Nuovi attacchi su qualsiasi Windows

Billow · 12-05-2010, 12.12.33

Sei un utente Windows? Sei sicuro che il tuo antivirus venga aggiornato regolarmente? e quindi, Ti senti sicuro?
Non esserlo!! Se continui nella lettura dell'articolo scoprirai perchè ...

I ricercatori sulla sicurezza della Matousec.com hanno creato un ingegnoso attacco che riesce ad "entrare" in qualsiasi prodotto Windows e permette ad un qualsivoglia codice maligno di farsi strada dentro il vostro sistema.

Avete letto bene - qualsiasi prodotto pensato per la sicurezza di Windows. La lista è enorme e fa riflettere:

3D EQSecure Professional Edition 4.2
avast! Internet Security 5.0.462
AVG Internet Security 9.0.791
Avira Premium Security Suite 10.0.0.536
BitDefender Total Security 2010 13.0.20.347
Blink Professional 4.6.1
CA Internet Security Suite Plus 2010 6.0.0.272
Comodo Internet Security Free 4.0.138377.779
DefenseWall Personal Firewall 3.00
Dr.Web Security Space Pro 6.0.0.03100
ESET Smart Security 4.2.35.3
F-Secure Internet Security 2010 10.00 build 246
G DATA TotalCare 2010
Kaspersky Internet Security 2010 9.0.0.736
KingSoft Personal Firewall 9 Plus 2009.05.07.70
Malware Defender 2.6.0
McAfee Total Protection 2010 10.0.580
Norman Security Suite PRO 8.0
Norton Internet Security 2010 17.5.0.127
Online Armor Premium 4.0.0.35
Online Solutions Security Suite 1.5.14905.0
Outpost Security Suite Pro 6.7.3.3063.452.0726
Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
Panda Internet Security 2010 15.01.00
PC Tools Firewall Plus 6.0.0.88
PrivateFirewall 7.0.20.37
Security Shield 2010 13.0.16.313
Sophos Endpoint Security and Control 9.0.5
ThreatFire 4.7.0.17
Trend Micro Internet Security Pro 2010 17.50.1647.0000
Vba32 Personal 3.12.12.4
VIPRE Antivirus Premium 4.0.3272
VirusBuster Internet Security Suite 3.2
Webroot Internet Security Essentials 6.1.0.145
ZoneAlarm Extreme Security 9.1.507.000
Altre versioni dei software succitati
Altro software e prodotti che utilizzano kernel simili per la sicurezza.

L'attacco è astuto ed è stato definito "bite-and-switch" (butta l'esca e connetti).
Funziona in questo modo: un codice innocuo viene passato al software di sicurezza (l'antivirus) per la scansione, ma non appena verificato, lo stesso viene tramutato in codice dannoso. L'attacco funziona in modo anche più semplice con i sistemi multi-core, poiché i processori non tengono conto dei processi che sono in esecuzione su altri core.

L'attacco, definito KHOBE (Kernel HOok Bypassing Engine), sfrutta un modulo Windows standard, denominato System Service Descriptor Table, o SSDT, che è collegato al kernel di Windows.
Purtroppo, l' SSDT è di norma utilizzato da quasi tutti i software antivirus.

Visita

Wanu · 12-05-2010, 12.31.33

Nella lista manca il Microsoft Security Essentials... secondo voi a ragione oppure non è stato proprio considerato?
E in aggiunta scusatemi, ma non è molto chiaro come il primo codice venga eseguito nel processore.
Tempo fa la Apple disse che quello che allora sembrava l'unico virus su una piattaforma definita "protetta da virus" per architettura, in realtà non potesse essere considerato tale perchè l'utente doveva coscientemente decidere di eseguire il codice.
Ora dalla descrizione sembra che eseguendo un codice tramite questa falla architetturale l'antivirus ritenga NON PERICOLOSO il codice stesso che si tramuta in un codice maligno subito dopo il controllo... la mia domanda è : COME VIENE SOTTOPOSTO IL PRIMO CODICE A WINDOWS?
Se devo lanciarlo... alla fine non mi pare così astuto come metodo... se poi va creato un virus in grado di eseguire il virus stesso...
Certo è un problema serio che andrebbe affrontato dalle software house antivirus prima ancora che da windows...
In aggiunta mi chiedo la trasformazione come venga fatta... se il codice maligno è scritto da qualche parte sarà pure controllabile no? Ok si trasforma... ma la nuova versione dove la prende?

dino46 · 12-05-2010, 13.14.43

Vuoi vedere che gira gira Microsoft è riuscita a fare (magari per caso) una cosa ben progettata e ,soprattutto,regolarmente ben aggiornata?
Come me penso siano motli quelli che usano Microsoft Security Essentials, visto che non sembrava in origine ne meglio ne peggio di altri, e che abilitano il suo aggiornamento automatico.
Il mio PC scarica ogni giorno un file di aggiornamento che va dai 600KB ad 1,5MB.

