skip to main | skip to sidebar
20 commenti

Aggiornamento d’emergenza per tutte le versioni di Windows, “merito” di HackingTeam

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/21 1:50.

La fuga massiccia di dati da HackingTeam continua a rivelare falle gravissime finora pubblicamente sconosciute nei componenti software più diffusi. Dopo una vulnerabilità in Windows, una in Internet Explorer e tre in Adobe Flash scoperte e risolte, stavolta è di nuovo il turno di Windows. Tutte le versioni. Niente panico: c'è già l'aggiornamento, a meno che abbiate Windows Server 2003 o Windows XP, nel qual caso siete e resterete vulnerabili.

La falla è decisamente critica e per esserne colpiti basta ricevere un documento o visitare una pagina Web contenente un font particolare. Sì, non ridete: si possono infettare i computer usando i font. E una volta che l'attacco ha avuto successo, un aggressore può usarlo per prendere il controllo completo del sistema colpito, installare programmi, vedere o modificare o cancellare dati o creare account nuovi. Se vi sembro eccessivamente catastrofico, tenete presente che sto soltanto citando testualmente il bollettino di Microsoft MS15-078.

Per ora Microsoft non ha notizia di attacchi basati su questa falla, ma è soltanto questione di tempo: tipicamente un paio di giorni, a giudicare dagli eventi analoghi più recenti. È già pronto l'aggiornamento d'emergenza, che dovrebbe installarsi automaticamente per la maggior parte degli utenti.

L'aggiornamento, rilasciato poco fa, risolve questa falla per Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows RT e RT 8.1. Non c'è aggiornamento per Windows Server 2003 e per Windows XP, perché non sono più supportati (a meno di contratti speciali con Microsoft).

La falla è stata trovata da Mateusz Jurczyk di Google Project Zero e da Genwei Jiang di FireEye studiando i documenti di HackingTeam, secondo quanto riportato da The Register.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
Mi sbaglio o ricordo che recentemente si è presentata una falla analoga per Os X?

In ogni caso sarei curioso di sapere come funzionano queste falle di sicurezza oggi, dato che vi sono una serie di tecniche per offuscare e prevenire questo tipo di attacchi. Tra l'altro MS è anche piuttosto aggressiva nell'adottarli, mi ricordo che ai tempi aveva spinto per tecniche come il flag NX (No eXecute) e l'address space layout randomization, poi sicuramente ci saranno anche altri sistemi ma già capire come fanno ad aggirare questi mi interesserebbe.

Mentre stavo scrivendo mi sono reso conto che parliamo spesso di cose davvero pallosissime ai più. Vi voglio ringraziare perché solo qui mi sento capito, vi voglio bene (lo dico anche se fa molto terapia di gruppo, forse un po' lo è eheh).
OK, ma dove andiamo per scaricare l'aggiornamento?
@Martinobri
Attiva windows update e forza una ricerca di aggiornamento. Se non lo forzi , ci pensa ugualmente windows alla prima ricerca automatica di aggiornamento. Poi lo scariche e lo installi,

In alternativa clicca sul link del presente articolo, poi fai un ricerca l'aggiornamento per la versione del tuo sistema operativo

@fx NX e address randomization sono bypassabili in certe situazioni, per sapere come basta googlare "bypass nx" e "bypass address randomization".
Queste due tecnologie non sono dei silver bullet, ma servono a rendere la vita un pochino piu' difficile agli attaccanti.

@martinobri per scaricare l'aggiornamento vai nella pagina "Windows Update" del tuo Windows e seleziona nella colonna a sinistra la funzione che forza la ricerca di nuovi aggiornamenti.
Grazie a entrambi.
Aldilà delle minacce ai PC, fa riflettere come una società come questa Hacking Team che insomma, dato anche come si sono fatti "uccellare", non mi sembra che fosse al top del mondo, comunque possegga informazioni su falle così gravi e sconosciute nei sistemi informatici di uso comune.
Figurati allora quanto ne sanno quelli in gamba....
@Fx: quando citi può essere utile per prevenire/limitare gli stack overflow. Ma il rendering dei font nel ring 0 sono un'altra storia...

Ciao,
Andrea Gelmini
Quasi tutti i bollettini citano "possibilità di esecuzione di codice malevolo" e "prendere il controllo della macchina".. Che poi il fatto che si sfrutti realmente è un'altra storia.

