+ Discussione Chiusa
Pag 3 di 6 PrimaPrima 12345 ... UltimaUltima
Risultati da 51 a 75 di 149
  1. #51
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [13/02/2007]

    Word: Nuova Falla 0-Day "RCE"

    Security Advisory 933052McAfee Avert Labs BlogCVE-2007-0870

    A soli due giorni dal rilascio di due bollettini di sicurezza con relative patch a correzioni di 8 vulnerabilità zero-day nelle sue applicazioni Office, Microsoft ha pubblicato un nuovo Security Advisory (933052) per avvertire di clienti riguardo nuove segnalazioni pubbliche relative ad attacchi "molto limitati e mirati" che utilizzano una ennesima vulnerabilità di esecuzione codice in Microsoft Word con Office 2000 e Office XP.

    Patch Day Febbraio 2007 - Word: 0-Day, Novità e Filmato

    Si tratta di falla già segnalata da McAfee Avert Labs una settimana fa (CVE-2007-0870) che inizialmente sembrava interessare solo Word 2000 e che il colosso di Redmond aveva verificato come limitata ad un attacco Denial of Service. Una successiva e approfondita analisi effettuata da McAfee ha svelato che l'exploit di questo problema di sicurezza (inizialmente classificato come variante del codice Exploit-MS06-027) può invece essere sfruttato per eseguire codice da remoto su un sistema vulnerabile. Questa analisi è stata confermata da Microsoft che ha pubblicato immediatamente il nuovo Security Advisory. Il codice exploit per la falla può colpire a quanto pare anche Word XP, tuttavia, afferma Microsoft, la tecnica di attacco è tutt'altro che facile.


    Dal Security Advisory 933052: "Per sferrare l'attacco, è necessario che un utente apra un file Office dannoso allegato a un messaggio di posta elettronica o altrimenti fornito da un utente malintenzionato. È buona norma essere molto cauti nell'aprire allegati non richiesti o di dubbia provenienza. Microsoft ha aggiunto informazioni sul rilevamento nel Windows Live OneCare Safety Scanner per la rimozione di malware che tentano di sfruttare questa vulnerabilità. Microsoft inoltre intende condividere le informazioni in suo possesso con i partner Microsoft Security Response Alliance in modo da poter rilevare e risolvere più prontamente eventuali attacchi. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. Una volta completate le ricerche, Microsoft intraprenderà l'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo".

    Microsoft evidenzia che vulnerabilità non può essere sfruttata in Office 2007, Office 2003 o Word 2003 Viewer. Inoltre in uno scenario di attacco un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Infine, non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica. Agli utenti che hanno installato e utilizzano lo strumento Richiesta di conferma all'apertura dei documenti per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento.

    Microsoft non ha rilasciato workaround particolari e si limita a raccomandare ai clienti di non aprire o salvare file Office provenienti da fonti non attendibili o ricevuti inaspettatamente da fonti attendibili.

    Nell'ambito del Patch Day di due giorni fa, Microsoft ha rilasciato ben 12 bollettini di sicurezza per correggere 20 falle nei suoi software (7 bug zero-day di cui 5 relativi a Microsoft Office). Con i due aggiornamenti di protezione per la suite Office, Microsoft aveva corretto finalmente una serie di vulnerabilità di esecuzione codice che stavano venendo sfruttate in attacchi zero-day. Microsoft Word è stato preso di mira nelle scorse settimane da almeno quattro diversi attacchi zero-day legati a vulnerabilità nel codice software, corrette ora con [MS07-014] (in tutto 6 diverse falle). Recentemente inoltre sono emerse segnalazioni relative ad attacchi "zero-day" che utilizzano una vulnerabilità in Microsoft Office, sfruttata prevalentemente via Excel (CVE-2007-0671), ora corretta con [MS07-015] (include anche un fix per PowerPoint - CVE-2006-3877

  2. #52
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]

    Router a Rischio Drive-By Pharming
    LINK: Commento di Symantec (blog) Driveby Pharming PDF

    In un recente studio congiunto, i ricercatori di Symantec e della Indiana University School of Informatics hanno descritto un nuovo tipo di attacco informatico, chiamato Drive-By Pharming. La tecnica cybercriminale prevede la creazione di un sito web che, quando visualizzato dall'utente vittima, si occupa di modificare la configurazione dei dispositivi router, home broadband o wireless, vulnerabili.

    Questo tipo di exploit sfrutta Javascript per accedere alla configurazioni dei router (Cross Site Request Forgery) che presentano le password di accesso predefinite (spesso "admin" e "password") e quindi sulle impostazioni DNS. Le funzioni DNS sono come la rubrica telefonica di Internet, cioè si occupano di mappare indirizzi testuali in indirizzi numerici IP per consentire le comunicazioni web. Un attacker è quindi in grado di guadagnare il controllo completo sulle sessioni di navigazione Web dell'utente attaccato, e quindi di dirigerli ai siti malintenzionati di loro creazione (indipendentemente dall'indirizzo web digitato nel browser) per rubare informazioni personali.


    I ricercatori sono stati in grado di creare una singola pagina web capace di eseguire l'exploit di questa debolezza sulle tre marche di router più popolari, Linksys, D-Link, e Netgear. Bisogna notare che questa "falla" non affligge una singola macchina, ma tutti i PC che sfruttano il router per connettersi alla rete. Zulfikar Ramzan, ricercatore di Symantec, commenta: "è possibile creare un sito web che attacchi tutte le marche di router. La mia impressione è che si tratti solo di una questione di tempo prima che i phisher inizino ad usare questa tecnica … Credo che questo attacco possa avere serie e diffuse implicazioni ed affliggere molti milioni di utenti in tutto il mondo … Fortunatamente allo stesso modo è facile difendersi da questo attacco".

    I ricercatori di sicurezza evidenziano le seguenti ragioni per le quali questo tipo di attacco potrebbe avere un impatto su un gran numero di utenti della rete: 1. Tutto quello che bisogna fare per diventare vittime di questo attacco è visitare un sito web che ospita codice nocivo. Non si dovrà premere OK su nessuna finestra di dialogo o scaricare ed installare software malizioso. Basta visitare la pagina in questione per avviare il payload dell'attacco. 2. Molte persone non modificano la password predefinita dei loro router home broadband. Infatti secondo alcuni studi, il 50 percento degli utenti rientrano in questa categoria. 3. molte persone hanno attivo Javascript nei loro web browser (secondo alcuni studi il 95% degli utenti internet). Gran parte dei siti web fanno uso di questa tecnologia che risulta necessaria per il loro corretto funzionamento.

    Ramzan raccomanda da tutti gli utenti che non hanno modificato la password predefinita del proprio router, di effettuare questa operazione immediatamente. Inoltre, come sempre, è consigliabile non visitare nessun sito "che non è riconosciuto almeno come affidabile". Bisogna evidenziare che anche le aziende produttrici di dispositivi di networking citate raccomandano ai loro clienti di modificare le password predefinite durante l'installazione degli stessi. Sul suo sito Web, Linksys avverte: "I cybercriminali conoscono queste password predefinite e tenteranno di accedere ai vostri dispositivi wireless per modificare le impostazioni di rete. Per evitare qualsiasi modifica non autorizzata, personalizzate la password del vostro dispositivo in modo che sia difficile da indovinare". Tuttavia spesso gli utenti meno esperti collegano i loro router senza effettuare questa necessaria procedura di sicurezza, lasciando le impostazioni predefinite intatte, e la maggior parte dei setup di prodotti sul mercato non richiedono nessuna interazione da parte dell'utente per la messa in opera dei dispositivi e per ottenere accesso alla rete.

    Le varie aziende offrono informazioni dettagliate su come modificare la password del router sui loro rispettivi siti web. (D-Link - Linksys - NETGEAR).

  3. #53
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]

    "Storm" Trojan Torna via IM
    LINK: Dorf Trojan @ SophosTROJ_SMALL.EDW @ Trend Micro

    Il worm "Storm", conosciuto anche come Storm Trojan, "Dorf" o "Peacomm", che il mese scorso ha colpito su vasta scala diffondendosi via spam in tutto il mondo, con svariante ondate di attacchi e varianti, sembra aver "attaccato" un nuovo fronte, sfruttando nuove capacità di propagazione via instant messaging.

    Secondo quanto riporta eWeek, sono state isolate alcune nuove varianti di questo codice malware che sfruttano programmi come AOL Instant Messenger, Google Talk e Yahoo Messenger, per diffondersi tra i computer. Il worm rileva le sessioni di chat ed invia un messaggio IM con un link ad un sito web che ospita il codice nocivo. Se l'utente clicca sul link untore subisce l'infezione. Il worm si presenta con un messaggio apparentemente innocuo, tipo "Is it about you?" + link.

    Sophos Top Ten Gennaio 2007 - Storm Worm Attacca su Vasta Scala


    Jose Nazario, software e security engineer di Arbor Networks, commenta: "I gestori delle botnet inietteranno periodicamente nuovi comandi in questa rete peer-to-peer, e una delle prime mosse è quella di ordinare alle macchine infette di scaricare svariati eseguibili … tra questi vi sono i binary aggiornati e altre componenti usate per attacchi DDoS [distributed denial of service], spam, e altro, compreso un rootkit in grado di nascondere la presenza del malware … Gli operatori stanno modificando continuamente la configurazione delle macchine per eludere firewall e filtri".

    Il codice era stato battezzato "Storm" perché la prima ondata di attacco spam su vasta scala aveva sfruttato come vettore di social-engineering, con grande tempismo, le notizie sul ciclone Kyrill, che ha colpito il Nord Europa in maniera drammatica verso fine Gennaio.

    Inoltre gli esperti hanno verificato che il codice è stato programmato per colpire con attacchi DoS popolari siti anti-spam ed anche i server usati dai malware rivali. La guerra fra diversi team di malware writer non è certo una novità in questo particolare settore della sicurezza informatica (ricordiamo per esempio la faida Mydoom vs Netsky). Tuttavia lo scontro tra Storm e Warezov, un altro popolare e recente mass-mailing worm, sembra svolgersi su un terreno diverso rispetto dal passato, esternamente alle macchine infette. Nazario commenta: "Invece di colpire le stesse postazioni infette, gli autori di questi codici hanno scelto di lanciare attacchi DDos contro le rispettive basi operative … Inoltre hanno scelto di lanciare attacchi DDoS a grande impatto contro aziende impegnate nella lotta anti-spam e anti-criminale, tra cui Spamhaus. Queste due reti malware sembrano specificatamente progettate per fare spam e quindi le iniziative anti-spam ostacolano il loro obiettivo primario di spam delivery".

