Cerca nel blog

2010/06/17

Nuova falla in XP, è già usata dai criminali online

Dipendente di Google in Svizzera rivela falla in Windows XP; criminali la sfruttano subito


Questo articolo vi arriva grazie alle gentili donazioni di "p2o5" e "luca.p*".

Tavis Ormandy, uno degli esperti di sicurezza informatica di Google che lavora in Svizzera, ha scoperto una falla molto grave in Windows XP e ha dato a Microsoft solo cinque giorni di tempo per realizzare e distribuire il rattoppo prima di annunciarne pubblicamente i dettagli nella lista Full Disclosure.

La falla, classificata con il codice CVE 2010-1885, riguarda il Centro assistenza di Windows (l'Help and Support Center) e consente all'aggressore di eseguire comandi a proprio piacimento sul computer della vittima semplicemente inducendo la vittima stessa a visitare un sito Web appositamente confezionato o a cliccare su un link in un messaggio di posta. L'attacco funziona con tutti i principali browser, compreso Internet Explorer 8 e quelli alternativi come Firefox o Chrome, ed è ancora più semplice da realizzare se il computer bersaglio ha installato Windows Media Player (che è installato automaticamente in tutte le versioni principali di Windows). Brutto affare.

La cosa non è piaciuta ad altri ricercatori di sicurezza (Graham Cluley di Sophos, Robert Hansen di SecTheory e Andrew Storms di nCircle Security, sentiti da Computerworld), che hanno ritenuto poco prudente la divulgazione dei dettagli della vulnerabilità: solitamente in questi casi si contatta Microsoft informandola con discrezione della falla scoperta, eventualmente si collabora alla sua correzione, e solo allora – quando gli utenti sono protetti – si divulgano i dettagli. Secondo Ormandy, invece, l'annuncio della falla dopo soli cinque giorni è stato necessario proprio a causa della sua gravità e perché Microsoft, a suo dire, avrebbe ignorato l'avviso se non fosse stato accompagnato da una dimostrazione funzionante.

Alcuni di questi ricercatori pensano che si tratti di una schermaglia nella guerra in corso fra Microsoft e Google: una sorta di "Vedete? Ve l'avevo detto" per giustificare la criticata scelta di Google, segnalata a fine maggio dal Financial Times, di eliminare Windows dai computer dei propri dipendenti e sostituirlo con Linux o Mac OS X, adducendo problemi di sicurezza. Non va dimenticato che Google presenterà ufficialmente il proprio sistema operativo, concorrente di Windows, entro la fine di quest'anno.

Il risultato di tutto questo è che è già stato segnalato il primo sito innocente nel quale è stata inserita dai criminali una forma di attacco che sfrutta la vulnerabilità divulgata da Ormandy per depositare un cavallo di Troia nei computer delle vittime. Il sito attaccato è stato ripulito e nel frattempo Microsoft ha pubblicato uno strumento di correzione che risolve temporaneamente la falla in attesa di un rattoppo formale e definitivo. Questo strumento va usato dagli utenti di Windows Server 2003 e Windows XP; chi usa Windows Vista, Windows Server 2008, Windows 2000 e Windows 7 non è a rischio. Un rischio che forse si poteva gestire un po' meno avventatamente.

Maggiori informazioni sulla falla sono disponibili nel blog di sicurezza di Microsoft Technet.com e nell'avviso di sicurezza 2219475 della stessa Microsoft.

26 commenti:

FridayChild ha detto...

Falla di nuova scoperta, più che nuova falla.
Il modo in cui è stata divulgata è molto irresponsabile e non serve essere dietrologi per sospettare che sia parte della guerra tra Google e Microsoft. Se fosse così, sarebbe piuttosto sleale.

SicilianoEdivad ha detto...

Sleale a dir poco...
(Per i fanboy di guglé:uso Linux, quindi di XP non mi frega)

Anonimo ha detto...

si propone l'arduo dilemma di dire o non dire ed entro quanto tempo... secondo me il dipendente di google ha fatto benissimo. Una società come Microsoft, non dovrebbe ignorare la voce anche del singolo sig. nessuno, figuriamoci quella di esperti competenti.

Chissà quanto tempo c'avrebbero messo "nel mondo Linux" a tappare una falla di sicurezza simile...

^_^

R3DKn16h7 ha detto...

Non che io abbia qualcosa a favore di Windows, anzi, direo proprio il contrario.

Quello che credo è che si pretenda troppo da un sistema operativo che ha quasi 10 anni. Insomma: usare Windows XP su un sistema del giorno d'oggi è un suicidio. Sono d'accordo che è forse l'ultimo OS di microsoft ad essere utilizzabile, ma rimane il fatto che va assolutamente pensionato. 10 anni in informatica sono un'era. Quante cose mancano a Windows XP che ora si richiedono per definire tale un sistema operativo?

OK, ci sono stati i vari "Service Pack": ma sono solo palliativi per un malato in fase terminale.

Mi stupisco ci sia ancora gente a usarlo, anche se, come già detto, è forse l'ultimo sistema di Microsoft a poter essere considerato tale.