LoryOne · 12-05-2010, 13.41.02

http://www.matousec.com/info/article...y-software.php

retalv · 12-05-2010, 14.23.43

Nulla di nuovo sotto il sole.

Leggete questo articolo e tenete presente la data ... (parliamo di un po più di 6 anni fa...)

http://marc.info/?l=bugtraq&m=107282353313951&w=2

Come al solito Matousec non ha perso l'occasione per farsi ridere dietro da tutta la rete e di confermare i nostri sospetti che potete leggere nei vecchi Threads sempre su questo forum.

Purtroppo quei bischeri hanno conquistato una visibilità che gli permette di fare bello e brutto tempo dal lato commerciale della sicurezza e chi produce per questa oramai pensa quasi esclusivamente a fare i propri prodotti in modo da passare i loro test per essere tra i primi in graduatoria.

Sul fatto che non compaiano titoli in lista e che perciò questi siano immuni al "problema" è tutto da dimostrare, considerato come si sono comportati in passato riguardo le classifiche...

Ripetendomi, personalmente ho provato parecchi dei prodotti firewall presenti in lista, non ultimo di 5 giorni fa l'attuale primo in classifica, e con sommo dispiacere ho dovuto constatare che pur essendo migliorato a livello di usabilità teorica rimane una palla al piede nel normale contesto operativo.
In altri termini, se devo stare a litigare con un prodotto di sicurezza al top teorico facendo fatica a far lavorare altro software che devo far convivere nella macchina (e parlo di cosette tipo: il programma pippo.exe ha tentato di accedere nell'area di memoria xxxxxxxx:xxxxxxxx che dovrebbe essere di sola lettura... per colpa di una architettura sandbox penosa) preferisco un pelo meno di sicurezza tangibile e una macchina che funziona come sempre ha fatto.
Mi meraviglio che come primo in classifica con abbiano messo "Taglia il cavo del telefono Firewall SA" o "Tieni il computer spento Security" ... Augh, ho parlato!

p.s. non me ne vogliano troppo i fruitori di Comodo...

SMH17 · 12-05-2010, 16.00.48

ma è sempre la stessa storia si deve prima abboccarci all'esca

ci sono in giro un finimondo di malware che sfuggono alle scansioni antivirus (spessissimo senza neanche usare metodi molto ingegnosi ma magari per il solo fatto che non sono stati ancora inclusi nelle definizioni)

se si esegue un programma di dubbia provenienza con privilegi amministratore... ci credo che non si è sicuri

il malware in questione sui sistemi successivi a Xp lo si deve eseguire con UAC disabilitata o con un bel click su "consenti"

12-05-2010, 16.28.20

Credo che Paul Ducklin abbia già detto come la penso:

http://www.sophos.com/blogs/duck/g/2...-earth-shaker/

Davide71 · 13-05-2010, 09.47.02

Semplice, non installate nessun antivirus ed il gioco è fatto.............

bye

GINGILLONE · 13-05-2010, 10.36.09

Quota:

Inviato da Wanu

Nella lista manca il Microsoft Security Essentials... secondo voi a ragione oppure non è stato proprio considerato?
E in aggiunta scusatemi, ma non è molto chiaro come il primo codice venga eseguito nel processore.
Tempo fa la Apple disse che quello che allora sembrava l'unico virus su una piattaforma definita "protetta da virus" per architettura, in realtà non potesse essere considerato tale perchè l'utente doveva coscientemente decidere di eseguire il codice.
Ora dalla descrizione sembra che eseguendo un codice tramite questa falla architetturale l'antivirus ritenga NON PERICOLOSO il codice stesso che si tramuta in un codice maligno subito dopo il controllo... la mia domanda è : COME VIENE SOTTOPOSTO IL PRIMO CODICE A WINDOWS?
Se devo lanciarlo... alla fine non mi pare così astuto come metodo... se poi va creato un virus in grado di eseguire il virus stesso...
Certo è un problema serio che andrebbe affrontato dalle software house antivirus prima ancora che da windows...
In aggiunta mi chiedo la trasformazione come venga fatta... se il codice maligno è scritto da qualche parte sarà pure controllabile no? Ok si trasforma... ma la nuova versione dove la prende?

mancano anche malwarebyte antimalware e prevx. ti assicuro che funzionano
e comunque devi abboccare per prendere il virus. Se non ci fossero i virus vuoi vedere che non venderebbero prodotti antivirus

Wanu · 14-05-2010, 11.45.09

Quota:

Inviato da GINGILLONE

mancano anche malwarebyte antimalware e prevx. ti assicuro che funzionano
e comunque devi abboccare per prendere il virus. Se non ci fossero i virus vuoi vedere che non venderebbero prodotti antivirus