    Gli attacchi malware che usano i software IM si sono moltiplicati negli ultimi anni. Secondo uno studio dell'azienda di sicurezza Akonix Systems nel 2006 sono stati isolate ben 406 nuove minacce IM-borne, un dato che va paragonato a quello dei 347 attacchi rilevati dalla stessa azienda nel 2005. Secondo le previsioni di Akonix il numero di attacchi IM dovrebbe aumentare ancora durante il 2007. Secondo Nazario, sebbene il numero di worm specificatamente programmati per sfruttare le reti IM si sia ridotto negli ultimi tempi, è cresciuto di contro il numero di worm "multivettore", capaci cioè di propagarsi anche tramite questo canale di distribuzione.

    IM Worms: Hotmatom e Maniccum - Allerta Fake MSN 8: è un Worm IM

    Per proteggersi da questo tipo di attacchi gli utenti dovrebbero configurare i loro client IM in modo da ignorare i messaggi provenienti da persone esterne alla propria lista contatti. Ad ogni modo vale sempre la buona norma di sicurezza di prestare particolare attenzione ai messaggi ricevuti inaspettatamente (come per le e-mail).

  4. #54
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]

    Firefox: Falla Cookie/Same-Domain
    LINK: Advisory full-disclosureTest CaseBugZilla 370445

    Michal Zalewski, noto ricercatore di sicurezza e hacker, ha segnalato e descritto due giorni fa una vulnerabilità di sicurezza critica in Firefox 2.0.0.1, la versione più recente del famoso browser open-source. Il problema di sicurezza interessa anche le versioni precedenti del software di Mozilla. La falla potrebbe consentire ad un sito malintenzionato di "impersonare" un sito autentico ed impostare per conto di quest'ultimo un cookie sulla macchina attaccata e nell'ambito di attacchi cross-window e cross-frame di compromettere le informazioni scambiate tramite Ajax.

    Firefox 1.5.0.9: Falla per "Popup" - Altre

    Zalewski afferma nel suo advisory full-disclosure: "Esiste un seria vulnerabilità in Mozilla Firefox, verificata nella versione 2.0.0.1, che quasi certamente interessa tutte le più recenti versioni del prodotto. Il problema risiede nel modo in cui Firefox gestisce le scritture della proprietà DOM 'location.hostname'. Tramite l'uso di uno script è possibile impostare questa proprietà ad un valore che non sarebbe altrimenti accettato come hostname durante il parsing di un URL regolare, includendo un stringa che contiene \x00. Facendo questo si provoca un particolare comportamento: internamente, le variabili stringa DOM sono NUL-terminated, e quindi la maggior parte dei controlli considerano un fantomatico 'evil.com\x00foo.example.com' come parte del dominio *.example.com. Il risolutore DNS, tuttavia, e gran parte del restante codice del browser, operano invece su stringhe ASCIZ native a C/C++, trattando l'esempio precedente come 'evil.com'. Questo permette a evil.com di modificare la proprietà location.hostname come descritto, ed inviare la richiesta HTTP risultante sempre a evil.com. Una volta caricata la nuova pagina, l'attacker sarà in grado di settare un cookie per *.example.com ed eventualmente manomettere il document.domain di conseguenza, in modo da bypassare la policy "same-origin" per XMLHttpRequest e accesso dati cross-frame/cross-window".


    Zalewski ha anche reso disponibile una pagina di test che permette di verificare il funzionamento dell'exploit e la presenza della vulnerabilità nel browser. Dopo aver eseguito il PoC è possibile verificare l'esistenza del cookie coredump.cx (Strumenti – Opzioni – Privacy – Mostra Cookie). Per funzionare l'exploit necessita che il browser abbia Javascript attivo ed accetti cookie di sessione. Secondo Zalewski l'impatto di questa falla di sicurezza potrebbe essere alquanto grave: siti nocivi sono in grado infatti di manipolare i cookie di autenticazione di pagine third-party, e, bypassando la policy "same-origin", di modificare funzionamento e visualizzazione di questi siti.

    Zalewski ha segnalato il problema al team Mozilla, che ha immediatamente aperto una pratica bug su BugZilla (370445). Nel giro di poche ore gli sviluppatori hanno già prodotto il codice necessario per la correzione del problema e poco fa il bug è stato segnato come "risolto" ed il fix è stato integrato nel trunk e nei rami di codice 1.8.0.10 e 1.8.1.2. Vista la gravità del problema, il fix sarà già reso disponibile con le imminenti "security release" per Firefox 1.5 e 2.0, rispettivamente gli aggiornamenti 1.5.0.10 e 2.0.0.2, attualmente previsti per il 21 Febbraio prossimo. In questo caso potrebbe esserci un ulteriore lieve delay sulla schedule di release considerato che il test sulle RC non aveva evidenziato stopper bug e che era già stato avviato il processo di realizzazione delle build l10n.

    Nel frattempo il team di Mozilla suggerisce un workaround temporaneo di protezione: Digitate about:config nella barra degli indirizzi per accedere alle preferenze avanzte del borwser; Cliccate con tasto destro del mouse su qualsiasi voce e selezionate Nuovo->Stringa; Scegliete capability.policy.default.Location.hostname.set come nome dell'impostazione; Inserite come valore noAccess; Riavviate Firefox.

    Ricordiamo che dopo 1/2 settimane dal rilascio di Firefox 1.5.0.10 e 2.0.0.2, Mozilla offrirà anche, agli utenti Firefox 1.5.x, il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x. Mozilla ha già da tempo annunciato che Firefox 1.5.x sarà supportato solo fino al 24 Aprile prossimo, successivamente non saranno più rilasciati aggiornamenti di protezione e stabilità per questa versione del prodotto.

  5. #55
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]

    Poste Italiane, Banca Intesa e Paypal: esplode il phishing italiano


    Siamo in piena tempesta e le previsione per il futuro non sono delle migliori. Scusate il riferimento meteorologico, ma diversamente non potrebbe essere spiegata l’attuale situazione del phishing italiano, che si arricchisce nelle ultime ore di tre nuovi casi rispettivamente ai danni di Poste Italiane, Banca Intesa e Paypal Italia.

    Ad accomunare i tre casi, tuttavia, ci pensa il classico italiano tradotto frutto di software di traduzione automatici, in grado di alleggerire il livello di pericolo, visto che per Banca Intesa i phisher hanno utilizzato la stessa e-mail impiegata lo scorso 11 febbraio contro il gruppo Poste Italiane, mentre per Paypal Italia i truffatori hanno dato vita ad una delle peggiori e-mail e sito clone mai visti.

    L’e-mail truffa di Poste Italiane, Banca Intesa e Paypal:

    Caro PayPal Member



    Attenzione! Il vostro cliente di PayPal ? stato violato!

    Qualcuno con il IP address 195.62.225.87 provato per accedere al vostro
    cliente!

    Scatti prego il collegamento qui sotto ed entri nelle vostre
    informazioni di cliente per confermare che non siete attualmente. Avete
    2 giorni per confermare le informazioni di cliente o il vostro cliente sar? locked.



    Per ottenere Iniziato, Scattisi Prego Sopra

    Attivi Il Vostro Accesso Di Cliente Di PayPal.



    Questo email ? stato trasmesso dall'assistente in linea di PayPal per
    verificare il vostro indirizzo di E-mail. Ci? ? fatta per la vostra
    protezione, perch? alcuni dei nostri membri pi? non avranno accesso
    alle loro operazioni bancarie in linea e dobbiamo verificarli.

    Squadra Di Sicurezza Di PayPal

    PayPal Inc.


    Non risponda prego a questo E-mail. La posta trasmessa a questo
    indirizzo non pu? essere risposta a.


    I siti clone. Il dominio banco-posta-online.com non è più raggiungibile.


  6. #56
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]

    Live Messenger Offre Malware
    Il software malware conosciuto comunemente come Winfixer, o Errorsafe, è stato distribuito tramite i banner pubblicitari che appaiono su Live Messenger. Questo grave problema è stato segnalato a Microsoft e team del colosso che si occupa della piattaforma di advertising ha indagato sull'accaduto ed ha prontamente rimosso gli annunci "nocivi".

    Microsoft ha rilasciato anche un comunicato ufficiale a riguardo: "Microsoft è stata avvertita del fatto che alcuni malware sono stati distribuiti tramite gli annunci mostrati nei banner di Windows Live Messenger. Come risultato della notifica abbiamo immediatamente indagato sulla segnalazione e abbiamo rimosso gli annunci nocivi che violavano la nostra policy di servizio. Siamo in grado di confermare che questi annunci non vengono più mostrati in alcun sistema Microsoft. Ci scusiamo dell'inconveniente e stiamo rivalutando il nostro processo di approvazione degli annunci per ridurre la possibilità che simili problemi si verificano nuovamente. Per aiutare i clienti a proteggere i loro PC dalle minacce malware, Microsoft raccomanda ai clienti di seguire le nostre linee guida di protezione, disponibili all'indirizzo www.microsoft.com/protect".


    I banner incriminati pubblicizzavano "Errorsafe", una applicazione che afferma di essere in grado di rilevare e riparare i problemi dei computer. Questo software è famoso, negativamente, perché spesso si installa nei PC senza il permesso degli utenti, e perché mostra falsi avvisi di sicurezza intesi a persuadere gli utenti ad acquistare un copia licenziata del software. La maggior parte dei vendor di sicurezza classifica Errorsafe, ed i software correlati come Winfixer, come Potentially Unwanted Program (Programmi potenzialmente indesiderati) o comunque ad un certo di livello di rischio di sicurezza.

