Grave vulnerabilità 0-Day in tutte le versioni di Windows
Una nuova falla individuata nel componente di sistema Windows Shell mette a rischio tutte le versioni di Windows. La vulnerabilità è già stata sfruttata per sferrare alcuni attacchi.
di Fabio Gozzo pubblicata il 19 Luglio 2010, alle 15:15 nel canale SicurezzaWindowsMicrosoft
Nuovo potenziale problema all'orizzonte per tutti gli utenti di Windows: recentemente è stata infatti individuata una nuova falla di sicurezza all'interno del componente di sistema Windows Shell che mette a rischio la sicurezza di ogni computer su cui sia installata una qualsiasi versione di Windows.
Nel dettaglio si tratta di una vulnerabilità 0-Day e ciò significa che è già stata sfruttata con successo per sferrare diversi attacchi. Stando al bollettino di sicurezza rilasciato da Microsoft, pare che il problema sia piuttosto grave, in quanto rende possibile l'esecuzione automatica di codice malevolo senza un intervento diretto da parte dell'utente.
Il problema risiede nella errata gestione dei file di collegamento .lnk di Windows: creando un file .lnk appositamente malformato è infatti possibile caricare in memoria un qualsiasi programma, inclusi quelli nocivi. Per dare il via all'attacco non è necessario che l'utente vittima faccia partire l'applicazione nociva di sua iniziativa, ma è sufficiente che l'utente entri nella cartella in cui e presente il file .lnk di collegamento.
La vulnerabilità si presta dunque ad essere utilizzata nei modi più svariati: un esempio potrebbe essere quello di mettere il file di collegamento creato ad hoc all'interno di file compressi e poi pubblicarli su Internet invitando le vittime a scaricarlo, oppure di veicolarli tramite chiavette USB.
Secondo quanto riportato da Marco Giuliani, Malware Technology Specialist di Prevx, sembra che la vulnerabilità sia stata sfruttata per portare a termine degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, ma non è da escludere che qualche malintenzionato decida di sfruttarla per colpire gli utenti comuni.
Al momento non esiste ancora una patch in grado di risolvere il problema. Per rendere sicuro il proprio sistema, Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk; la procedura da seguire è illustrata nel bollettino di sicurezza di Microsoft alla sezione Workarounds.
72 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoEdit: cmq sembra che bisogna cliccare l'icona per lanciare l'exploit...
Inoltre cosa non di poco conto:
Mitigation refers to a setting, common configuration, or general best-practice, existing in a default state, that could reduce the severity of this issue. The following mitigating factors may be helpful in your situation:
•[U]An attacker who successfully exploited this vulnerability could gain the same user rights as the local user[/U]. [U]Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights[/U].
•When AutoPlay is disabled, the user would manually have to launch Windows Explorer or a similar application and browse to the root folder of the removable disk.
•Blocking outbound SMB connections on the perimeter firewall will reduce the risk of remote exploitation using file shares.
http://it.slashdot.org/story/10/07/...-Patch-New-Flaw
Chissà quando D:
No, basta aprire la directory che contiene l'icona, basta che l'utente veda l'icona - cioè che il sistema faccia il rendering dell'icona del file lnk. Se l'icona è sul desktop, basta che il desktop venga caricato per eseguire il malware
che culo
poi c'è qualcuno che butta me**a addosso a mac osx e linux dicendo che ormai Seven è sicuro come e più degli altri...
Vedo vedo...
poi c'è qualcuno che butta me**a addosso a mac osx e linux dicendo che ormai Seven è sicuro come e più degli altri...
Vedo vedo...
Beh, è così Ci sono altrettante falle negli altri sistemi operativi
Allora c'è un errore nell'advisory sul sito Microsoft:
È spiegato male, sì Ho un PoC exploit che ho scritto io stesso qui davanti a me
si per carità nessun os è perfetto, ma non sono cosi gravi
che basta "vedere" l icona del malware per mandarlo in esecuzione...
è un bug che solo windows può avere
che basta "vedere" l icona del malware per mandarlo in esecuzione...
è un bug che solo windows può avere
solo perché non sono pubblici non significa che non ci siano Come disse un ricercatore internazionale circa OS X: "it is safer, not more secure"
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".