skip to main | skip to sidebar
16 commenti

Due nuove falle Flash emergono dai dati di HackingTeam; meglio disabilitare Flash in attesa di correzioni

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “treomarc*” e “fabiano.bi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

La diffusione dei dati sottratti a HackingTeam ha permesso di far emergere altre due falle di sicurezza in Adobe Flash che consentono a un aggressore di prendere il controllo del computer del bersaglio semplicemente facendogli visitare un link (una delle tecniche predilette di HackingTeam).

Queste due nuove falle non hanno per ora un aggiornamento correttivo e sono distinte da quella già corretta.

Adobe sta correndo per creare e distribuire l'aggiornamento che corregga queste falle, ma intanto i criminali informatici stanno già sfruttando almeno una di esse, per cui è altamente consigliabile disinstallare, disattivare o perlomeno bloccare l'esecuzione automatica di Flash. Fra l'altro, probabilmente non ne sentirete molto la mancanza; anzi, noterete che molti siti si caricheranno più velocemente perché i contenuti Flash (tipicamente pubblicità) non vengono letti.

Le falle Flash sono etichettate CVE-2015-5122 e -5123 e sono presenti nelle versioni Windows, Linux e OS X del plugin di Adobe. L'azienda che gestisce Flash ha detto che queste nuove falle verranno corrette la prossima settimana. Fino a quel momento, usate più prudenza del solito, anche sui siti di buona reputazione, perché molti attacchi provengono dalle pubblicità Flash, che non sono gestite dai siti stessi ma sono inserite da reti pubblicitarie separate, che vengono prese di mira dai criminali informatici.

Come consueto, le istruzioni per bloccare l'esecuzione automatica di Flash sono qui.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
Ma alla Adobe come cavolo fanno ad implementare così tanti bug? son più i bug che le linee di codice del programma...
Da tempo ho disattivato l'esecuzione automatica di Flash su windows.
Su Linux non ne sento il bisogno, ogmi volta che si vuole installare qualcosa o modificare il file system, mi chiede la password ;-)
Comunque, ora ho abilitato il click-to-Play anche su Linux, fidarsi è bene, ma...
Sembra che il sito segnalato (http://malware.dontneedcoffee.com/2015/07/cve-2015-5122-hackingteam-0d-two-flash.html) sia a sua volta "infestante"...
Paolo, questo episodio dimostra in modo plateale come l'approccio alla sicurezza che vede rincorrere i bollettini sia fallimentare. A mio avviso non solo è inutile ma è anche dannoso (perché dà un falso senso di sicurezza e quando ci si sente sicuri non si usa la prudenza) suggerire azioni non sulla base del rischio ma sulla base di quando quel rischio viene reso pubblico. I limiti sono:
1) non c'è alcun motivo di pensare che le falle usate da HT fossero loro esclusiva, quindi magari ci sono in circolazione n malware che le sfruttano
2) non c'è alcun motivo di pensare che non ci siano altre falle altrettanto gravi conosciute come in questo caso solo da pochi

Se vuoi essere al sicuro devi avere un approccio paranoico a priori, quello a posteriori è semplicemente scemo. Elimina tutto l'eliminabile, e fallo subito, fine.

A mio avviso tuttavia l'approccio paranoico è giustificabile solo in quei caso in cui tu possa esser vittima di attacchi mirati. Mi spiego: chi è il cretino che si brucia una falla da 45K$ a cliente usandola per un malware di larga diffusione? Non appena lo si dovesse buttare fuori inizierebbero a fioccare le segnalazioni (e i sample) ai produttori di antivirus, segnandone quindi la morte (perché verrebbe riconosciuto come minaccia) nell'arco di giorni se non ore. Magari lo facevano anni fa, quando non c'era il mercato che c'è oggi ed era una cosa alla portata dello smanettone; oggi è tutto molto più difficile e complesso e le competenze che servono estremamente più alte e specializzate. E' una cosa di professionisti, e da professionisti con i controca**i.