    Sandi Hardmeier, una Microsoft Most Valuable Professional, commenta sul suo blog Spyware Sucks: "Questa è una notizia molto brutta per gli utenti di Messenger, per MSN e Microsoft. Chi legge il mio blog regolarmente sa che mi sono molto impegnata nella lotta contro Winfixer, scrivendo di coloro che hanno tentato di infettare vittime tramite lo Sponsor Program di Messenger Plus!, o Activewin e MySpace. Non riesco ad esprimere quanto sia irritata ed infastidita e preoccupata da quello che è successo … Per anni ho presentato gli annunci di MSN Messenger come esempio di come la pubblicità possa essere distribuita in maniera sicura agli utenti finali senza esporli a rischio di attacchi malware … Oggi sembra tutto cambiato. Gli utenti sono stati messi a rischi diretto senza errori da parte loro e del resto non posso escludere i banner di Messenger quando aprono la loro finestra dei contatti, se non usando un hack third-party, eticamente scorretto". Hardmeier afferma di aver visto due tipi scenari di attacco nei quali i "bad guy" hanno tentato di installare Winfixer sui PC tramite gli annunci di Messenger: uno prevede un messaggio pop-up che appare senza alcuna interazione da parte dell'utente; l'altro richiede invece all'utente di cliccare sull'annuncio e di visitare una pagina web, e scaricare manualmente un installer". Hardmeier consiglia a tutti gli utenti di MSN Messenger di scaricare ed installare il file HOSTS di Mike Burgess che iuta a proteggersi da winfixer e da altri malware. Ulteriori informazioni e screenshot nel blog post di Hardmeier.

    Gli esperti di sicurezza da tempo ormai hanno indicato gli annunci pubblicitari come potenziale nuovo vettore di attacco per la distribuzione di malware e codici exploit per le vulnerabilità software. I banner infatti offrono agli autori di malware un modo per piazzare codice d'attacco su siti web o servizi mainstream, normalmente classificati come affidabili e sicuri. Il nuovo incidente di Windows Live Messenger arriva a conferma di questa nuova minaccia.

  7. #57
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]

    KB927891: Un Fix del Fix per WU

    MSKB 927891MSKB 916089Update XP SP2 KB927891-v2-x86-ITA

    Microsoft ha rilasciato un aggiornamento per un hotfix reso disponibile già precedentemente che correggeva un problema specifico di consumo delle risorse CPU durante l'esecuzione dello scan Windows Update per gli aggiornamenti delle applicazioni che usano Windows Installer (MSI) 3.1, tra cui gli update di Microsoft Office.

    L'hotfix originale (916089) risolveva una serie di problematiche che potevano verificarsi eseguendo il servizio di aggiornamento di Microsoft, incluso un errore nel registro eventi relativo a svchost.exe.


    Questi problemi potevano verificarsi sul sito Microsoft Update, su Aggiornamenti Automatici tramite Internet o via Windows Server Update Services (WSUS), con Microsoft Systems Management Server Inventory Tool per Microsoft Updates (SMS ITMU), con Microsoft Baseline Security Analyzer (MBSA), e con qualsiasi applicazione che esegue uno scan di aggiornamento usando il file CAB offline (Wsusscan.cab) che sfrutta Windows Update Agent (WUA).

    Tuttavia, Microsoft ha verificato la possibilità per gli utenti di incorrere, dopo aver installato il pacchetto hotfix 916089, in un altro simile problema, sempre durante l'installazione di un update da Windows Update o Microsoft Update: il crash del processo Svchost.exe che esegue Windows Update e conseguenti errore di violazione di accesso e blocco dei servizi Server e Workstation. Per questo motivo ieri il colosso ha rilasciato un hotfix aggiornato 927891 che rimpiazza quello precedente. Questo nuovo update aggiorna il file Msi.dll (ed eventualmente Wmsi.dll) del sistema ed è disponibile per Windows Server 2003 e Windows XP nelle varie piattaforme.

    Download: Windows Server 2003 | Itanium | x64 Edition - Windows XP | x64 Edition

    Articoli MSKB: 916089 (KB originale) - 927891 (nuova KB)

  8. #58
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]

    Windows Defender "Sotto Schiaffo"

    Comunicato PC ToolsWindows DefenderSpyware Doctor

    Un'altra azienda rivale di Microsoft nel campo della sicurezza ha pubblicato i risultati di uno test da cui emerge che Windows Defender, il software antispyware del colosso, integrato nel nuovo Windows Vista, è stato capace di bloccare solo un percentuale ridotta dei malware testati.

    Secondo il test, condotto da Enex TestLab, ma sponsorizzato dal vendor australiano PC Tools, Defender è riuscito a rilevare e bloccare solo il 46.6% dei codici spyware usati come campione durante la sua funzione di quick scan, ed il 53.4% sfruttando la scansione più lunga completa. A confronto, secondo Enex, il prodotto di punta di PC Tools, Spyware Doctor, si è comportato significativamente meglio nel test, bloccando l'83% degli spyware in quick scan e l'88.7% in scansione full.

    Webroot Critica Windows Defender - Live OneCare Fallisce Test "VB100"


    Il mese scorso anche Webroot Software aveva criticato la tecnologia di protezione antispyware integrata in Windows Vista, definendola "inefficace e debole". Webroot aveva condotto un test simile a quello di Enex, sfruttando in proprio campione di codici nocivi. Un team di Webroot ha testato Defender con una serie di Trojan horse, adware, keylogger, system monitor, ed altri programmi non desiderati, tutti provenienti da minacce in-the-wild. Gerhard Eschelbeck, chief technology officer di Webroot, aveva affermato: "Se si guarda ai dati, questi parlano da soli … Defender non ha bloccato l'84% dei malware testati. Questo non è il livello di performance che gli utenti desiderano". Spy Sweeper di Webroot al contrario del software di Microsoft aveva bloccato il 100% di queste minacce. Maggiori dettagli sulle affermazioni di Webroot sono disponibili nella precedente news dedicata.

    PC Tools riserva invece un commento diretto ad entrambi i rivali, Webroot e Microsoft. Simon Clausen, PC Tools CEO, afferma: "Pur essendo d'accordo con Webroot nel concludere che la sicurezza di Vista non è sufficiente, il loro approccio contraddice fondamentalmente le regole dell'analisi statistica, e chiaramente produce un risultato sleale … Scegliendo a mano il set campione, è facile ottenere i risultati che più si desidera. Sarebbe stato anche possibile mostrare una capacità di rilevamento dello 0% per Vista … Abbiamo voluto provare attraverso una recensione indipendente e leale che la protezione anti-spyware di Vista è infatti inadeguata, e potrebbe dare vita ad un falso senso di protezione ai clienti".

    Secondo Clausen, è stata Enex Testlab, non PC Tools, a scegliere i codici spyware ed adware da usare come test, descritti come "minacce spyware real-world in circolazione durante il 2006", per provare vari software tra cui Windows Defender e Spyware Doctor.

    Matt Tett, Senior Test Engineer di Enex TestLab, commenta: "Abbiamo dato uno sguardo a vari vendor antispyware nel tempo per determinare il livello attuale di accuratezza nella protezione contro le minacce spyware nel 2006. Questi risultati mostrano che Vista richiede maggiore lavoro per proteggere gli utenti. I vendor di sicurezza third party, in particolare nel settore anti-spyware, rimangono una componente essenziale per ottenere tale protezione".

    Vari analisti hanno da tempo previsto la fine dei software stand-alone anti-spyware, a causa di Windows Defender, gratuito ed integrato in Windows Vista, e della release di suite all-in-one, da parte di aziende come Symantec e McAfee, che integrano anche rilevamento spyware.

    Microsoft non ancora commentato ufficialmente i risultati dei test resi pubblici dalle due aziende rivali.

  9. #59
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]

    Le truffe, colpa anche degli utenti di home banking


    Un vecchio detto recita "Chi è causa del suo male, pianga se stesso" e sembra proprio calzare guardando i dati che emergono da una sondaggio a campione condotto dall’ Osservatorio Nazionale sulla sicurezza informatica, sui possessori di conti di home banking. I quale nel 60% dei casi navigano in Rete senza le opportune precauzioni, ormai indispensabili, esponendosi di conseguenza alla nuova generazione di truffatori digitali. Ecco i dati emersi:


    L’Osservatorio Nazionale sulla sicurezza informatica ha effettuato nel periodo di gennaio e febbraio 2007 un sondaggio su di un campione di 200 utenti home user’s (utenti domestici) e 100 business user’s che utilizzano regolarmente l’internet banking. I dati emersi sono davvero preoccupanti, soprattutto in considerazione all’esponenziale aumento di questa forma di utenza on line.

    Dal sondaggio è emerso che:

    UTENTI HOME USER’S
    - di 200 utenti home user’s intervistati il 90% è a conoscenze dei rischi della rete, mentre il 5% non sapeva dei pericoli
    - sempre di questi 200 utenti 60% usano sistemi operativi non aggiornati o fuori produzione, come ad esempio windows 95
    - 88% ha installato regolarmente un antivirus, ma non sa dire se e con frequenza viene aggiornato
    - il dato sicuramente più preoccupante è dato dal fatto che solo il 60% di questi utenti ha istallato un firewall

    UTENTI BUSINESS
    - di 100 utenti Business, intervistando i security manager tutti sono a conoscenza dei pericoli
    - di questi 100 utenti, il 65% ha installato sistemi operativi fuori produzione, riconoscendone l’elevato rischio, ma affermando che i budget per il cambio con hardware e sistemi operativi più recenti non vengono concessi
    - il 100% ha installato un antivirus
    - il 100% ha installato firewall, ma di questi un 22% usa ancora firewall di vecchia generazione
    - Tutti i security manager sono a conoscenza dei rischi della rete, e vorrebbero una collaborazione più attiva sul fronte della security con le banche

    “ Dall’indagine da noi effettuata emerge che in sostanza circa il 60% degli intervistati quando si connette alla sua banca rischia di far intercettare i propri dati e quindi di essere vittima di una frode. – ha dichiarato Mirko Gatto, di Yarix – Il fatto e’ che fino ad oggi la sicurezza delle transazioni on line si e’ concentrata sulla “blindatura” dei siti delle banche, che infatti oggi possono essere ritenuti sicuri. Il fatto e’ che invece la falla della sicurezza e’ tutta nei pc degli utenti, che sono spesso esposti ad attacchi di ogni genere e con scarse difese.”

    “ Il recente decreto Bersani ha ampliato parecchio il ricorso all’home banking soprattutto da parte delle piccole imprese e dei professionisti, che fino ad oggi vi avevano ricorso poco. E sono soprattutto loro le prede preferite dai truffatori on line, perché spesso sono i meno attrezzati sul fronte della sicurezza” – ha continuato Gatto.