Ah, dimenticavo: per quanto riguarda la divulgazione delle falle: se Microsoft fosse una compania seria e se Windows non fosse un sistema operativo antiquato non esisterebbe il problema di divulgare le informazioni su problemi di sicurezza: com'è già stato fatto notare problemi del genere sono, quasi, all'ordine del giorno nel mondo opensource.

Guzman70 ha detto...

Comportamento come minimo irresponsabile, che porterà forse a "rappresaglie" nella ricerca ed esposizione zero-day di bachi ed POC anche nel nuovo OS di Google.
Si fa il gioco dei burattinai delle zombie-networks, non certo quello della stragrande maggioranza degli utilizzatori di PC (62.5% secondo http://marketshare.hitslink.com/os-market-share.aspx?qprid=11 ).
Conforta vedere che almeno le ultime versioni degli OS MS non siano affette da questo problema, d'altronde il buon vecchio XP compirà 9 anni ad ottobre, se sono arrivati all'"Help & Support Center" vuol dire che stanno raschiando il fondo... :D
G.

Lorenzo Breda ha detto...

@R3DKn16h7
Sono piuttosto d'accordo con te, ma il punto è che XP, fino all'uscita di Win7, era un sistema che ancora ti davano di default sui netbook, e che non troppi anni fa (un anno prima dell'uscita di Vista, se non erro) era ultrapubblicizzato con manifesti in giro per le città. Prima dell'abbandono totale ci vorrà un bel po'.

Cahapo ha detto...

"Dipendente svizzero di Google"

Direi piuttosto un "Dipendente di Google Svizzera", dato che è inglese... ;-)

Paolo Attivissimo ha detto...

Direi piuttosto un "Dipendente di Google Svizzera", dato che è inglese... ;-)

Giusto. Sistemato, grazie.

Guzman70 ha detto...

@R3DKn16h7
Scusa, ma non puoi fare di tutta un'erba un fascio: prima dici che XP è vecchio, poi diventa Windows in toto antiquato (motivi tecnici?).

Da Windows 2000 a Windows 7 ci sono almeno 5 versioni di kernel di differenza (escludo le versioni 32 e 64bit), tanto quanto si confrontassero le distro Linux del 2000 con quelle odierne.

Ecco anche il motivo del "raschiamento del fondo del barile" nei confronti di XP, un sistema in uso da quasi 9 anni e progettato quando sicuramente Microsoft non aveva ancora compreso totalmente l'importanza dell'aspetto sicurezza è un bersaglio decisamente più facile di un 7 (ovviamente domani ne esce un'altra che mi smentisce), ma onestamente più di queste falle mi preoccupano le tecniche cross-platform come il tabnabbing, quelle funzionano a prescindere...
G.

Alberto ha detto...

Qualcuno mi puo' dare delucidazioni
su quanto riportato su qeusto articolo di punto informatico ?
http://punto-informatico.it/2915106/PI/News/linux-trojan-un-server-irc.aspx
la cosa mi preoccupa non poco

Lo ha detto...

Senz'altro Microsoft ha le sue colpe ma è altrettanto vero che anche gli utenti hanno le loro. Lanciando un sasso nello stagno domando, fermo restando che Windows è a pagamento e Linux no: ma siamo poi certi che Linux sarà così sicuro quel giorno che la maggioranza degli utenti avrà Linux installato sul proprio computer anzichè Windows?

Guzman70 ha detto...

Cito Paolo, che anche nel suo libro "Da Windows a Linux" ha esposto lo stesso dubbio: in pratica, nessuno è esente da problemi, la diffusione di un OS molto probabilmente determina l'appetibilità delle ricerche di bug, temo più un interesse verso i Mac prima di coinvolgere pesantemente il mondo Linux...

Niebla ha detto...

Mi piace che nei commenti si critica tanto xp e sul fatto che è vecchio...
però nessuno ha detto una parola sul fatto che nell'articolo c'è scritto che windows2000 non è a rischio :D

Secondo me la persona che ha scoperto la falla s'è comportata in modo scorretto.
Secondo me google non adotta questo tipo di politica ma ne subisce comunque le conseguenze poichè è responsabile del comportamento dei suoi dipendenti.

ps: io a casa ho un portatile ancora funzionante comperato con windows98 e aggiornato con windows2000.
su quel portatile negli anni ho usato distribuzioni di linux che oramai sono vecchie.
attualmente ubuntu non riesco a installarglielo perchè mi va in errore e installare sistemi operativi da Windows Xp in su non se ne parla perchè non funzionerebbero (troppo esosi di risorse). Quindi attualmente su quel portatile sono costretto a tenere windows2000.

