Cerca nel blog

2010/02/05

Internet Explorer non protetto e XP? File leggibili da remoto

Falla in Internet Explorer permette agli aggressori di leggere i file degli utenti via Internet


Questo articolo vi arriva grazie alle gentili donazioni di "xxnadiaxx" e "fabrifab81".

L'avviso di sicurezza 980088 di Microsoft pubblicato il 3 febbraio scorso segnala che se un utente di Windows XP naviga in Rete usando qualunque versione recente di Internet Explorer, i suoi file sono leggibili via Internet da un aggressore che sappia i nomi e i path dei file desiderati. La stessa vulnerabilità si presenta anche per gli utenti di Windows Vista e Windows 7, ma solo se hanno disabilitato la modalità protetta (Protected Mode) di Internet Explorer, che è attiva per default per la navigazione in Internet.

L'aggressore non deve fare altro che indurre la vittima a visitare un sito-trappola usando Internet Explorer: non è difficile, basta un e-mail contenente un link reso irresistibile dalle consuete leve emotive del social engineering.

Di primo acchito la necessità di conoscere il percorso e il nome esatti del file sembrerebbe un ostacolo notevole per questa vulnerabilità, ma esistono vari file collocati in posizioni standard in Windows. Come notano gli utenti di Slashdot, il file indice della funzione di ricerca di Windows si chiama Windows.edb e il suo path standard è ben noto, per cui basta leggerlo da remoto e poi decifrarne il contenuto usando software apposito per avere l'elenco completo delle posizioni degli altri file della vittima e quindi colpire con precisione.

Conviene quindi fare attenzione ai link nei messaggi, verificare che sia attiva la modalità protetta oppure navigare con browser alternativi. L'elenco dei rimedi temporanei consigliati da Microsoft è incluso nell'avviso di sicurezza.

30 commenti:

Anonimo ha detto...

c'è un rimedio efficacissimo, che riporto nonostante l'implicita sponsorizzazione: download Mozilla Firefox

Gioppo ha detto...

vabbé, a me sembra che lo facciano apposta, alle volte, a lasciare buchi di tale entità...

Luigi Rosa ha detto...

Morale degli ultimi post: non usate Internet Exploer per andare su facebook.

Vittorio ha detto...

c'è un rimedio efficacissimo, che riporto nonostante l'implicita sponsorizzazione: download Mozilla Firefox

Già fatto, circa 4 anni fa...

brain_use ha detto...

Ennesima conferma che in casa Ms non sanno neanche cosa sia la sicurezza.

Invece di badare a scrivere software decente, lor signori si dedicano a rompere le p... agli utenti con millanta richieste di conferma:
"ma hai clickato tu?"
"ma tu sei tu?"
"dicuro di essere tu?"
"ah e davvero volevi copiare un file?"
"ma perché vuoi copiare quel file lì e non quell'altro?"
...

Anonimo ha detto...

L'articolo e' serio ma che tristezza poi i vostri commenti....
Nessuno vi obbliga ad usare Windows o IE, ma perchè parlarne male ad ogni costo?
Non mi sembra che firefox sia esente da bachi!
http://forums.mozillazine.org/viewforum.php?f=9

Brazov ha detto...

Ho postato nella mia pagina fb un link a questo post dicendo: se proprio dovete fare una catena di S. Antonio, diffondete questo! Potrebbe essere l'occasione per smettere di usare Internet Explorer e forse anche Winzozz!

Brazov ha detto...

@c4m3l

Se ne parla male perché lo merita. Se ne parla male perché è monopolista: vedi alle voci Silverlight e RAI, vedi i vari software che rallentano il tuo PC e tu non avresti voluto, vedi le suite di Office preinstallate e che all'ignaro niubbio smettono di funzionare di colpo. Vedi il software che non rispetta gli standard web, Java, quel tanto che basta a creare problemi ai concorrenti. Vedi nuovi formati per i documenti, incompatibili che anch'essi con gli standard internazionali... devo aggiungere altro?