    L’Osservatorio e Yarix hanno anche diffuso un piccolo decalogo per la sicurezza dell’home banking:

    1: Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica o via sms
    2: Non visitare mai i siti web ciccando direttamente nell’url ricevuto nella mail, ma digitare il rispettivo URL nella barra degli indirizzi
    3: Verificare che il sito Web utilizzi la crittografia (https:// )
    4: Esaminare regolarmente i conti bancari e della carta di credito, e ove l’istituto fornisca il servizio di ricezione sms per ogni movimento, attivarlo
    5: Denunciare immediatamente eventuali sospetti di furto di informazioni
    6: Usare sistemi operativi aggiornati
    7: Usare antivirus e aggiornarli con cadenza giornaliera
    8: Usare firewall
    9: Non collegarsi mai da HOTSPOT, INTERNET CAFFE’ ETC ETC per fare consultare e fare transazione on-line
    Non fidarsi.

  10. #60
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]

    Phishing: 5 attacchi in tre giorni contro Poste Italiane ed eBay


    L’escalation di truffe ai danni degli utenti italiani sembra non finire, anzi, piazza tre nuovi tentativi di phishing ai danni del gruppo Poste Italiane nella sola giornata di oggi, i quali si vanno a sommare ad un ulteriore caso avvenuto nella giornata di ieri, ed al ritorno del phishing contro eBay Italia apparso lunedì.

    Il tutto ad alimentare una situazione di per se bollente, tanto da costringere lo stesso gruppo romano a correre ai ripari, pubblicando un’apposita guida video allo scopo di istruire ed informare i propri clienti sul rischio truffe digitali e come riconoscerle. (guarda)

    Intanto sul piano tecnico i phisher sfoderano una nuova e-mail, la quella presenta sempre il medesimo testo già visto in ulteriori occasioni e qualche elemento grafico in meno, prelevato sempre in maniera fraudolenta dal sito Poste.it

    Per eBay Italia, invece la minaccia arriva dalla classica e-mail, dall’italiano tradotto e graficamente improponibile, la quale smorza (fortunatamente) il livello di pericolo.

    Le e-mail truffa:


    I siti clone ospitati in Francia, Stati Uniti ed Italia. Del sito italiano non si dispone di un immagine, visto che il suo periodo d’attività è stato brevissimo grazie al rapido intervento delle autorità competenti.

  11. #61
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    BootMerlin Worm Modifica Boot.ini

    W32/BootMerlin @ McAfeeBootMerlin @ Secunia

    McAfee ha scoperto e descritto un nuovo codice malware, chiamato W32/BootMerlin, che, pur non costituendo un pericolo particolare (classificato ad un rischio basso), presenta una particolarità cioè si occupa di modificare il Boot.ini delle macchine Windows infettate.

    BootMerlin è stato programma in Visual Basic probabilmente da un virus-writer di lingua spagnola.

    Il worm è un "network walker" che colpisce le workstation modificando il file C:\Boot.ini dei sistemi infetti in modo tale che al riavvio della macchina vengono mostrati alcuni messaggi in spagnolo Anti-Windows o Anti-Microsoft. All'esecuzione il worm può anche mostrare una animazione Wizard modificata sempre in questo senso. BootMerlin crea delle copie di se stesso, camuffandole con l'icona dei documenti Word, sui dischi locali e di rete presenti nel sistema. Il codice nocivo è in grado di infettare altri sistemi usando gli stessi dischi di rete.


    McAfee riporta i seguenti file e location usati dal worm (X è la lettera del disco usato sulla machina infetta e %Windir% è il riferimento alla cartella di sistema):

    %Windir%\System\csrss.exe
    %Windir%\System32\dllcache\G-Vulcan-III.exe
    X:\Recuerda que te quiero.exe
    X:\LINEAS TELEFONICAS SIJIN VIEJA.exe
    X:\PODER SALDARRIAGA1.exe
    X:\SOLICITUD A MI GENERAL.exe
    X:\SEGURO BTA EQUIPOS.exe
    X:\CURSO CONSTITUCIONAL.copia.exe

    Ricordiamo che esiste un file csrss.exe "legittimo" che si trova nella cartella %Windir%\System32 e che fa parte del sistema operativo Windows.

    Il worm crea anche la segeunte chiave di registro per autoeseguirsi al boot del sistema:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\ "WinSound" = "%Windir%\System\csrss.exe"

    Ricapitolando, i sintomi di infezione da BootMerlin sono: 1. animazione Wizard con messaggi in spagnolo anti-Microsoft; 2. modifica del file C:\Boot.ini; 3. messaggi Anti-Windows o Anti-Microsoft mostrati dal Windows Boot Manager durante il boot; 4. presenza dei file menzionati precedentemente; 5. presenza della chiave di registro e della entry di boot WinSound.

    I messaggi che appaiono al boot possono essere eliminati ripristinando il contenuto del file Boot.ini precedente all'infezione. Per farlo si può usare un editori di testo. Per esempio:

    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="AUN Usas Windows..?"/fastdetect

    dovrà essere modificato in:

    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="{nome sistema}" /fastdetect {ozpioni}

    Attualmente in rete non sono disponibili ulteriori descrizioni ed informazioni sul worm.

  12. #62
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    Falla RCE in Office Publisher 2007
    LINK: Advisory di eEye Digital Security

    L'azienda di sicurezza eEye Digital Security ha scoperto una prima presunta vulnerabilità nella nuova suite di produttività Microsoft Office 2007 che ha debuttato meno di un mese fa sul mercato retail.

    eEye ha pubblicato un advisory sul suo sito web per segnalare la scoperta di una vulnerabilità "sfruttabile da remoto" che affligge il software Office Publisher 2007. Microsoft ha ricevuto notifica del problema di sicurezza il 16 Febbraio scorso. La falla permetterebbe ad attacker di eseguire codice arbitrario da remoto nel contesto dell'utente loggato al sistema. Ross Brown, CEO di eEye, afferma che l'azienda ha classificato il problema ad un rischio "alto" di sicurezza, tuttavia ha aggiunto che Microsoft molto probabilmente classificherà la vulnerabilità come "critica". Finora comunque non sono stati isolati codici exploit che tentano di sfruttare la falla in questione.

    eEye, non ha reso pubblici ulteriori dettagli sulla vulnerabilità e non hanno spigato quale sia la componente di Publisher affetta. I ricercatori temono infatti che questo tipo di informazioni possano aiutare i cybercriminali nella creazione di un exploit, cosa che aggraverebbe notevolmente il rischio per gli utenti finali del nuovo software. Brown commenta: "Ripongo (in Microsoft) grande fiducia per l'innalzamento del loro livello di reazione al problema … Tuttavia una cosa è avere un falla, una cosa è avere un falla di controllo remoto. Tramite la loro iniziativa di trustworthy computing hanno implementato processi per la verifica della qualità del codice. Trovare un vulnerabilità di controllo remoto in un prodotto così recentemente rilasciato è stata una grande sorpresa per i nostri ricercatori". Andre Derek Protas, un security researcher di eEye, ha affermato che la speranza di trovare un livello di protezione più alto nella nuova versione di Office, oggi è minore: "Direi che abbiamo a che fare con lo stesso livello di protezione che abbiamo visto in Office 2000 e Office 2003".


    Un portavoce di Microsoft ha confermato che il colosso sta analizzando le segnalazioni sua una possibile vulnerabilità in Microsoft Publisher 2007: "Microsoft non è attualmente a conoscenza di alcun attacco che tenta di sfruttare la vulnerabilità segnalata o di ulteriore impatto per i clienti … Microsoft continuerà a lavorare con eEye per comprendere ulteriormente la segnalazione come parte del nostro processo standard MSRC e fornirà ulteriori dettagli e linee guida per i clienti qualora necessario".

    Ricordiamo che le precedenti versioni della suite Office di Microsoft sono state al centro delle attenzioni dei ricercatori di sicurezza per tutto il 2006 ed anche nei primi giorni del nuovo anno. Nei mesi recenti è stata scoperta una lunga serie di vulnerabilità nelle applicazioni che compongono la suite per l'ufficio del colosso di Redmond. In risposta c'è stata una grande attività malware associata alle varie falle, alcune delle quali interessavano anche la versione 2003, nelle componenti Word, PowerPoint e Excel. Nel 2005, Microsoft ha rilasciato solo 5 patch per correggere altrettante falle in varie versioni del suo software. Nel 2006, il numero di queste patch è salito a più di 25.

    Le vulnerabilità in Microsoft Office offrono una piattaforma ottimale per gli attacchi di social engineering ed e-mail. Infatti, un gran numero di imprese, grandi e piccole, e clienti continua a condividere e scambiare informazioni tramite questo tipo di documenti che non viene bloccato dalla maggior parte delle soluzioni antivirus e firewall, e per questo motivo rappresenta un ottimo veicolo per nascondere codice malizioso eseguibile. Sfruttare vulnerabilità dei software stessi, usati per visualizzare questi documenti, significa anche ottimizzare il tentativo di attacco, che spesso risulta totalmente "invisibile" agli utenti meno esperti.

  13. #63
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    IE7: Falla Spoofing "Onunload"
    LINK: Full-DisclosureAdvisory SecuniaDemo "IETRAP" per IE7

    Michal Zalewski, noto ricercatore di sicurezza e hacker, ha scoperto una vulnerabilità in Internet Explorer 7, che potrebbe affliggere anche altri prodotti browser. La falla è stata classificata dalla nota azienda di security monitoring Secunia ad un livello basso di rischio.

    Secondo Zalewski la vulnerabilità è causata da una combinazione tra una funzione di design "banale" presente in molti browser, che gestisce l'evento onUnload Javascript (permettendo ad un sito malintenzionato di impedire ad un visitatore di abbandonare la pagina), ed un metodo buggato che gestisce la transizione tra le pagine. Questa combinazione di fattori permette ad un attacker di "intrappolare" un visitatore, ma anche di ingannarlo a pensare che stia navigando su un nuovo sito non correlato. Un attacker può nel frattempo condurre qualsiasi tipo di attacco di spoofing o phishing.

    Zalewski ha reso disponibile una pagina di test che permette di "provare" la vulnerabilità digitando qualsiasi sito come google.com, cnn.com, slashdot.org (sarà necessario JavaScript attivo).

    IE: Falla DoS ActiveX, Anche IE7 - Microsoft su IE7 e Falla Injection - Altre


    Secondo quanto riporta Secunia Research, la vulnerabilità può essere sfruttata da una sito malintenzionato per eseguire lo "spoofing" della barra degli indirizzi. Sfruttando l'evento "onunload" è infatti possibile bloccare il caricamento di un nuovo sito web.