Aggiungo: per i malware di larga diffusione funziona estremamente bene la falla di sicurezza più grossa che hanno attualmente i sistemi informatici e cioè l'utente. L'ingegneria sociale costa poco, funziona benissimo, non viene praticamente rilevata da antivirus e antimalware, quindi perché bruciarsi l'asso di briscola quando ti basta giocare il due per prendere?

Aggiungo inoltre: se invece sei vittima di attacchi mirati e chi ti sta attaccando è bravo, sei fottuto a priori, è solo questione di tempo, e HT, ma NSA e così via testimoniano che un modo da una parte o dall'altra lo si trova sempre. E chiunque tu sia, per quanto loro possano essere polli, sicuramente sei messo peggio di loro.

E' ora di aggiornarsi, Paolo: l'approccio paranoico è roba del passato. E' come per una casa: devi avere una porta, meglio se blindata, che tieni chiusa a chiave la notte o quando non ci sei; sei ragionevolmente sicuro, ma non ne hai la garanzia assoluta perché sai che se vogliono entrare entrano, ma perché farlo? Dopotutto non hai niente di particolare valore in casa, e quindi dormi tranquillo.
Ovviamente so che non condividerai e che andrai avanti a fare la lista della spesa delle falle :D
Ancora esiste flash... Interessante notizia... È ora che chi implementa flash nei suoi siti fallisca e si estingua. BOICOT FLASH! È da sempre una delle peggiori vulnerabilità implementabile volontariamente su un pc. E qualcuno dava del pazzo e incompetente a tal SJ che gli dichiaró guerra impedendone l'uso in modo assoluto sui dispositivi iOs.
Adobe dopo aver fatto quel gran passo avanti che ci facilitò la vita a tutti svincolando pdf e rendondolo un formato aperto e usabile senza royalti staccasse la spina a flash in modo da provocare un evento di estinzione di massa dei siti che ancora lo adottano o un salto evolutivo di quelli importanti.
Fx,

Se vuoi essere al sicuro devi avere un approccio paranoico a priori, quello a posteriori è semplicemente scemo. Elimina tutto l'eliminabile, e fallo subito, fine.

Perfettamente d'accordo. Purtroppo per molti tipi di attacco informatico di massa (PDF o Flash ostile) il software vulnerabile non è eliminabile. Non puoi chiedere a un'azienda di non aprire allegati PDF (puoi chiedere ad Adobe di tornare a fare fare un reader PDF che legga e basta, senza andare a scaricarsi/eseguire codice Javascript da chissà dove, ma questa è un'altra storia)


A mio avviso tuttavia l'approccio paranoico è giustificabile solo in quei caso in cui tu possa esser vittima di attacchi mirati. Mi spiego: chi è il cretino che si brucia una falla da 45K$ a cliente usandola per un malware di larga diffusione?

Lo stesso cretino che usando quella 0day da 45k$ per un attacco indiscriminato di massa si porta a casa 300k$ di estorsione. Esempio classico: il ransomware.

Questi exploit non vengono usati soltanto per gli attacchi mirati (nei quali, concordo con te, c'è poco da fare), ma anche per quelli di massa. E in questi ultimi, a mio avviso, patchare quello che non si può bloccare funziona. Non basta (ci aggiungi regole di filtraggio sui server esposti a Internet, ecc.) ma per l'utente medio, il privato, l'azienda piccolina, queste cose fanno la differenza.

Ho seguito qualche tempo fa il caso di un'azienda di dimensioni non trascurabili colpita da ransomware. Metodo classico: PDF ostile in una mail apparentemente proveniente da una banca. Un impiegato apre l'allegato, Acrobat Reader diligentemente esegue lo script interno al PDF e scarica e lancia il malware. Rete aziendale infetta, documenti cifrati con password impossibile, backup in rete cifrati anch'essi, eccetera. Non era un attacco mirato.