(Ho un PC del 2005 con XP che praticamente è ormai inchiodato, ci ho messo su Ubuntu e ora va come un missile.)

FenderJazz ha detto...

@c4m3l
Come se IE necessitasse dell'avvocato del diavolo... ma che mi tocca leggere...

Gelma ha detto...

@c4m3l: (bada che non ho alcun interesse a fare sterile polemica, e che mi tocca banalizzare un attimo per mere questioni di spazio). Il software ha bug per definizione; tutto, sia libero che chiuso. Persiste, pero', l'idea che se è a pagamento è *più* sicuro. Microsoft mi racconta che il software libero è sbagliato perchè solo pagando posso avere funzionalita' e sicurezza. La storia informatica mi pare ci dica il contrario. Non solo, bisogna distinguere tra bug e bug. "Svarioni" di questo tipo, da parte di un'azienda delle dimensioni di Microsoft e con un parco utenti così diffuso, lasciano non poche perplessita'. Personalmente non uso software proprietario, ma seguo tutto questo perchè, gia' solo nella mia regione, nel solo comune di Milano, parliamo di parecchi milioni di euro l'anno spesi (presi dai contribuenti) in soluzioni Microsoft "per la sicurezza". Alla fine siamo i soliti cornuti e mazziati, verrebbe da dire. Capiamoci, è giusto pagare il software, ove necessario, è giusto pagare i servizi, ove sia necessario, ma vorrei che le decisioni venissero prese con cognizione di causa.

Ciao,
Andrea Gelmini (andrea.gelmini@gmail.com)

Elragno ha detto...

<...l'elenco completo delle posizioni degli altri file della vittima e quindi colpire con precisione. >
La foto rende benissimo :) Che siano file in uscita??

boxbuilder ha detto...

questo sì che è spiacevole. Spero almeno che questa pratica non sia così semplice come descritto nell'articolo.

Emanuele Ciriachi ha detto...

Persino per la versione 8?

Per fare test sono costretto a usare ancora IE6 e IE7, ma lo faccio comodamente tramite macchina virtuale.
Che anche l'8 abbia un baco del genere e' sorprendente.

Niebla ha detto...

Concordo con quanto detto da "c4m3l".
L'articolo è scritto bene ed è serio, però i commenti sono i soliti commenti tristi di parte.

In ogni modo avete tutti tralasciato un piccolo dettaglio dell'articolo che quoto qui sotto:

"La stessa vulnerabilità si presenta anche per gli utenti di Windows Vista e Windows 7, ma solo se hanno disabilitato la modalità protetta (Protected Mode) di Internet Explorer, che è attiva per default per la navigazione in Internet."

per essere più chiaro riquoto la parte fondamentale:
"ma solo se hanno disabilitato la modalità protetta (Protected Mode) di Internet Explorer"

Che io riassumerei in: se il tuo windows vista o Windows7 sono vulnerabili è perchè te la sei andata a cercare.

il dubbio che ho è il seguente: quanto tempo ci vorrà per patchare le versioni vecchie di IE ? microsoft è interessata a patcharle?

altro dubbio che ho: questo problema era già noto più di un anno fa ma se non ricordo male una patch l'aveva risolto. (però forse riguardava solo windows2000)

Brazov ha detto...

@Niebla

Ma quali commenti di parte? Questa è la parte dei consumatori. Per essere più preciso, la parte di chi, avendo acquistato un computer coi propri soldi, pretende che esso faccia le cose che vuole lui e non quelle desiderate dal venditore. Queste sono azioni del tipo di controllare la liceità dei contenuti che apre e che duplica; del tipo di imporre il proprio software e ostacolare lo sviluppo di software concorrente. Tale restrizione di libertà necessita di sistemi chiusi ed è proprio la chiusura che paradossalmente crea falle nella sicurezza ben superiori a quelle dei sistemi aperti. Dico bene?

matteo ha detto...

@Niebla
Che io riassumerei in: se il tuo windows vista o Windows7 sono vulnerabili è perchè te la sei andata a cercare.