    In particolare, la falla mette gli utenti a rischio in uno scenario normalmente elencato tra le "best practice", cioè quello in cui l'utente inserisce manualmente l'indirizzo web nella barra per visitare un sito affidabile (cosa che normalmente impedisce attacchi di spoofing) invece di seguire collegamenti (in particolare inclusi in messaggi di posta elettronica). Secunia ha verificato la falla su un sistema "fully patched" Windows XP SP2 con Internet Explorer 7. L'azienda di sicurezza non esclude che la vulnerabilità possa interessare anche altre versioni del browser.

    Secondo Zalewski, Firefox non è attualmente vulnerabile a questo problema di sicurezza, ma consideratone il comportamento, è probabile che il browser open-source sia vulnerabile ad una variante del medesimo attacco (Firefox mostra infatti lo stesso comportamento di IE7 ma restituisce un pagina corrotta). Come "soluzione", Secunia suggerisce di chiudere tutte le finestre del browser dopo aver visitato siti non affidabili.

    Sandi Hardmeier, una Microsoft Most Valuable Professional, commenta: "Al contrario di altre vulnerabilità di IE7 segnalate, che comportavano strani comportamenti del browser con evidenza per tutti (tranne per gli utenti più sbadati) che qualcosa stava andando storto, l'attacco a questa vulnerabilità è praticamente impossibile da rilevare … Detto questo, per sfruttare la vulnerabilità, è necessario convincere un utente a visitare un sito malizioso, e poi convincere il visitatore ad inserire manualmente un URL nella barra degli indirizzi". Secondo Hardmeier si tratta di un elemento importante di "user interaction", e questo riduce l'affidabilità e la superficie di un simile attacco.

  14. #64
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    Guida a GMER Anti-Rootkit
    LINK: Guida a GMER @ PC al SicuroGMER Homepage

    Marco Giuliani, esperto di sicurezza che collabora con la società di sicurezza Prevx, ha pubblicato una ottima guida all'utilizzo di GMER, programma che include una componente scanner antirootkit potente ma non proprio user-friendly. Riportiamo vari estratti dell'articolo e rimandiamo al sito di Giuliani "PC al Sicuro" per l'intera guida sul software di sicurezza.

    Dalla guida: "GMER è attualmente uno degli scanner più utilizzati per l'individuazione e la rimozione di rootkit dai sistemi Windows. È spesso necessario effettuare scansioni antirootkit con software quali GMER perché gran parte degli attuali software antivirus non include tecnologie per l'individuazione di questa particolare minaccia, molto differente dalle classiche infezioni da worm, trojan, backdoor o gli ormai defunti virus. GMER risulta essere a volte un tool complesso … fornisce molti strumenti, alcuni avanzati ma in molti casi non sono necessari per l'utente che vuole semplicemente fare un check del sistema.


    … Lanciamo gmer.exe. Ci apparirà una schermata del programma e per alcuni secondi il programma risulterà bloccato. In realtà sta effettuando una scansione preliminare del sistema alla ricerca di possibili rootkit nelle zone più delicate del sistema. Nel 90% dei casi se è presente un rootkit l'utente verrà avvertito già a questa prima scansione…

    Quando GMER indica in rosso una riga e con la dicitura (*** hidden ***) in fondo al nome del file vuol dire che quello specifico file è nascosto agli occhi dell'utente e del sistema, cioè sta avvalendosi di particolari tecniche che permettono di poter agire indisturbato senza che l'utente sappia della sua esistenza … Oltre alle righe in rosso, l'utente si può trovare di fronte ad altre informazioni scritte in normale carattere color nero. In effetti GMER non elenca esclusivamente ciò che risulta nascosto nel sistema ma anche tutte le modifiche che vengono rilevate in alcuni punti cruciali del sistema ... L'utente meno esperto si dovrebbe curare particolarmente della presenza delle voci in rosso, poiché le voci in nero possono essere sì sintomo di un infezione ma andrebbero controllare con maggior dettaglio.

    … Scansione completa del sistema. Sul lato destro del programma vediamo un elenco di voci da poter spuntare (sono tutte abilitate di default): sono le locazioni del sistema che GMER andrà a controllare. Per fare una scansione approfondita del sistema è consigliabile lasciarle tutte abilitate - compresa l'opzione ADS per controllare la presenza di eventuali file nascosti negli Alternate Data Stream del file system NTFS. Per prima cosa troviamo le voci in rosso, se ci sono, e ci clicchiamo sopra su ognuna con il tasto destro del mouse. Scegliamo l'opzione apposita per l'eliminazione - spesso solo un'opzione è utilizzabile per cui l'utente difficilmente si potrà sbagliare. Eliminate tutte le voci in rosso (può succedere che qualche voce in rosso non sia eliminabile immediatamente a causa dell'esecuzione del file, ma l'importante è che tutte le voci rosse che si potevano eliminare siano state eliminate. Riavviando poi il sistema e ri-effettuando una scansione sarà poi possibile eliminare ciò che prima non era eliminabile).

    Se clicchiamo il pulsante in alto a fianco di Rootkit denominato ">>>" avremo accesso alle funzionalità avanzate di GMER. Tra le varie opzioni quelle che possono interessarci di più sono SERVICES e AUTOSTART. La voce SERVICES ci elenca tutti i servizi che partono all'avvio di Windows. Come sopra, possiamo controllare manualmente che non ci siano voci in rosso. Se ne vediamo alcune possiamo come al solito cliccarci sopra con il tasto destro ed eliminarle. La voce AUTOSTART invece ci dà una panoramica molto dettagliata di tutto ciò che parte all'avvio del sistema - servizi di Windows esclusi ovviamente … Infine, GMER fornisce anche un'ottima funzionalità di LOG, attraverso il pulsante COPY che è possibile trovare solitamente vicino al pulsante SCAN". Leggete la Guida a GMER completa su PC al Sicuro (include esempi e screenshot).

  15. #65
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    E-mail truffa: continua il phishing contro Poste Italiane


    Non sembrano destinati a diminuire i tentativi di phishing contro il gruppo romano, ormai sempre più unico bersaglio da parte dei truffatori digitali, che negli ultimi cinque giorni ha fatto registrare altrettanti tentativi di e-mail truffa.

    Le quali si attengono al classico copione ormai utilizzato dai phisher da oltre un mese, con una falsa comunicazione che informa del rilascio di nuovi servizi nel portale poste.it, usufruibili unicamente dagli utenti registrati oppure che avverte che il proprio conto bancoposta è stato temporaneamente sospetto per motivi di sicurezza, e che potrà essere ripristinato solo dopo aver fornito i propri dati nell’apposito sito (clone).

    Che continuano ad essere ospitati in maniera abusiva in server sparsi tra l’America e l’Europa (Inghilterra, Francia , Germania e Danimarca), fatta eccezione per l’unico sito clone in grado di sfruttare un apposito nome a dominio registrato ad hoc da parte del phisher.

    Si tratta di poosteitaliane.info, capace di ingannare facilmente le propri vittime, specialmente se inesperte, visto che la doppia “o” non è immediatamente riconoscibile.

    I siti clone:




    Fonte: Anti-Phishing Italia

  16. #66
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    Storm Trojan Mira a Blog e Forum
    LINK: Dorf Trojan @ SophosReport di CNET News

    Secondo quanto riporta CNET News.com, una nuova variante di attacchi del codice Trojan conosciuto come Storm Worm sta colpendo gli utenti della rete che intervengono su blog e bulletin board. Il worm "Storm", conosciuto anche come Storm Trojan, "Dorf" o "Peacomm", aveva attaccato su vasta scala il mese scorso diffondendosi via spam in tutto il mondo, con svariante ondate e varianti.

    Successivamente aveva "attaccato" anche un nuovo fronte, sfruttando aggiunte capacità di propagazione via instant messaging. Il codice nocivo era stato battezzato originariamente "Storm" perché la prima ondata di attacco spam su vasta scala aveva sfruttato come vettore di social-engineering, con grande tempismo, le notizie sul ciclone Kyrill, che ha colpito il Nord Europa in maniera drammatica verso fine Gennaio.


    "Storm" Trojan Torna via IM

    Le ultime varianti isolate attaccano i computer di ignari utenti sempre all'apertura di allegati nocivi inclusi in messaggi di posta elettronica, all'apertura di link e-mail o durante la navigazione su siti malintenzionati, lo riporta Dmitri Alperovitch, principal research scientist di Secure Computing. La novità sta nel fatto che quando queste persone inseriscono interventi su blog e bulletin board, il malware aggiunge automaticamente ad ogni post un link ad un sito nocivo con lo scopo di diffondere l'infezione.

    Alperovitch classifica questo nuovo comportamento ad un livello di rischio "alto": "Non avevamo visto sfruttare il canale Web finora … in passato, abbiamo visto link nocivi distribuiti ai contatti presenti nella rubrica dell'utente infetto, camuffati in modo da apparire come messaggi istantanei". Il nuovo livello di pericolo deriva dal fatto che l'utente sta effettivamente intervenendo su un blog o forum legittimo, ignaro che un link malizioso sarà iniettato nel testo del post.

    Secondo quanto riportato da eWeek precedentemente, altre nuove varianti di questo codice malware avevano iniziato a sfruttare programmi come AOL Instant Messenger, Google Talk e Yahoo Messenger, per diffondersi tra i computer. Il worm rileva le sessioni di chat ed invia un messaggio IM con un link ad un sito web che ospita il codice nocivo. Se l'utente clicca sul link untore subisce l'infezione. Il worm si presenta con un messaggio apparentemente innocuo, tipo "Is it about you?" + link. Jose Nazario, software e security engineer di Arbor Networks, aveva commentato: "I gestori delle botnet inietteranno periodicamente nuovi comandi in questa rete peer-to-peer, e una delle prime mosse è quella di ordinare alle macchine infette di scaricare svariati eseguibili … tra questi vi sono i binary aggiornati e altre componenti usate per attacchi DDoS [distributed denial of service], spam, e altro, compreso un rootkit in grado di nascondere la presenza del malware … Gli operatori stanno modificando continuamente la configurazione delle macchine per eludere firewall e filtri".

    Sophos Top Ten Gennaio 2007 - Storm Worm Attacca su Vasta Scala

    Inoltre ricordiamo che gli esperti hanno verificato che alcuni campioni del codice malware sono stati programmati per colpire con attacchi DoS popolari siti anti-spam ed anche i server usati dai malware rivali. La guerra fra diversi team di malware writer non è certo una novità in questo particolare settore della sicurezza informatica (ricordiamo per esempio la faida Mydoom vs Netsky).

    Tuttavia lo scontro tra Storm e Warezov, un altro popolare e recente mass-mailing worm, sembra svolgersi su un terreno diverso rispetto dal passato, esternamente alle macchine infette. Invece di colpire le stesse postazioni infette, gli autori di questi codici hanno infatti scelto di lanciare attacchi DDoS contro le rispettive basi operative.

  17. #67
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    "Wanuk" Worm Attacca Solaris
    LINK: Sun: Script anti-wormCommento SymantecCommento Arbor SERT

    A pochi giorni dalla pubblicazione delle informazioni relative ad una vulnerabilità nel telnet daemon (in.telnetd) del sistema operativo Solaris versioni 10 e 11, gli esperti di sicurezza hanno iniziato a rilevare impennate di traffico sulla porta 23 usata dal protocollo. Secondo quanto riporta Symantec, la maggior parte di questo traffico era dovuta ad operazioni di scanning in cerca di sistemi vulnerabili. Due giorni fa si è notata un nuovo "traffic spike", questa volta attribuito all'azione di un nuovo worm, "Wanuk", che sfrutta proprio la vulnerabilità in Solaris per diffondersi.

    Sun Solaris 10: 0-Day Bug in Telnet


    Secondo quanto riporta Symantec sul suo weblog del Security Response, una volta attaccato ed infettato un sistema, il worm rilascia un eseguibile che crea una backdoor /bin/sh, che a sua volta si pone in ascolto sulla porta 32982/TCP. In aggiunta il payload di Wanuk include l'invio di messaggi broadcast "creativi" ed ironici diretti ad una serie di ricercatori di sicurezza, che comunque avviene solo in determinati momenti e giorni del mese in base a vari fattori. Sun ha affermato su un blog ufficiale di essere a conoscenza del nuovo codice nocivo programmato per sfruttare la vulnerabilità nel suo sistema. L'azienda offre contestualmente anche vari comandi che permettono di verificare l'infezione dal worm e uno shell script di "inoculation" che può essere lanciato da locale sui sistemi infetti, come utente root, per rimuovere il codice nocivo e prevenire re-infezioni.

    Report in rete: ISC SANSSun Security BlogSymantec Security Response BlogArbor SERT

    Secondo quanto affermato precedentemente, la vulnerabilità nel telnet daemon (in.telnetd) di Solaris (CVE-2007-0882) poteva permettere ad un eventuale attacker di guadagnare facilmente l'accesso ai computer che eseguono il sistema operativo, da remoto, con privilegi elevati. Telnet in Solaris può ricevere informazioni di autenticazione tramite la variabile di ambiente USER ma non esegue correttamente la verifica di questi dati prima di passarli al programma di login. Questo problema può permettere ad un cybercriminale di bypassare i meccanismi di protezione di telnet. Nelle configurazioni di default di Solaris questa vulnerabilità non è sfruttabile per guadagnare accesso all'account di root, ma qualsiasi account non-root è vulnerabile a questo tipo di attacco. Sun Solaris 8 e 9 non sono affetti dal problema di sicurezza. Johannes Ullrich, CTO di Internet Storm Center, un sistema cooperativo di notifica e monitoring sulle cyber-minacce, ha spiegato, durante una intervista a InformationWeek, che semplicemente aggiungendo un cosiddetto "trick" o un semplice testo ad un comando Telnet, il sistema non chiede più username e password. Solaris 10 è stato rilasciato nel 2005, e più di 7 milioni di utenti secondo i report lo hanno finora registrato presso Sun.

    Secondo Russ Castronovo, un portavoce della società di Santa Clara, le prime versioni di Solaris 10 presentano Telnet abilitato di default "out of the box", ma nelle più recenti release, compresa la versione beta di Solaris 11, è necessario abilitare specificatamente la componente. In genere, conclude il portavoce, Sun consiglia ai suoi clienti di usare esclusivamente il più sicuro protocollo Solaris Secure Shell SSH. A quanto pare Sun sta valutando di eliminare totalmente il vecchio Telnet dalla sua prossima release del sistema. Nonostante Telnet sia un protocollo ormai obsoleto, secondo gli esperti di sicurezza, questa particolare falla zero-day è causata dal codice del sistema operativo. Secondo quanto riporta l'advisory ufficiale di Sun per proteggersi dalla falla di sicurezza, almeno fino alla disponibilità di una patch di protezione, è consigliabile disabilitare il servizio vulnerabile, eseguendo un commando come "# svcadm disable svc:/network/telnet:default". In caso non sia possibile disattivare Telnet, per esempio per l'esecuzione di applicazioni hard-coded, sui suoi blog Sun suggerisce di abilitare i tcp_wrappers e di permettere l'uso di telnet solo da host fidati e necessari.

  18. #68
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    "Mespam" Infetta Web 2.0 via LSP
    LINK: Symantec BlogTrojan.Mespam @ symantecSpam-Mespam @ McAfee

    Ieri abbiamo segnalato una nuova variante di attacco che deriva dal codice Trojan conosciuto come "Storm Worm", e che sta colpendo gli utenti della rete sfruttando come vettore il web stesso. In queste ore sono stati pubblicati ulteriori dettagli su questo tipo di minaccia da parte di varie aziende di sicurezza. Prima di tutto bisogna precisare che il nuovo codice Trojan, che si occupa di iniettare link nocivi nei post degli utenti infetti, su blog, board e altri servizi web, è stato classificato come Mal/Cimuz-A (Sophos), Trojan.Mespam (Symantec), e Spam-Mespam (McAfee).

    Il Trojan viene distribuito prevalentemente tramite la botnet del worm "Storm", aka "Dorf" o "Peacomm", che aveva attaccato su vasta scala a Gennaio diffondendosi via spam in tutto il mondo.


    Storm Trojan Mira a Blog e Forum

    Quando gli utenti infetti con Trojan.Mespam stanno per inviare un intervento su un qualsiasi sito web che esegue VBulletin o phpBB, il codice nocivo aggiunge in maniera silente un link nocivo al pacchetto web in uscita. Lo stesso accade anche quando gli utenti stanno inviando messaggi di posta elettronica usando client web come Gmail, Yahoo Mail, Lycos, Tiscali, AOL, e molti altre applicazioni di posta Web-based. Gli utenti difficilmente si accorgono della modifica del proprio input, comunque non prima che il messaggio sia effettivamente stato inviato.

    Trojan.Mespam è capace di aggiungere il contenuto nocivo al volo semplicemente controllando il nome del sito web o l'URL visitato. Questo è possibile perché il Trojan installa la libreria "rvsp32_2.dll" come Layered Service Provider (LSP) di sistema, cosa che gli permette di manipolare il traffico TCP/IP, intercettando pacchetti in uscita e aggiungendo i link nocivi. L'intero processo di manipolazione avviene a livello di rete. Symantec fa notare una scoperta curiosa: sembra che anche alcuni spammer della gang "Nigerian scam" siano stati infettati da questo LSP nocivo e abbiano iniziato ad inviare scam con link Mespam.

    Questo tipo di attacco sembra funzionare molto bene nel mondo del "Web 2.0", in virtù della frequente interazione utente e della popolarità delle applicazioni web. Una minaccia ancora maggiore potrebbe manifestarsi nel momento in cui gli autori di Mespam e Peacomm decideranno di aggiungere ai propri Trojan il codice necessario per diffondere le infezioni su altri popolari canali Web, come YouTube, Myspace, feed RSS, o Google Docs.

    Alcuni messaggi creati da Mespam, che si possono trovare su blog, board ed in e-mail:
    - LOL! You must see this! http://[postcards_domain]
    - Dont forget to see http://[postcards_domain]
    - lol, look http://[postcards_domain]
    - have you seen this? http://[postcards_domain]
    - LOOL!!! http://[postcards_domain]
    - just look http://[postcards_domain]
    - :-) http://[postcards_domain]

    Dove [postcards_domain] è uno di questi siti (NON VISITATELI): mailfreepostcards.com, postcardsbargain.com, 2007 postcards.com, ecolorpostcards.com, bestnetpostcards.com, freewebpostcards.com. I cybercriminali hanno il controllo diretto sulla componente LSP nociva, quindi questi messaggi ed i domini saranno modificati frequentemente. La raccomandazione classica in questi casi è quella di non cliccare su nessun link sospetto anche se questo è stato ricevuto da amici e gente fidata. In particolare gli utenti dovranno prestare attenzione ai domini che includono "postcards".

  19. #69
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    Sophos: Rapporto Sicurezza 2007
    LINK: Rapporto sulla sicurezza per il 2007Articolo fonte @ sophos.it

    Sophos, società leader a livello mondiale nel settore della sicurezza informatica, ha pubblicato il "Rapporto sulla sicurezza per il 2007", che prende in esame il panorama delle minacce informatiche negli ultimi dodici mesi e delinea le tendenze previste per il 2007 in tema di malware e spam. Il rapporto rivela che gli Stati Uniti ospitano oltre un terzo dei siti web contenenti il malware identificato nel corso del 2006, e inviano una quantità di spam superiore a quella di tutti gli altri Paesi. La Top Ten dei Paesi che nel 2006 hanno ospitato siti web contenenti malware è la seguente:1. Stati Uniti (34,2%), 2. Cina (31,0%), 3. Federazione Russa (9,5%), 4. Paesi Bassi (4,7%), 5. Ucraina (3,2%), 6. Francia (1,8%), 7. Taiwan (1,7%), 8. Germania (1,5%), 9. Hong Kong (1,0%), 10 Corea (0,9%).


    L'Italia occupa l'11esimo posto (0,8%) insieme con Canada, Malesia e Turchia. "Gli Stati Uniti si confermano la roccaforte delle attività illecite online. Malgrado l'impegno profuso dalle autorità per porre un freno ai crimini informatici, resta elevato il numero dei siti web che continuano ad adottare misure di sicurezza blande", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "Vista l'efficacia degli attacchi via web, è necessario che le società di web hosting operanti negli USA e in altri Paesi intensifichino i controlli sulla pubblicazione dei contenuti, garantendo tempestiva rimozione dei malware".

    Per quanto riguarda lo spam prosegue il predominio indisturbato degli Stati Uniti che, pur avendo compiuto passi da gigante nella riduzione del volume di spam inviato, restano saldamente al comando della classifica dei principali produttori di e-mail "spazzatura". I dieci Paesi che nel 2006 hanno inviato la maggior quantità di spam sono i seguenti: 1. Stati Uniti (22,0%), 2. Cina con Hong Kong (15,9%), 3. Corea del Sud (7,4%), 4. Francia (5,4%), 5. Spagna (5,1%), 6. Polonia (4,5%), 7. Brasile (3,5%), 8. Italia (3,2%), 9. Germania (3,0%), 10. Regno Unito (1,9%). Gli esperti Sophos hanno constatato che il 90% di tutto lo spam proviene attualmente da computer zombi controllati a distanza dagli hacker per mezzo di Trojan, worm e virus.

    Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette. Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l'accresciuta interattività degli utenti web. La posta elettronica continuerà ad essere un importante vettore di diffusione del malware, ma il crescente utilizzo di soluzioni per la sicurezza del gateway di posta sta spingendo i criminali ad optare per altri metodi di attacco, tant'è che il numero dei siti web infetti è in costante aumento. I SophosLabs identificano attualmente una media di 5.000 URL al giorno che ospitano malware.

    Nel corso del 2006, Sophos ha registrato un calo nell'utilizzo dello spyware tradizionale a favore di un maggior impiego di Trojan scaricati dai siti Internet. Per attirare gli utenti sui siti web infetti, i cybercriminali inviano una mail, per esempio con oggetto "Offerta speciale", in cui invitano l'utente a visitare un sito web che dovrebbe fornire ulteriori informazioni sull'offerta. Cliccando sul link all'interno del messaggio, l'utente scarica automaticamente sul proprio PC un file eseguibile. Questo file tenta a sua volta di scaricare ulteriori Trojan per mettere fuori gioco il sistema di protezione del PC. Solo a questo punto viene scaricato un componente spyware che, sul computer ormai privo di difese, avrà migliori probabilità di successo. Dalle statistiche stilate dai SophosLabs risulta che a gennaio 2006 circa la metà di tutte le mail infette conteneva spyware, mentre nel 40% circa dei messaggi erano contenuti collegamenti a siti web ospitanti Trojan downloader. A dicembre 2006 la situazione si è ribaltata: i messaggi contenenti link a siti Internet infetti costituivano oltre il 50% di tutte le mail infette, mentre il 42% circa dei messaggi conteneva spyware. Secondo gli esperti di sicurezza informatica, questa tendenza è destinata a restare invariata nel 2007 e oltre.

    Nel 2006 Sophos ha identificato 41.536 nuovi malware, la quota dei Trojan è stata quattro volte superiore a quella dei virus e worm specifici di Windows. Infine, dal 2005 al 2006, il volume di mail infette è sceso da una mail su 44 a una mail su 337.

  20. #70
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    Parte MoPB: Primi Bug PHP
    LINK: Month of PHP Bugs HomepageBlog di Esser

    Stefan Esser, fondatore del Hardened-PHP Project e del PHP Security Response Team e guru di sicurezza informatica, ha inaugurato oggi l'iniziativa Month of PHP Bugs (MoPB), nell'ambito della quale saranno svelati durante tutto il mese di Marzo 2007 gli errori di programmazione più comuni nella progettazione di popolari applicazioni PHP-based, ed alcuni bug del codice sorgente stesso del linguaggio.

    Marzo 2007: "Month of PHP Bugs"

    Stefan Esser è un security consultant e application developer che ha contribuito per circa 5 anni a dozzine di advisory relativi a buchi di sicurezza in software come CVS, Subversion, Linux, NetBSD, MySQL, PHP, Samba ed anche nella piattaforma Microsoft Xbox. 6 anni fa Esser ha iniziato a lavorare per PHP ed è divenuto in questi anni uno degli sviluppatori principali del progetto. Anche per questo motivo Esser ha scoperto la maggior parte delle vulnerabilità di PHP segnalate durante gli ultimi anni. Con l'intento di migliorare la sicurezza della piattaforma PHP, Esser ha fondato Hardened-PHP Project (poi rinominato Hardening-Patch per PHP), una progetto di piattaforma di programming parallela a PHP e focalizzata sui miglioramenti di protezione, ed il PHP Security Response Team, che comunque ha recentemente abbandonato, una sorta di mailing-list per gli sviluppatori principali di PHP che raccoglie i security report inviati all'indirizzo security@php [dot] net.


    L'iniziativa dedicata alla disclosure di bug era stata annunciata una settimana fa circa. Da una precedente intervista di SecurityFocus : "L'obiettivo è quello di far capire alle persone ed in particolare agli sviluppatori stessi di PHP che esistono bug in questo linguaggio ... PHP ha una reputazione molto negativa relativamente alla sicurezza, e questo è causato per lo più da tutti gli advisory relativi a buchi di sicurezza segnalati per le applicazioni PHP-based. Per alcune classi di bug segnalati come, SQL injection e XSS, non è corretto, perché questi attacchi possono avvenire in qualsiasi linguaggio. Tuttavia le "Remote File Inclusion", le vulnerabilità dovute a register_globals, o gli altri problemi interni al motore di PHP possono essere giustamente attribuiti a PHP. Sfortunatamente questo tipo di considerazioni non è apprezzato dagli sviluppatori PHP che continuano ad affermare che PHP non è peggiore di altri linguaggi, e che il problema sta solo nelle applicazioni mal programmate. Il "Month of PHP bugs" mostrerà che esistono molti bug nel codice sorgente stesso di PHP".

    Esser ha voluto ribadire che l'iniziativa MoPB non è dovuta ai dissapori "interni" alla community di sviluppo di PHP: "Dovete considerare il Month of PHP Bugs come un risultato di report di una nuovo audit du PHP … Sfortunatamente quando si svelano problemi di sicurezza nel codice di terzi o nel loro processo di gestione dei bug, gli sviluppatori si sentono spesso attaccati e feriti".

    Esser ha già svelato i primi tre bug PHP-related in MoPB: 1. MOPB-01-2007 PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, in PHP 4 il codice userland è capace di mandare in overflow il counter di referenza interno16bit zval creando molte referenze ad una variabile. Questo porta ad una condizione double dtor attaccabile. 2. MOPB-02-2007 - PHP Executor Deep Recursion Stack Overflow, una profonda ricorsività di codice PHP userland esaurisce l'intero stack disponibile portando ad un crash a volte attivabile da remoto. 3. MOPB-03-2007 - PHP Variable Destructor Deep Recursion Stack Overflow, la distruzione di array PHP annidate profondamente esaurisce l'intero stack disponibile portando a crash attivabili da remoto.

    Essere aveva commentato: "Sveleremo diversi tipi di bug, per lo più sovraccarichi del buffer e vulnerabilità double free(/destruction), alcuni solo locali, ma altri sfruttabili anche da remoto (per esempio perché si trovano in funzioni spesso esposte ad user input). Inoltre ci saranno alcune vulnerabilità minori nelle funzioni di protezione stesse di PHP. Saranno resi pubblici sono i buchi di sicurezza presenti nel codice rilasciato con la distribuzione predefinita di PHP ... La maggior parte delle vulnerabilità svelate nell'ambito del "Month of PHP bugs" sono state già segnalate ai rispettivi vendor, ma altre no (altre ancora sono già state corrette in PHP 5.2.1 n.d.r.) ... In totale abbiamo più di 31 bug da svelare, e quindi certi giorni ne sveleremo più di uno contemporaneamente".

  21. #71
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    Il phishing non molla. 10 casi in 3 giorni


    Resta alto il livello d’allarme legato al phishing nazionale, che ormai da mesi continua incessantemente a martellare e giungere nelle caselle di posta elettronica di migliaia di utenti italiani. Facendo registrare negli ultimi 3 giorni, un vero e proprio record, con 10 nuovi tentativi di frode. Che utilizzando nomi a dominio appositamente registrati come www.possteitaliane.info o l’ultimo, rilevato poche ore fa, www.postte.info insieme ad hosting abusivi continuano a colpire il gruppo romano Poste Italiane.

    Per le e-mail i phisher dimostrano di avere un certo attaccamento a tre false comunicazioni già viste in passato, che grazie al loro italiano comprensibile, ma comunque grammaticalmente stentato, smorzano nel limite del possibile la pericolosità dell’attacco.

    Ecco gli ultimi siti clone:


    Fonte: Anti-Phishing Italia

  22. #72
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]

    600 bancomat clonati. Prelievi abusivi dalla Svezia


    Sfruttando un grande magazzino Upim durante il periodo dei saldi, hanno impiegato poche ore per clonare 600 carte bancomat e far tornare in Trentino il pericolo “skimming” dopo i fatti dello scorso 2005.

    Più di seicento bancomat bloccati in poche ore ed una cinquantina di tesserine effettivamente clonate. Torna in città l'incubo delle card «copiate» e torna pure l'ombra di qualche organizzazione altamente preparata dal punto di vista tecnologico che agisce nel Nord Est. Da mesi le banche non registravano in Trentino casi di questo tipo, dopo l'ondata di clonazioni che fra novembre e dicembre 2005 portò al blocco preventivo ed alla sostituzione di qualche migliaio di bancomat.

    L'allarme, grazie ai sistemi di sicurezza degli istituti di credito, è scattato nella notte fra sabato e domenica: più di 50 i prelievi con bancomat «trentini» effettuati in Svezia in poche ore. L'anomalia è stata subito segnalata ai responsabili delle banche per la sicurezza e sono scattati a partire da lunedì scorso i blocchi preventivi dei bancomat che risultavano essere stati utilizzati nel punto vendita Upim di via Manci. Da evidenziare che il grande magazzino è del tutto estraneo alla vicenda, essendo vittima anch'esso della banda di malviventi.

    Sono circa 400 le tesserine bloccate dalle Casse rurali, circa 200 quelle appartenenti ad altri istituti di credito. Da quanto hanno appurato le banche, incrociando i dati dei possessori delle card, dei movimenti dei conti e del prelievo in terra svedese, è emerso con chiarezza un punto in comune: le tesserine erano state tutte utilizzate per pagamenti all'interno del grande magazzino del centro. Sarebbero passate dalla stessa cassa e strisciate nel medesimo Pos, quello manomesso all'insaputa dei dipendenti. Dell'accaduto è stata informata la polizia.

    Le operazioni con le tessere clonate sono state effettuate tutte in Svezia con prelievi che non superano i 200 euro alla volta, per un raggiro complessivo attorno ai 10.000 euro. Molti clienti delle banche hanno ricevuto il messaggino sul cellulare sabato notte, con l'avviso di un prelievo di alcune centinaia di euro. Immediatamente hanno bloccato la loro carta attraverso il numero verde; altri clienti hanno schivato il rischio perché il bancomat in loro possesso era escluso dal circuito estero (opzione offerta dalle banche appunto per evitare prelievi indesiderati in caso di clonazione). Al momento sono stati bloccati solo i bancomat utilizzati nel grande magazzino negli ultimi dieci giorni di gennaio, ossia circa 600 tesserine. Il Pos in cui sono state strisciate le tesserine - appartenente ad una banca con sede fuori regione - è stato visionato dagli investigatori.

