threat News | I Commenti sono chiusi

Nuova Utility di Sistema: Open Hardware Monitor (Windows/Linux)

8 marzo 2010

Pubblicata nuova utility di sistema “Open Hardware Monitor”. Questa permette il controllo rapido e semplice dei sensori discolati nei principali elementi dell’hardware di sistema.

Per maggiori informazioni, clickare QUI.

Share

Tag: , , , , , , , , ,
Pubblicato in Utility Tool | I Commenti sono chiusi

In attesa del prossimo Patch Tuesday di Microsoft, il quale non conterrà tutti i fix di sicurezza attesi

5 marzo 2010

Come ogni mese, anche a Marzo la Microsoft rilascerà il Patch Tuesday, finalizzato nella risoluzione delle vulnerabilità identificate nelle ultime settimane di Febbraio. In questo caso però, il pack conterrà solo 2 delle 8 correzioni presentate per Windows ed Office, entrambi classificate come “Importanti” e non “Critiche” a causa dell’impossibilità nello sfruttamento delle medesime, senza l’interazione esplicita dell’utente.

Non verranno però, rilasciati fix per:

- il problema identificato presso i sistemi Windows 2000, XP e 2003, scoperto nelle ultime ore, che vedeva coinvolta la trattazione dei file Help e degli VBScript

- la vulnerabilità riguardante lo sfruttamento dei “percorsi UNC” (impiegati nei sistemi Windows per identificare univocamente una risorsa di rete regolarmente posta in condivisione), individuata a Gennaio, mantenendo uno stato di rischio potenziale nei sistemi pre-Vista (in quanto, da tale versione in poi, IE viene eseguito predefinitamente in sandbox, mitigando i rischi di attacco)

- il problema di Cross-Site scripting identificato in IE8

- la vulnerabilità DoS identificata nei sistemi WinVista, Seven e 2008 riguardante l’SMB Client

Alcune di queste già notificate in rete da mesi (con relativo exploit In-The-Wild).

Share

Tag: , , , , , , ,
Pubblicato in IT Security News | I Commenti sono chiusi

On Guard: Vulnerabilità agli script VBScript e compromissione via tasto F1

3 marzo 2010

Stato News: Nuova

OS Coinvolti: Sistemi Microsoft Windows XP SP2 e successivi (2000 e 2003 non trattati dal seguente bollettino).

OS Non Coinvolti: Microsoft Windows di versione superiore ad XP (cioè Vista, Seven).

Software Coinvolto: Internet Explorer (tutte le versioni).

Effetto: Potenziale compromissione del sistema, da remoto comportata dalla possibilità, da parte dell’attaccante, di eseguire del codice arbitrario nel sistema, sfruttando i privilegi dell’utente locale.

Exploit Status: 0-day, In The Wild.

Descrizione:Sfruttando tale vulnerabilità, un sito web può forzare la visualizzazione di una dialog-box all’utente. L’attacco viene perpetrato con l’interazione dell’utente e solo qualora quest’ultimo prema F1 nella propria tastiera. Il dialog-box è stato creato per ripresentarsi più volte, qualora si tenti di spegnerlo. Tale problema di sicurezza è derivato dall’interazione dei VBScript, con i file help di Windows, trattati attraverso Internet Explorer proprio a causa dei problemi di protezione intrinsechi legati al formato del file impiegato (il quale permette l’esecuzione arbitraria di codice).

Consigli

- L’attacco avviene solo qualora si prema F1 nella tastiera, dopo che la Dialog-Box è stata visualizzata. Si consiglia pertanto di non premere tale tasto, durante la navigazione in Internet, fino a quando il problema non verrà risolto definitivamente dal produttore del software.

- Qualora il Dialog-Box venga visualizzato, si consiglia di terminare forzatamente il processo legato ad Internet Explorer, con l’ausilio dell’utilità di Gestione Processi (TaskManager) o similari.