Non mi scaglierei contro quegli utenti che per problemi hardware o per motivi aziendali devono per forza usare sistemi operativi vecchi sino a che i nuovi standard non portino innovazione.

ps: in una grande azienda l'aggiornamento del parco macchine può durare un anno (non sto scherzando). Una volta deciso lo standard, i primi che ricevono il nuovo pc di solito si ritrovano il penultimo sistema operativo disponibile al momento considerato stabile (di solito è un sistema operativo microsoft, ad esempio windows xp.)
gli ultimi a cui viene fatta l'installazione si ritrovano un sistema operativo obsoleto di cui tutti stanno parlando male (nell'esempio attuale è sempre xp)
prima che l'azienda pensi ad aggiornare nuovamente tutto il parco macchine, deve passare del tempo.

Niebla ha detto...

e non scrivetemi di cambiare portatile che va bene così. Finchè funziona non lo cambio.

ps: con quel portatile, con windows2000 e 128Mb di ram riuscivo pure a giocare a DiabloII in rete locale con altri due giocatori.

theDRaKKaR ha detto...

andrò controcorrente, ma io avrei fatto la stessa cosa: ti contatto, non mi caghi, sono anche generoso se ti riscrivo "ok non mi cagate, vi do 5 giorni di tempo dopo di che non vi cago anche io"

e perdonate i francesismi

theDRaKKaR ha detto...

@niebla

Windows 2000 non è a rischio perché, se non mi sbaglio grossolanamente, quel codice non c'è: si tratta di una vulnerabilità dell'Help di Windows XP, nuovo e diverso da quello di Windows 2000

Paolo Attivissimo ha detto...

io avrei fatto la stessa cosa: ti contatto, non mi caghi

Se leggi gli articoli e le fonti che ho linkato, scoprirai che Microsoft ha risposto subito.

Se pensi che bastino cinque giorni per preparare una patch a un sistema operativo che ha centinaia di milioni di utenti in tutto il mondo con infinite configurazioni differenti, mi auguro che tu non diriga un'azienda di software :-)

theDRaKKaR ha detto...

@Paolo

Ormandy dice che Microsoft gli ha risposto una volta e poi l'ha ignorato

said he decided to go public because of its severity, and because he believed Microsoft would have otherwise dismissed his analysis

effettivamente però la storia è nebulosa, cosa è successo?

PS io faccio software senza bug...............

Paolo Attivissimo ha detto...

he believed Microsoft would have otherwise dismissed his analysis

"believed" è una sua opinione. Un po' poco.

effettivamente però la storia è nebulosa, cosa è successo?

È lunga da spiegare. Ti suggerisco di leggere tutte le fonti linkate.


PS io faccio software senza bug...............

E io sono bello, ricco e intelligente.

Max Senesi ha detto...

Paolo, questo lo sapevamo gia :P

yupswing ha detto...

una domanda. quando parli di "presenterà a fine anno il suo sistema operativo" parli di chrome os?

perché se così fosse non è così concorrente a Windows a mio parere, apre piuttosto un mercato parallelo, molto interessante, ma parallelo

Diego ha detto...

Sembra che i 5 giorni siano dovuti al fatto che dopo 5 giorni di scambi epistolari fra l'autore e la Microsoft, quest'ultima non avesse ammesso che il problema fosse grave:


twitter


Non sappiamo comunque cosa si siano detti in quei 5 giorni ....

theDRaKKaR ha detto...

@diego

appunto, qualcosa è successo fra lui e la Microsoft

oppure, altra tesi, non è successo nulla e il tizio ha fatto quel che ha fatto per motivi "macropolitici" diciamo così

Diego ha detto...

@lo

Di sicuro i sistemi operativi open source hanno dimostrato di essere piu' sicuri nel mondo dei server, dove ha un numero di installazioni decisamente superiori a microsoft, ma dove il numero di worm circolanti e' decisamente minore.

Vedi anche il sito di netcraft per maggiori informazioni.

thunder71 ha detto...

Sinceramente non vedo dove sta' il problema, o meglio, qualcosa in casa microsoft deve far riflettere, non mi sembra nemmeno giusto per un utente che ha "pagato" il suo sistema operativo, incorre in un problema di sicurezza tanto grave. se c'è un bug, il motivo è perché hanno lavorato male. se io scopro un bug di sicurezza come questo, me lo devi risolvere immediatamente! proprio in virtù del fatto che io ho pagato un sistema operativo con bei soldoni.
La Toyota, quando ha scoperto un piccolo difetto sull'accelleratore di alcuni modelli, però molto pericoloso, di corsa, han trovato subito una soluzione e han richiamato credo 4 milioni di vetture a spese loro!
Linux è diverso in partenza, proprio in virtù del fatto che è con licenza open source, se c'è un bug importante di sicurezza, ne viene tappata immediatamente la falla, e i bug scoperti son tutti alla luce del sole, non possiamo dire invece la stessa cosa di un sistema proprietario come windows o mac

@Niebla
esistono distribuzioni come archilinux o gentoo, che ti permettono di installarsi su pc molto vecchi come il tuo. il tutto permettendoti di essere configurati proprio per il tuo hardware specifico. certo.. non sono semplici da usare come ubuntu, ma una volta riuscita l'installazione, solo altamente gratificanti ;)

theDRaKKaR ha detto...

@thunder

oltre agli How-To di Linux dovresti dare una scorsa a quelli di Lingua e grammatica italiana :)