L'ingegneria sociale costa poco, funziona benissimo, non viene praticamente rilevata da antivirus e antimalware, quindi perché bruciarsi l'asso di briscola quando ti basta giocare il due per prendere?

Vero. Ma di solito richiede tempo per ogni singolo bersaglio, mentre un exploit 0day lo puoi usare per la pesca a strascico.


Dopotutto non hai niente di particolare valore in casa, e quindi dormi tranquillo.

Su questo dissento con forza. Praticamente tutti abbiamo in casa (e nei dispositivi digitali) cose preziose. In casa abbiamo gioielli e ricordi personali; sui dispositivi abbiamo password di lavoro, contabiità, foto intime (faccio forensics, vedo cose di ogni sorta, inimmaginabili, e frequentissime) per le quali saremmo ricattabili/umiliabili. O che, se le perdessimo, ci spezzerebbero il cuore.
Paolo, il tuo commento non è giallo!
TI HANNO ATTACCATO!!!
Il blog non è più tuo.

Stupidocane, ma che cane da guardia sei!!

:-D
Anche Windows ti chiede la password per installare qualsiasi cosa non abbia i privilegi dell'utente corrente. Ops, lo fa anche Linux. Ma il fatto che ti chieda il permesso per installare qualcosa a livello di sistema operativo non impedisce che ti installi qualcosa coi tuoi privilegi di utente normale. Anche in quel modo il danno è fatto.

Dire di boicottare flash è una foglie di fico: per avere le stesse funzioni si può usare HTML 5, bene, quanto pensate che ci vorrà perché saltino fuori falle di sicurezza altrettanto pesanti anche sull'implementazione di HTML 5 di ciascun browser?

Come se non bastasse non è come per Adobe: una volta fatto l'update di Flash, quello va su tutti i sistemi e su tutti i browser, ma ciascun browser dovrà essere aggiornato separatamente. Bel ginepraio.
Paolo: la giro così. Un sistema dev'essere aggiornato, anche nelle sue parti (come dici tu se usi un lettore PDF devi far gli update anche a questo), e deve avere qualche sistema affidabile e proattivo contro il malware (antivirus o suite di sicurezza con antivirus - per scegliere quale un buon punto di partenza è av-comparatives.org). Con questo ottieni una sicurezza per il tuo PC paragonabile a quella che hai a casa tua, con la porta blindata che chiudi regolarmente a chiave.

Quello che dico è che andare oltre, ad es. disabilitando certe parti, può darti un grado superiore di sicurezza MA:
a) lo devi fare a priori (e su questo mi pare siamo d'accordo)
b) se sei un utente medio IMHO ti offre un beneficio risibile. Tra l'altro è un argomento decisamente importante, sarebbe da farci qualche ricerca scientifica in modo che si possano avere dei numeri concreti. E' abbastanza paradossale che una questione così facilmente oggettivabile non sia oggetto di studi approfonditi, a me sembra piuttosto importante sapere qual è lo "sweet spot" tra fregarsene e la paranoia sulla base del rischio effettivo.

Con la metafora della casa intendo dire, e rispondo al tuo ultimo paragrafo, non che tu non abbia cose preziose PER TE, bensì che non lo siano per la terza parte. E' una questione meramente economica: se lo sforzo di entrare in casa tua / sul tuo PC è 1 (malware di massa con attacchi automatici su larga scala) allora ti attacco, ma se devo farlo manualmente e quindi mi costa 1000 lo faccio solo se mi aspetto di ricavarne un beneficio superiore (aggiungo io: di gran lunga superiore, dato che ci sono dei rischi che operando nella legittimità non avresti). E ribadisco, il beneficio superiore dev'essere per la terza parte: se quello che ottiene sono 3 TB di foto di famiglia non se ne fa assolutamente nulla, nonostante stia facendo un danno enorme per me.