- L’attacco può avvenire anche in forma indiretta o con l’ausilio d’inganni e social engineering al fine di distogliere maggiormente l’attenzione dell’utente (anche se a conoscenza del problema presentato in questo bollettino). Si consiglia di prestare particolare attenzione durante la navigazione, qualora s’impiegi Internet Explorer.

- Qualora tale scelta fosse possibile, si consiglia l’impiego di browser-web alternativi ad Internet Explorer (es. Google Chrome, Mozilla Firefox, Apple Safari, Opera Browser ecc.).

- Impostare le Trust Site Zone inerenti al traffico “Internet” ed “Intranet” a livello “Alto”, al fine d’impedire l’esecuzione automatica di scripts (tra cui anche gli ActiveX).

- E’ possibile aggiungere degli URL corrispondenti a certi siti web, nelle sezioni Trusted Site Zone “Siti Affidabili” o “Siti con Restrizioni” a seconda del loro stato di pericolosità o sospetto nei contenuti. In caso di aumento del livello di protezione alle Trusted Zone “Internet” ed “Intranet” si consiglia l’impiego di tali funzionalità al fine di non complicare l’esperienza di utilizzo dell’utente, con Internet Explorer, senza rinunciare ad un maggior livello di protezione durante la navigazione. Aggiungere assolutamente i seguenti pattern alle liste “Siti Affidabili” *.windowsupdate.microsoft.com e *.update.microsoft.com.

- Configurare in maniera predefinita, la richiesta di esecuzione degli script identificati nei siti web, provvedendo nell’aggiungere nella sezione “Siti Affidabili”, quelli considerati non pericolosi.

Share

Tag: , , , , , , , ,
Pubblicato in Threat News | I Commenti sono chiusi

Info: Security Essentials 2010 (Scareware-FraudAV)

28 febbraio 2010

Soggetti Coinvolti: Security Essentials 2010 Scareware – FraudAV

Effetto: Il suddetto malware scareware tenta l’installazione nel sistema locale, fingendosi la suite di sicurezza, diffusa da Microsoft mesi fa, “Microsoft Security Essentials”.

.

Consigli & Considerazioni

- I maggiori produttori di software di protezione, non inseriscono nei siti web applicativi creati al fine di controllare il computer dei naviganti, da eventuali minaccie. Le loro attività di pubblicizzazione spaziano dall’inserimento di banner innocui nei circuiti appositivi, inserzioni nei giornali, Trialware disponibili al download direttamente dal loro sito principale ecc. Software AV che compaiono durante la normale navigazione (sottoforma di popup), sono malware principalmente creati al fine di ricalcare l’aspetto grafico e la terminologia delle loro controparti ufficiali, allo scopo d’ingannare l’utente tramite messaggi d’allarme e promesse di risoluzione.  In questi casi, l’utente deve chiudere tutti i popup richiamati automaticamente durante la navigazione, non curandosi del contenuto degli avvisi presentati.

- Durante l’uso di tutti i giorni l’utente deve impiegare un’account non dotato di privilegi d’accesso amministrativi, provvedendo nell’installare preventivamente un software antivirale con capacità di aggiornamento quotidiano dei pattern anti-virali.

- L’installazione di troppi software di sicurezza possono ridurre le performance complessive disponibili nel sistema ed impiegabili da parte dell’utente, durante le normali attività ludiche o lavorative. Ciò porta l’utilizzatore nel disabilitare le protezioni con troppa frequenza. Qualora la quantità di RAM o la potenza della CPU siano ridotte, è perferibile optare per una soluzione Antivirus/AntiSpyware/AntiMalware integrata in un’unico prodotto (e quindi maggiormente sottoposta alle ottimizzazioni dei loro creatori), rispetto a più soluzioni singole.

- Il download di software antivirali dev’essere effettuato ESCLUSIVAMENTE dal sito principale del produttore di questi e non da mirror secondarie. Tale accorgimento evita l’installazione di copie contraffatte o pericolose, causa di ulteriori danni al sistema locale. (Per il download del Microsoft Security Essentials clickare QUI).