No no... chiaro che funzionano... la cosa particolare è che questi hanno tirato fuori una vulnerabilità per aggirare la protezione antivirus (qui rispondo anche a chi usa come soluzione quella di non metterne nessuno), e secondo loro creando un virus che usa lo stesso protocollo dell'antivirus, nel momento in cui l'antivirus controlla il virus stesso lo "attiva" markandolo anche come controllato... a quel punto il virus è libero di girare indisturbato...
In tutto questo capisco non vengano menzionati gli antivirus minori, però mi stupisce parecchio non venga menzionato il prodotto che "targato" microsoft si è fatto una vera e propria fetta di mercato, complice il fatto di essere gratuito.

12-05-2010, 12.12.33	#1
Billow Gold Member Top Poster Registrato: 23-10-1998 Loc.: X Regio - Venetia et Histria Messaggi: 14.119	Nuovi attacchi su qualsiasi Windows Sei un utente Windows? Sei sicuro che il tuo antivirus venga aggiornato regolarmente? e quindi, Ti senti sicuro? Non esserlo!! Se continui nella lettura dell'articolo scoprirai perchè ... I ricercatori sulla sicurezza della Matousec.com hanno creato un ingegnoso attacco che riesce ad "entrare" in qualsiasi prodotto Windows e permette ad un qualsivoglia codice maligno di farsi strada dentro il vostro sistema. Avete letto bene - qualsiasi prodotto pensato per la sicurezza di Windows. La lista è enorme e fa riflettere: 3D EQSecure Professional Edition 4.2 avast! Internet Security 5.0.462 AVG Internet Security 9.0.791 Avira Premium Security Suite 10.0.0.536 BitDefender Total Security 2010 13.0.20.347 Blink Professional 4.6.1 CA Internet Security Suite Plus 2010 6.0.0.272 Comodo Internet Security Free 4.0.138377.779 DefenseWall Personal Firewall 3.00 Dr.Web Security Space Pro 6.0.0.03100 ESET Smart Security 4.2.35.3 F-Secure Internet Security 2010 10.00 build 246 G DATA TotalCare 2010 Kaspersky Internet Security 2010 9.0.0.736 KingSoft Personal Firewall 9 Plus 2009.05.07.70 Malware Defender 2.6.0 McAfee Total Protection 2010 10.0.580 Norman Security Suite PRO 8.0 Norton Internet Security 2010 17.5.0.127 Online Armor Premium 4.0.0.35 Online Solutions Security Suite 1.5.14905.0 Outpost Security Suite Pro 6.7.3.3063.452.0726 Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION Panda Internet Security 2010 15.01.00 PC Tools Firewall Plus 6.0.0.88 PrivateFirewall 7.0.20.37 Security Shield 2010 13.0.16.313 Sophos Endpoint Security and Control 9.0.5 ThreatFire 4.7.0.17 Trend Micro Internet Security Pro 2010 17.50.1647.0000 Vba32 Personal 3.12.12.4 VIPRE Antivirus Premium 4.0.3272 VirusBuster Internet Security Suite 3.2 Webroot Internet Security Essentials 6.1.0.145 ZoneAlarm Extreme Security 9.1.507.000 Altre versioni dei software succitati Altro software e prodotti che utilizzano kernel simili per la sicurezza. L'attacco è astuto ed è stato definito "bite-and-switch" (butta l'esca e connetti). Funziona in questo modo: un codice innocuo viene passato al software di sicurezza (l'antivirus) per la scansione, ma non appena verificato, lo stesso viene tramutato in codice dannoso. L'attacco funziona in modo anche più semplice con i sistemi multi-core, poiché i processori non tengono conto dei processi che sono in esecuzione su altri core. L'attacco, definito KHOBE (Kernel HOok Bypassing Engine), sfrutta un modulo Windows standard, denominato System Service Descriptor Table, o SSDT, che è collegato al kernel di Windows. Purtroppo, l' SSDT è di norma utilizzato da quasi tutti i software antivirus. Visita

12-05-2010, 13.14.43	#3
dino46 Newbie Registrato: 04-02-2008 Messaggi: 14	Vuoi vedere che gira gira Microsoft è riuscita a fare (magari per caso) una cosa ben progettata e ,soprattutto,regolarmente ben aggiornata? Come me penso siano motli quelli che usano Microsoft Security Essentials, visto che non sembrava in origine ne meglio ne peggio di altri, e che abilitano il suo aggiornamento automatico. Il mio PC scarica ogni giorno un file di aggiornamento che va dai 600KB ad 1,5MB. ___________________________________ Il Paradiso lo preferisco per il clima ma l' Inferno per la compagnia (M.Twain)