Tant'è che non si sente praticamente mai parlare di attacchi mirati a utenti comuni. A questi basterebbe dare retta alle richieste di conferma per gli aggiornamenti (o renderli del tutto automatici bypassando a priori la richiesta di conferma), pagare il rinnovo dell'antivirus e farsi mezza domanda prima di cliccare istericamente su ogni cosa. Non è molto ma evidentemente ancora fantascienza per molti.

Chiudo: per tenere al sicuro i tuoi ricordi (per dirne una) non puoi fare affidamento su te stesso. Puoi fare il backup, puoi tenere tutto aggiornato ma c'è sempre l'eventualità che ti fa perdere tutto. Da questo punto di vista meglio avere una copia in cloud. Che è sempre una soluzione di compromesso, ma ha un grado di protezione del dato di molto superiore rispetto a quella che puoi garantire tu (lato software, lato hardware e lato sicurezza).

La metafora della casa funziona ancora: a casa tieni qualcosina ma il grosso dei soldi li tieni in banca. Anche se la banca ti sta sulle palle. :)
I complottisti direbbero che....
tipico dialogo fra programmatori :
"si si dai, applichiamo codice eseguibile alle immagini jpg e documenti doc
tanto figurati, chi mai potrebbe sfruttare malvagiamente questa innovazione ?"
I complottisti direbbero che....
se il software spia sfrutta sistematicamente queste "falle"
a chi vogliono far credere che sono "falle" ?
Fx: «Tant'è che non si sente praticamente mai parlare di attacchi mirati a utenti comuni. A questi basterebbe dare retta alle richieste di conferma per gli aggiornamenti (o renderli del tutto automatici bypassando a priori la richiesta di conferma), pagare il rinnovo dell'antivirus e farsi mezza domanda prima di cliccare istericamente su ogni cosa. Non è molto ma evidentemente ancora fantascienza per molti.»

"Attacchi mirati a utenti comuni" sarebbe un ossimoro - e non solo retoricamente. Lo dici tu stesso, usando (in maniera molto interessante, secondo me: specie nel commento #10) la teoria dei giochi per la tua analisi: perché sprecare denaro e ore-uomo per lo sviluppo di un exploit mirato al signor Mario Rossi di Milano, quando molto probabilmente (estraendo così, a caso, il bussolotto "Mario Rossi - Via Tal dei Tali - Milano" dall'urna, e poi procedendo all'attacco) si troverà poco o punto?

Molto meglio, per "trattare" l'homme moyen Mario Rossi, ricorrere ad attacchi di massa (come fa giustamente notare Paolo), del tipo ransomware, coi quali spari nel mucchio - poniamo - dieci milioni di colpi, contando di fare diecimila centri.

Del resto (domanda animata da reale curiosità), non credi che, rivoltando la tua logica su se stessa, l'utente comune potrebbe allora chiedersi: be', ma se attacchi mirati su utenti comuni in pratica non ce n'è, perché io dovrei PAGARE per installare un anti-malware specializzato, quando posso benissimo cavarmela con una di quelle cose gratuite che spesso le stesse case produttrici degli anti-malware a pagamento mettono a disposizione?

«[...] andare oltre, ad es. disabilitando certe parti, può darti un grado superiore di sicurezza MA [...] se sei un utente medio IMHO ti offre un beneficio risibile. Tra l'altro è un argomento decisamente importante, sarebbe da farci qualche ricerca scientifica in modo che si possano avere dei numeri concreti. E' abbastanza paradossale che una questione così facilmente oggettivabile non sia oggetto di studi approfonditi, a me sembra piuttosto importante sapere qual è lo "sweet spot" tra fregarsene e la paranoia sulla base del rischio effettivo.»

Sono MOLTO d'accordo. Io per esempio mi chiedo come mai ci siano ancora così pochi studi che usino, appunto, teoria dei giochi ed altri strumenti mutuati dall'economia per analizzare il problema.