Foto

Photobucket

Photobucket

Share

Tag: , , , , , , , ,
Pubblicato in Threat News | I Commenti sono chiusi

Nuovo WhitePaper: Riduttori di URL & Sicurezza

28 febbraio 2010

Pubblicato nuovo Whitepaper inerente agli aspetti di sicurezza legati all’utilizzo degli URL Shortener (riduttori), particolarmente impiegati in Twitter.

Per leggere il Whitepaper clickare QUI.

Share

Tag: , , , , , , , ,
Pubblicato in Whitepaper Internet Services | I Commenti sono chiusi

McAfee & Malware: Da Microsoft ai Social Network, con breve tappa al Cross-Platform

27 febbraio 2010

McAfee, durante la presentazione dei suoi prodotti avvenuta negli ultimi giorni di Febbraio, ha sottolineato il calo d’interesse dimostrato da parte degli attacker, nei confronti dei sistemi Microsoft, puntando invece a software cross-platform (cioè presente anche su OS MacOSX e distro Linux) come vettore d’infezioni ed attacchi, o ai Social Network quali Facebook e Twitter (quest’ultimi sfruttando l’offuscamento degli indirizzi risultante dall’impiego dei servizi di URL Shortening, al fine di complicarne l’analisi da parte dell’utenza).
In particolar modo, finora sono stati colpiti i principali prodotti di Adobe (tra cui Flash e le suite di visualizzazione ed editing di file PDF).

Consigli

- Social Engineering Attacks diffusi via Social Network colpiscono l’utente, indipendente dal tipo di sistema operativo impiegato da quest’ultimo, allo scopo di sottrarre credenziali d’accesso ed altri informazioni sensibili.

- Certi Browser Web permettono l’aggiunta di estensioni create allo scopo di facilitare la segnalazione all’utente riguardante la presenza di potenziali rischi identificati durante la navigazione in certi URL.

- L’aggiornamento dei software tipicamente impiegati nella visualizzazione dei contenuti di certi siti (es. Flash su YouTube), dev’essere effettuato tramite il download dei pacchetti direttamente dal sito del produttore e non tramite i link proposti nei siti web.

Share

Tag: , , , , , , , , , ,
Pubblicato in IT Security News | I Commenti sono chiusi

Malware News: L’alba del SEO Poisoning

25 febbraio 2010

Nelle ultime settimane, gli enti e le aziende addette al monitoraggio dell’attività maligna compiuta tramite Internet, hanno identificato un’evoluzione nella forma di presentazione dei Trojan-Scareware, all’utenza ordinaria.
L’investigazione condotta da quest’ultimi, ha portato alla scoperta di 60 siti web contenenti centinaia di parole chiave di ricerca molto comuni (es. trattando news o argomenti molto gettonati). Lo scopo dei loro creatori sarebbe finalizzato nel garantirsi i primi posti nei risultati delle ricerche operate dagli utenti, aumentando le probabilità d’infezione.

La tipologia d’attacco è la medesima impiegata dai Trojan-Scareware diffusi via web. All’utente viene presentata un’immagine animata presentante una scansione o un’allarme di sicurezza del proprio sistema locale, al fine d’incutere timore ed incoraggiare, in maniera più persuasiva, l’installazione ed il pagamento del software pubblicizzato.

Consigli Utili

- Se possibile, memorizzare il tipo d’interfaccia (colori, scritte ecc.), tipicamente presenti nei propri software di sicurezza, imparando ad identificare eventuali “falsi”, qualora questi vengano presentati a monitor.

- Qualora si nutra anche il minimo sospetto riguardo la veridicità dei messaggi di sicurezza o della loro provenienza effettiva, procedere negando l’installazione del software presentato, chiudendo eventuali popup o pagine web correlate ad esso.

- Per la corretta conservazione delle performance di sistema (ed al fine di evitare eventuali attività anomale derivanti da conflitti tra applicativi), è consigliato l’impiego di UN solo software antivirale ed UN solo software anti-spyware/malware. Se possibile, scegliere soluzioni All-In-One ed a pagamento.

Share

Tag: , , ,
Pubblicato in IT Security News | I Commenti sono chiusi

« Vecchi articoli