12-05-2010, 14.23.43	#5
retalv Forum supporter WT Expert Registrato: 13-03-2005 Loc.: Ultima stella a destra Messaggi: 2.809	Nulla di nuovo sotto il sole. Leggete questo articolo e tenete presente la data ... (parliamo di un po più di 6 anni fa...) http://marc.info/?l=bugtraq&m=107282353313951&w=2 Come al solito Matousec non ha perso l'occasione per farsi ridere dietro da tutta la rete e di confermare i nostri sospetti che potete leggere nei vecchi Threads sempre su questo forum. Purtroppo quei bischeri hanno conquistato una visibilità che gli permette di fare bello e brutto tempo dal lato commerciale della sicurezza e chi produce per questa oramai pensa quasi esclusivamente a fare i propri prodotti in modo da passare i loro test per essere tra i primi in graduatoria. Sul fatto che non compaiano titoli in lista e che perciò questi siano immuni al "problema" è tutto da dimostrare, considerato come si sono comportati in passato riguardo le classifiche... Ripetendomi, personalmente ho provato parecchi dei prodotti firewall presenti in lista, non ultimo di 5 giorni fa l'attuale primo in classifica, e con sommo dispiacere ho dovuto constatare che pur essendo migliorato a livello di usabilità teorica rimane una palla al piede nel normale contesto operativo. In altri termini, se devo stare a litigare con un prodotto di sicurezza al top teorico facendo fatica a far lavorare altro software che devo far convivere nella macchina (e parlo di cosette tipo: il programma pippo.exe ha tentato di accedere nell'area di memoria xxxxxxxx:xxxxxxxx che dovrebbe essere di sola lettura... per colpa di una architettura sandbox penosa) preferisco un pelo meno di sicurezza tangibile e una macchina che funziona come sempre ha fatto. Mi meraviglio che come primo in classifica con abbiano messo "Taglia il cavo del telefono Firewall SA" o "Tieni il computer spento Security" ... Augh, ho parlato! p.s. non me ne vogliano troppo i fruitori di Comodo... ___________________________________ L'uomo ha attraversato un'evoluzione complessa, dal DOS a Windows 7. Poi ... tutto è vago. Ultima modifica di retalv : 12-05-2010 alle ore 14.45.58

12-05-2010, 16.00.48	#6
SMH17 Hero Member Registrato: 24-11-2007 Messaggi: 1.076	ma è sempre la stessa storia si deve prima abboccarci all'esca ci sono in giro un finimondo di malware che sfuggono alle scansioni antivirus (spessissimo senza neanche usare metodi molto ingegnosi ma magari per il solo fatto che non sono stati ancora inclusi nelle definizioni) se si esegue un programma di dubbia provenienza con privilegi amministratore... ci credo che non si è sicuri il malware in questione sui sistemi successivi a Xp lo si deve eseguire con UAC disabilitata o con un bel click su "consenti" ___________________________________ mio sito

13-05-2010, 09.47.02	#8
Davide71 Forum supporter Registrato: 25-02-2001 Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :( Messaggi: 1.813	Semplice, non installate nessun antivirus ed il gioco è fatto............. bye ___________________________________ Un saluto ed un grazie per l'attenzione.

12-05-2010, 12.31.33	#2
Wanu Senior Member Registrato: 28-09-2009 Messaggi: 365	Nella lista manca il Microsoft Security Essentials... secondo voi a ragione oppure non è stato proprio considerato? E in aggiunta scusatemi, ma non è molto chiaro come il primo codice venga eseguito nel processore. Tempo fa la Apple disse che quello che allora sembrava l'unico virus su una piattaforma definita "protetta da virus" per architettura, in realtà non potesse essere considerato tale perchè l'utente doveva coscientemente decidere di eseguire il codice. Ora dalla descrizione sembra che eseguendo un codice tramite questa falla architetturale l'antivirus ritenga NON PERICOLOSO il codice stesso che si tramuta in un codice maligno subito dopo il controllo... la mia domanda è : COME VIENE SOTTOPOSTO IL PRIMO CODICE A WINDOWS? Se devo lanciarlo... alla fine non mi pare così astuto come metodo... se poi va creato un virus in grado di eseguire il virus stesso... Certo è un problema serio che andrebbe affrontato dalle software house antivirus prima ancora che da windows... In aggiunta mi chiedo la trasformazione come venga fatta... se il codice maligno è scritto da qualche parte sarà pure controllabile no? Ok si trasforma... ma la nuova versione dove la prende?

12-05-2010, 13.41.02	#4
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	http://www.matousec.com/info/article...y-software.php

12-05-2010, 16.28.20	#7
Semi.genius Guest Messaggi: n/a	Credo che Paul Ducklin abbia già detto come la penso: http://www.sophos.com/blogs/duck/g/2...-earth-shaker/

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail