Pericoloso exploit 0-day

[usu]

E' stata scoperta una falla di proporzioni epiche in un'API di Windows (tutte le versioni sono affette, a quanto si è capito) e l'exploit è già pubblico, rendendola di fatto una 0-day.

Sostanzialmente passando dei parametri volutamente malformati ad un'API si può eseguire codice arbitrario nello stack di win32k.sys, ovvero a livello di kernel, bypassando anche l'UAC (ovviamente, dato che quell'API non avrebbe senso che richiedesse privilegi elevati per essere accessibile, se non fosse buggata, quindi l'UAC ha poco a che vedere con la cosa). Con un apposito proof-of-concept è stato possibile assumere l'identità di NT-AUTHORITY\System da qualsiasi utente, anche non amministratore.

Che cosa fare finché Microsoft non rilascia la patch (si spera prima del patch day di dicembre)?
Per ogni utente "standard" del computer (che sia o meno parte del gruppo Administrators) che può capitare di usare, va eseguita questa operazione:
1. Aprire l'Editor di Registro di sistema: dal menu Start selezionare "Esegui" oppure scrivere regedit nella search bar di Vista/7 e premere invio. Confermare l'eventuale richiesta dell'UAC
2. Aprire la chiave HKEY_CURRENT_USER\EUDC
3. Fare click destro sulla chiave EUDC e selezionare Permessi, poi cliccare Avanzate
5. Seleziona il tuo nome utente, poi clicca su Modifica
6. Spuntare Nega per Creazione sottochiavi, Impostazione valore ed Eliminazione
7. Clicca su OK in tutte le finestre aperte, chiudi l'Editor del Registro di sistema, cambia utente (se ne hai più d'uno) e ripeti i passi 1-7 per tutti gli utenti

PS e per chiarezza: non mi assumo nessuna responsabilità se fate casini. Il procedimento io l'ho provato e non ho avuto problemi per ora, su Win7 x64.

Fonte: Hardware & Software | [Topic -Ufficiale] - Windows Seven ::ITASA FORUM::

La falla è presente su tutti i sistemi operativi da XP in poi, comprese le loro versioni server (sia x86 che x64). Marco Giuliani (Prevx) ha annunciato che sta lavorando con Microsoft per una patch, qualche info in più:
New Windows 0-day exploit speaks Chinese
Windows 0-day exploit: Q&A session

[andrea.paiola]

ma sono possibili attacchi da remoto o me ne posso fregare? a parte che comunque ci sarebbe il firewall...

[Uno]

ma sono possibili attacchi da remoto .

Ho sentito delle voci che è attaccabile anche attraverso i tubi di metano del riscaldamento di casa

[andrea.paiola]

Ho sentito delle voci che è attaccabile anche attraverso i tubi di metano del riscaldamento di casa

oh ma com'è che fai, quando va bene, un post su 10 in argomento?

e daje voglio solo capire se devo fare qualcosa o me ne posso sbattere: windows lo uso solo in ufficio e non uso software sconosciuti

[Alex]

paiola ma se gli attacchi non venissero da remoto mi preoccuperei ... non penso che tu sia così fesso da auto-attaccarti il tuo pc da locale

[Antonio]

paiola ma se gli attacchi non venissero da remoto mi preoccuperei ... non penso che tu sia così fesso da auto-attaccarti il tuo pc da locale

Il problema sono le penne usb con malware che potrebbero usare il bug.

Comunque il bug non è sfruttabile direttamente da remoto, quindi devi usare un altra falla exploitabile da remoto e poi questa.

[Uno]

Il problema sono le penne usb con malware che potrebbero usare il bug.

Il problema è windows

[andrea.paiola]

Il problema sono le penne usb con malware che potrebbero usare il bug.

ok allora sono al sicuro, non attacco mai roba non mia

[Antonio]

ok allora sono al sicuro, non attacco mai roba non mia

Ma la tua l'attaccherai al pc di qualcun altro no?

[andrea.paiola]

Ma la tua l'attaccherai al pc di qualcun altro no?

no, praticamente mai

al massimo ai pc di casa, che hanno su linux

[xAnder]

..pc linux che potrebbero avere un malware per windows pronto per essere trasferito su chiavetta e diffuso..

[andrea.paiola]

..pc linux che potrebbero avere un malware per windows pronto per essere trasferito su chiavetta e diffuso..

dubito seriamente