Che, infatti, quello fra gli odierni cyber-criminali (che non sono più gli script kiddies di vent'anni fa, ma sono ormai professionisti coi controc...i, come dici tu) e le varie tipologie di utenti-bersaglio sia un gioco strategico, a me pare talmente evidente...
"Se vuoi essere al sicuro devi avere un approccio paranoico a priori, quello a posteriori è semplicemente scemo. Elimina tutto l'eliminabile, e fallo subito, fine."
In un mondo di falle 0d si dovrebbe fare un cambio di paradigma come suggerisce Joanna Rutkowska (progetto Qubes) nel suo articolo Partitioning my digital life into security domains. Paranoico?? No, sicuro.

Forse basta discostarsi dalla media per aumentare la sicurezza dei propri dati. Gli attacchi automatici devono massimizzare il numero dei potenziali bersagli, quindi, attaccano ciò che, in media è più usato a partire dal sistema operativo stesso visto che c'è il predominio di Windows.

Ma questo è più facile a dirsi che a farsi. Il sistema operativo è moilto difficile cambiarlo in un ambioente di lavoro: troppi software (dal gestionale al programmino specializzato per guidare il macchinario X) sono spesso monopiattaforma.

Allora si potrebbe cercare di usare software non molto diffusi per fare le stesse cose che si fanno con quelli più noti. Per esempio, prima era molto più sicuro navigare con Firefox che con IE (ora non cambia nulla: i browser sembrano uno la fotocopia dell'altro tolto l'aspetto esteriore e qualche funzioncina secondaria); per i PDF si potrebbe usare Ghostscript ma non credo che possa gestire anche i PDF "speciali" come quelli firmati digitalmente, o con gli script.
Allora si potrebbero avere i programmi "a doppio". Per esempio, i PDF potrebbero essere aperti dapprima con Ghostview per controllarne il contenuto e solo successivamente con Acrobat Reader.
Ma anche queste scelte hanno un prezzo: si perde tempo. Tempo che spesso non c'è. Gli aggiornamenti raddoppiano e, poi, ciò che c'è si rompe (parafrasando il famoso "ciò che non c'è non si rompe").

Forse la strada migliore è avere più backup di ciò che è importante e su supporti che non sono mai contemporaneamente operativi (il cloud può andar bene per le foto di famiglia ma per i documenti di lavoro può essere un ulteriore rischio per la sicurezza) e avere un piano di disaster recovery. I backup si possono fare di notte e tenere (almeno per le cose vitali per l'azienda) dei computer che in breve tempo possano prendere il posto di un server. Forse questa è la soluzione più praticabile per un'azienda, specie se piccola.
@ Guastulfo

Stupidocane, ma che cane da guardia sei!!

Il mio nick non è scelto a caso.
Sfortunatamente, per quanto riguarda i PDF, Ghostscript non è la soluzione. O meglio è la soluzione se il PDF di cui parliamo è la "versione non modificabile" di un documento Word, in cui tutto sommato la qualità "estetica" e la precisione non sono una esigenza fondamentale.
Per queste esigenze ci sono letteralmente dozzine di formati "storici" come LaTeX o altri, che, se gli si desse un'interfaccia WYSWYG sarebbero una ottima soluzione.
C'è anche da riflettere sul fatto che se sono state inserite funzioni "interattive" nei PDF probabilmente queste funzioni sono ritenute utili, anzi indispensabili per molti utenti e forse levarle non è la soluzione.

Esiste un altro utilizzo dei file PDF (meno noto ai più) che è il loro uso come formato intermedio o a volte finale nella produzione grafica professionale, prestampa ecc..: certo questi PDF non hanno funzioni interattive, sarebbero inutili, ma devono avere altre caratteristiche (correzione colore, gestione delle trasparenze, ecc..) che Ghostscript non implementa. E' un po' come dire usate GIMP al posto di Photoshop o Scribus al posto di inDesign. Non si può. Sono più i problemi che crei di quelli che risolvi.