Certe cose fanno cascare le braccia. Perché mai un software progettato decentemente dovrebbe avere l'opzione "permetti a cani e porci di ruzzolare nel mio giardino passando dalla botola segreta che sta sotto il ciliegio" attivabile?

puffolottiaccident ha detto...

Quello che molti ignorano della sicurezza assoluta é il fatto che non esiste.

Poetico, come i processi che generano la vita e ci distinguono dai sassi, siano gli stessi che producono l´invecchiamento e ci danno la morte.
Non puó esserci vita senza metabolismo, e non puó esserci metabolismo senza corruzione.

Augh, ho detto.

boxbuilder ha detto...

già infatti non conterei troppo sul fatto che firefox sia esente da questi inghippi...

markogts ha detto...

Boh, non sono esperto, ma da quello che ho capito, firefox (e in generale i sistemi open source) è più sicuro perché le falle sono più visibili. È come avere una macchina col cofano luchettato dal produttore oppure un cofano ispezionabile da qualsiasi meccanico di passaggio. Non è detto che non abbia difetti, ma la correzione è molto più pronta.

PS

vedi alle voci Silverlight e RAI

Esiste un modo per ascoltare radioRai in streaming su Ubuntu? Io ho provato Ubuntuwin ma l'audio è pessimo, dopo qualche minuto si sente come una doppia traccia audio, un'eco fastidiosissima.

puffolottiaccident ha detto...

In realtá non bisogna contarci in ogni caso.

l´esistenza di una falla non é determinata dalla denuncia pubblica di tale falla, cioé puó non essere mai scoperta da qualcuno che intenda denunciarla al pubblico.

Ai fini della riservatezza conviene comportarsi in ogni caso come se si fosse certi che sul proprio browser tale tipo di falle esista, anche se nessuno ne ha denunciato l´esistenza.

Poi, non mettere le corna alla moglie o al marito... o non comprare cocaina a 3 libbre al colpo... é affare affidato alla sensibilitá individuale, ma il punto 0 di una scaletta per garantirsi una vita informaticamente serena é:

"Il computer non é stato inventato con questi scopi, non stupitevi se usato a tali fini puó avere controindicazioni"

Il discorso é un po´piú vasto, ma spero che il mio esempio renda l´idea.

marcov ha detto...

la cosa irritante è che ormai ogni bollettino si chiude con un invito implicito o esplicito a passare a seven.

mi chiedevo: alternare i browser (un giorno il panda rosso, un altro il norvegese, un altro ancora quelli con framework webkit) a parte la scocciatura di aggiornare sempre i preferiti, può essere una buona pratica? Versione moderna del vecchio dilemma: quando piove prendi più acqua a camminare o a correre?

Paolo Attivissimo ha detto...

alternare i browser (un giorno il panda rosso, un altro il norvegese, un altro ancora quelli con framework webkit) a parte la scocciatura di aggiornare sempre i preferiti, può essere una buona pratica?

Non direi. Così ti esponi alle vulnerabilità di tutti i browser invece che a quelle di uno solo.

Mr Wolf ha detto...

windows.ebd comunque non è presente in XP, ma da Svista in su e viene creato da Winzozz Search, che penso sia lo stesso programma che si può scaricare e installare su XP per indicizzare i file dell'hard disk

Stefano ha detto...

Scusate se mi permetto... non capisco ancora dopo anni ed anni che Internet Explorer ha problemi di sicurezza perché usarlo ancora! Faccio un esempio. Nel 2008 su 365 giorni Internet Explorer ha avuto problemi di sicurezza (rischio di virus, troian, ecc.) per oltre 250 giorni... mentre Mozilla Firefox (e non sto qui a fare pubblicità ad un ottimo prodotto) solamente 8: ci sarà pure un motivo. Inoltre Mozilla Firefox ha tantissimi "componenti aggiuntivi" fantastici (SearchPreview, Abdlock Plus, Xmarks, CoolPreviews, Cooliris, FEBE, translator (fixed), ecc, ecc, ecc.). Ad esempio "SearchPreview" ti fa vedere se in un sito che stai per entrare ci sono virus o troian... quindi perché entrarci? Perché allora usare un programma per accedere ad Internet (Explorer) che da solo problemi con il rischio di prendersi "l'influenza"?. Prevenire è meglio che curare. Io uso Mozilla Firefox da anni e sono più che contento.

theDRaKKaR ha detto...

io nel mio piccolo qualche riga di codice l'ho buttata giù, quindi cerco sempre di entrare nel cuore del problema... e mi chiedo, ma Internet Explorer serve per navigare nel web cioè per visualizzare testi, immagini e animazioni ospitate su computer remoti? se sì, come caspita è che consente ad un utente remoto la navigazione nel file system del computer su cui è eseguito? cosa diavolo è, un server Trivial File Transfer Protocol? non mi sembra sia stato scritto anche per svolgere questa funzione... allora la mia capacità di comprensione vacilla.. questo fa il paio con il MacOS che cancellava il profilo dell'utente principale, in caso qualcuno accedeva con l'utente guest... mystery coding....

altro che avvocato, qui ci vuole un plotone di avvocati, e di quelli bravi...

Anonimo ha detto...

Trovo che la cosa più scandalosa sia il fatto che Microsoft minimizzi (come spesso fa) il problema. Sul blog di Feliciano Intini, sulla carta un grande esperto di questioni di sicurezza (in questo post: http://tinyurl.com/ydunnxf), si leggono cose da far accapponare la pelle, primo fra tutti il fatto che l'autore dell'attacco dovrebbe conoscere le credenziali dell'utente collegato, ma si sorvola allegramente, appunto, sul fatto che molti file di sistema vengono conservati in posizioni standard e con nomi di file standard. Un nonnulla.

Federico ha detto...

in genere Microsoft è molto precisa nell'indicare il reale livello di rischio di un bug: questo almeno nei blog più tecnici, o negli avvisi di sicurezza. Cioè se un bug è grave te lo dicono chiaramente, senza giri di parole, mentre se ti dicono che non è grave, personalmente ho buone ragioni per fidarmi.

chiaramente nei blog "divulgativi" il discorso vale un po' di meno... avevo già letto il post di Feliciano e sì, direi anch'io che è troppo ottimista... trucchi per conoscere la reale posizione di un file se ne possono trovare parecchi (il file di indicizzazione è uno di questi). Stavo pensando ad una cosa, ma ora non posso verificare, ma il file Windows.edb è leggibile da tutti gli utenti di sistema? O solo da un amministratore?

Comunque chi ha Vista (mi spiace per lui/lei) o Seven può tranquillamente fare finta che il bug non esista. Chi invece usa ancora XP... beh insomma, è un sistema operativo vecchio di 9 anni, direi che è ora di smetterla di lamentarsi di XP, cribbio!

:-)

Comunque uso poco IE... e Firefox sta passando di moda... lo so che è un virus, ma ultimamente mi piace Chrome!

theDRaKKaR ha detto...

@Marco e Federico

effettivamente l'articolo di Feliciano appare un po' troppo rassicurante.. specie quando dice che confronto all'esecuzione di codice da remoto la sola visulizzazione da remoto di file non è così grave.. oppure quando dice che è improbabile che qualcuno sappia i percorsi dei file di un utente, come se l'attacco a forza bruta sia qualcosa di mai praticato....

boh

Smiley1081 ha detto...

Ma il gattino nero sta per fare quello che penso?

gian ha detto...

@markogts
>Esiste un modo per ascoltare radioRai in streaming su
>Ubuntu? Io ho provato Ubuntuwin ma l'audio è pessimo,
>dopo qualche minuto si sente come una doppia traccia
>audio, un'eco fastidiosissima.
Su Ubuntu non ho mai provato, ma su Fedora linux funziona sia con mplayer (linea di comando): da me si sente bene. Se non ricordo male funziona anche con vlc (con cui puoi anche registrare).
gian