Certo, una falla scoperta è una falla in meno..
Luigi: grazie, faccio qualche ricerca che sono curioso

Gelma: sarei curioso di sapere cosa ci fanno gli algoritmi di rendering dei font nel ring 0, mi stupisce molto. In particolar modo su Windows: mi risulta che su questo OS avessero spostato perfino i driver della scheda video in user space...
Beh per avere i superpoteri :p in Windows mica devi essere nel ring 0 basta che hai un accesso amministratore. E se tarocchi un processo con quei privilegi AFAIK li erediti.
@FX

io ho idea che solo riscrevendo windows da capo e adottando le più rigide misure di sicurezza e buona programmazione si potranno evitare questi problemi perchè alcune cose secondo me sono eredità di cose prese con leggerezza all'inizio e mai messe in regola...
Chiaramente questo è impossibile
@Andrea B.
Penso non sia molto difficile, immagino che chi vi lavora abbia frequentato o frequenti comunità di hacker e all'interno di queste comunità avrà individuato qualcuno che poi ha pagato profumatamente per trovare queste falle.
I complottisti direbbero che :
Fuga di dati, oppure la vendita ad organizzazioni di un software oramai esausto ?
I complottisti direbbero che :
L'aggiornamento di emergenza chiude le falle, oppure sposta semplicamente
le backdoors troppo note ?
Più che altro non riesco a trovare la documentazione di Windows che mi dica a che livello gira il motore di rendering dei font..
@lupo

se il rendering dei font gira nel kernel non mi pare tanto corretto...
Andrea: Windows è l'unico sistema operativo che è stato riscritto da capo (con il tanto odiato Vista; al di là delle sue pecche lato utente sotto c'è stato un passaggio epocale, come ci fu ai tempi dal passaggio della famiglia 95/98/ME a XP - non a caso MS spese 6 miliardi di $ di R&D, quando, a titolo di paragone, Apple spendeva circa 15 milioni di $ per una major version del suo Os X). Sono i tanto blasonati *nix invece ad aver subito da sempre un percorso evolutivo senza mai riscritture o stravolgimenti. Se fai un raffronto onesto basato sui bug ed exploit che escono vedrai che vale la mia regola: "se è software, ha bug". Intendo dire che non esiste la bacchetta magica: per quanto possa essere scritto bene e controllato accuratamente, per quante attenzioni vengono poste i bug allo stato attuale delle cose sono inevitabili. Poi ovviamente sono contenibili e mitigabili, ma su questo piano MS fa un gran lavoro, non ascoltare le chiacchiere da bar, la qualità del codice che esce da MS è molto elevata. Mentre sui sistemi *nix è molto più altalenante: sarebbe interessante un'analisi qualitativa dei bug, ne uscirebbe che al di là del kernel (al quale, e penso in particolar modo a Linux, lavorano programmatori professionisti pagati per farlo) certi bug ci sono perché ci si tira dietro codice legacy, il codice è prodotto da programmatori di tutti i tipi che ci lavorano nel tempo libero, non ci sono procedure standard o addirittura non ci sono del tutto procedure per i test di qualità - penso ad esempio OpenSSH, un componente fondamentale e usato OVUNQUE, su cui si appoggia la sicurezza della stessa Internet, e mantenuto alla buona da 2 o 3 persone di cui solo una che ci dedicava effettivamente un tempo ragionevole.

Paolo: stavo ripensando al titolo del tuo articolo, alla parola "merito"... non ho capito se sei sarcastico o meno. Conoscendoti credo di no, in effetti che un bug di questo tipo diventi pubblico serve per irrobustire l'OS e a togliere una porta di accesso ai malintenzionati. In altri termini casi come quello di HT nel brevissimo termine possono rappresentare una minaccia di sicurezza, ma subito dopo permettono di sbattere la porta (le porte) in faccia ad altri che come loro sfruttavano quelle falle. Ponila in questi termini: questi bug è molto difficile che vengano sfruttati su larga scala perché qualsiasi malware tu possa scrivere deve avere il tempo materiale per diffondersi. Se i bug vengono corretti in pochi giorni, semplicemente non c'è. Se non vengono installati gli aggiornamenti, è perché non li installi e cmq sei esposto ad altri milla mila bug. In altri termini, lo svantaggio è modesto, il vantaggio è che seghi le ali a chi sfruttava (magari non su larga scala ma in modo più mirato) questi bug per i suoi interessi. Per me va bene, no? :)
A quel che so, il rendering dei font è in userspace. Avevo trovato uno schema online ma non riesco più a recuperarlo.... Il fatto è che non è necessario che il codice giri a livello così basso per avere i privilegi di amministratore.
https://threatpost.com/of-truetype-font-vulnerabilities-and-the-windows-kernel/101263 Questo articolo (di Giugno) spiega in cosa consiste il problema
@Fx il codice del kernel si ( e si vede perchè il S.O. è stabile e ben funzionante) ma tutte le API ( i miei ricordi parlano di oltre 20000 per qualche milione di righe di codice) quando siamo passati dall'era 32 bit a quella 64 bit sono praticamente rimaste al palo.
E parlando di API, c'è l'altro motto del programamtore: "se funziona, perché riscriverlo?". E soprattutto parlando di API "non cambio qualcosa da cui dipende tutto il resto senza pensarci MOLTO bene": riscrivere qualcosa di così critico è sempre un rischio, perché se magari il codice dell'interfaccia rimane quello, modificandole introduci dei bug incrociati a cui non avevi pensato.

Ora dirò una cavolata, ma inserire una sorta di firma digitale nei font per impedire a roba scritta da dogs&pigs di venire installate?