    «I bancomat clonati sono stati utilizzati sabato notte, e già lunedì mattina abbiamo bloccato per precauzione 400 nostre tessere - spiega Mauro Foresti, responsabile dello sviluppo organizzativo della Cassa Centrale delle Casse rurali trentine - nel giro di poche ore il nostro sistema di sicurezza ha segnalato le numerose richieste di prelievo dall'estero e con una serie di incroci di dati siamo riusciti a capire il periodo in cui sarebbe avvenuta la clonazione e dove».

    Sulle modalità tecnologiche della clonazione sono in corso indagini: è da verificare se all'interno dell'apparecchio siano rimaste tracce dei circuiti utilizzati per la duplicazione o se sia stato tutto «ripulito».

    Due le possibilità che stanno vagliando gli investigatori: l'apparecchio Pos originale, all'interno del punto vendita, potrebbe essere stato sostituito da un Pos manomesso solo per qualche giorno, ossia per il tempo necessario a mettere in opera la truffa; ma non è escluso che gli apparecchi potrebbero essere stati alterati attraverso «skimmer», ossia «copiatori» integrati non visibili né dagli utenti né dai commessi del grande magazzino. [tratto da
    L’Adige.it]


    Fonte: Anti-Phishing Italia

  23. #73
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 02/03/2007]

    Il Firewall di Vista è Vulnerabile
    LINK: Symantec BlogThe Impact of Malicious Code (PDF)

    Secondo quanto riportato dai ricercatori di Symantec, il firewall integrato in Windows Vista può essere facilmente "violato" a causa di alcune decisioni di progettazione fatte da Microsoft. Tre giorni fa, Orlando Padilla, un ricercatore di sicurezza del security response team di Symantec, ha pubblicato i risultati di uno studio sull'Impatto del Codice Nocivo su Windows Vista, in due blog post dedicati, evidenziando questa non trascurabile debolezza della componente firewall del sistema operativo.

    Vista Firewall: Limitato Per Scelta

    "[Il firewall] impone una ottima limitazione all'azione del codice nocivo che cerca di creare una backdoor in un host … Sfortunatamente, il pulsante di Sblocco può essere raggiunto con lo stesso livello di privilegi di un utente standard. Questa configurazione di privilegi creare un punto di vulnerabilità che mina alla base l'efficienza dei criteri firewall in Windows Vista", scrive Padilla. Javier Santoyo, manager per il development nel gruppo di ricerca Symantec, spiega: "Violare un firewall non è nulla di nuovo, tuttavia Microsoft, con Vista e User Account Control [UAC], aveva l'opportunità di rafforzare questa funzione", e non lo ha fatto.


    Secondo Santoyo, il problema è che il firewall di Vista blocca tutto il traffico di rete third-party e non sicuro a meno che l'utente non clicca il pulsante Sblocca: non è difficile per un attacker programmare un codice malevolo capace di eseguire questa operazione in maniera silente. Per automatizzare questa funzione basta sfruttare la chiamata API SendMessage, aggiunge Padilla. Microsoft avrebbe dovuto accertarsi che solo un click di un utente reale fosse in grado di sbloccare il firewall per una applicazione che chiede accesso ad internet. "Avrebbero potuto programmarlo in modo tale che solo un utente interattivo fosse in grado di cliccare questo pulsante".

    Le motivazioni per ingannare Vista e permettere ad un malware di accedere ad internet sono chiare: "A quel punto sono in grado di scaricare ulteriore codice malware" o nascondere il traffico di command-and-control tra il PC infetto e quello del cybercriminale, sfruttando la macchina come spam zombie o denial-of-service attacker. "Supponendo che un attacker possa effettuare lo sblocco del firewall, la maggior parte delle funzionalità presenti comunemente in un bot sarebbero disponibili", scrive Padilla nel suo paper di ricerca. Secondo Symantec, un altro aspetto preoccupante di Vista è che non UAC permette ad un utente stardard di richiamare le funzioni, SetWindowsHookEx e GetAsyncKeyState, permettendo di eseguire un attacco per operazioni di perform keylogger o sniffer-like.

    Novità nel Windows Firewall di Windows Vista e Windows Server "Longhorn":
    Supporto per traffico in entrata ed in uscita; Nuovo Microsoft Management Console (MMC) snap-in per la configurazione GUI; Impostazioni integrate per Firewall filtering e Internet Protocol security (IPsec); Configurazione eccezioni per accounts e gruppi Active Directory, indirizzi IP sorgente e destinazione, numero IP, porte sorgente e destinazione Transmission Control Protocol (TCP) e User Datagram Protocol (UDP), porte TCP o UDP (tutte o multiple), specifici tipi di interfaccia (LAN, accesso remoto, interfaccia wireless, ecc..), traffico Internet Control Message Protocol (ICMP) e ICMP per IPv6 (ICMPv6) per Type e Code, e servizi. Il nuovo firewall supporta il firewalling per il traffico in entrata, quindi si occupa di far cadere il traffico in entrata "non richiesto" che non corrisponde né al traffico inviato in risposta ad una richiesta del computer (traffico richiesto) né al traffico non richiesto che è stato settato come "consentito" (excepted traffic). Questa funzione di firewalling è cruciale per il computer, infatti aiuta a prevenire le infezioni causate da virus e worm "a livello di rete" che si diffondo tramite traffico in entrata "non richiesto". Il comportamento predefinito del nuovo Windows Firewall: Blocca tutto il traffico in entrata a meno che non sia "richiesto" o specificato in una eccezione; Consente tutto il traffico in uscita a meno che non corrisponda ad una eccezione.

  24. #74
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 02/03/2007]

    Gromozon: "Windows Live Bomb"
    LINK: Articolo di SymantecSegnalazione di SunbeltWindows Live

    Secondo quanto segnalato sul weblog del Symantec Security Response, che riprende una segnalazione fatta dall'azienda di sicurezza Sunbelt, il motore di ricerca Windows Live di Microsoft è stato preso di mira dai cybercriminali che hanno creato il malware Linkoptimizer (aka Gromozon), codice nocivo molto popolare, "mirato" al mercato italiano.

    Dal blog di Symantec: "Al momento, il problema è che quando qualcuno cerca una combinazione di parole chiave sul portale Windows Live, ottiene sempre un set di link 'particolari' tra i risultati della ricerca. Questi link sono legati probabilmente alla gang Linkoptimizer (aka Gromozon). Questo significa probabilmente che questi cybercriminali hanno tentato di realizzare un take-over dei risultati della ricerca Windows Live, con lo scopo di manipolarli e posizionare i propri link nocivi in cima ai risultati".


    Questo tipo di problema, afferma Symantec, non è nuovo. Google era già stato preso di mira dalla stessa gang di cybercriminali durante il primo outbreak di Gromozon, verificatosi l'anno scorso. In questi casi di parla di attacco "Google bomb" (o anche 'link bomb'), che nel slang di Internet indica un tipo di attacco che si occupa di influenzare il ranking di una determinata pagina di risultati di ricerca, spesso con finalità umoristiche o politiche.

    Ma come ha fatto la gang di Gromozon a realizzare questo tipo di attacco? Prima di tutto i cybercriminali hanno meticolosamente selezionato una lista di parole chiave "calde", parole che si riferiscono ad oggetti di particolare interesse o parole che semplicemente sono molto polari come query sui motori di ricerca. Questa lista è molto lunga, ecco tuttavia alcuni esempi riportati da Symantec: ricetta baci perugina, contratto collettivo colf, finanziamento online, cerco lavoro nave crociera, fastweb wind tele2, traduzione testo canzone, ministero sanità iscrizione, modella calendario, giubbotto pelle, incontro annuncio personale. In secondo luogo la gang ha registrato un grande numero di nomi dominio usando altre parole in italiano. Hanno poi creato nuovi domini con provider di spazio web differenti, usando nomi generati dalla permutazione o dalle varianti delle parole chiave menzionate precedentemente. Il formato URL usato dalla gang è simile a: http://[numero].[parola random].com/[keywords_permutation].

    Tutto questo assicura già un buon rank sui motori di ricerca per le query in questione. Per massimizzare questo risultato sono stati inoltre usati altri trucchi. Cioè, per esempio, su ciascuna di queste pagine, è stata caricata una pagina con link verso siti legittimi correlati con la parola chiave specifica. Ognuna di queste pagina include inoltre un codice Javascript, che funzione come "redirector". È interessante notare che tutte queste pagine mostrano i colori della bandiera italiana come sfondo. Inoltre una colonna a sinistra sulla pagina presenta un lunga lista di URL che collegano ad altre pagine nocive. L'obiettivo è quello di creare uno spider web sofisticato ed intricato tra pagine web self-referenced che generano il più alto rank sui motori di ricerca sfruttando il funzionamento stesso degli algoritmi di analisi dei motori.

    Secondo Symantec, questo particolare problema di sicurezza interessa Windows Live in Italia e Germania, ed anche qualche versione italiana di altri motori di ricerca, come Lycos, anche se con un impatto minore. Attualmente non si conoscono le precise finalità di questo tipo di attacco. Tuttavia sembra che qualcosa stia per "succedere". Il codice Javascript criptato, incluso nelle pagine nocive, re-indirizza i visitatori verso i domini hxxp://www.itzzot.cc e hxxp://e1.extreme-dm.com. Fortunatamente, per ora, nessuno di questi domini ospita file nocivi o codici exploit, ma le pagine si occupano solo di tenere traccia dei visitatori. Il team Microsoft di Windows Live dovrebbe tuttavia già essere a conoscenza del problema e star lavorando per filtrare correttamente questi risultati.

  25. #75
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 02/03/2007]

    GnuPG: E-Mail Criptate a Rischio
    LINK: Alert di GnuPGGNU Privacy GuardCore Security Advisory

    Un problema di sicurezza in una tecnologia open-source di crittografia, ampiamente diffusa, potrebbe consentire ad utenti malintenzionati di violare i messaggi di posta elettronica firmati digitalmente e criptati. Il problema risiede nel modo in cui certe applicazioni e-mail mostrano i messaggi che sono firmati usando GNU Privacy Guard, tecnologia conosciuta anche come GnuPG e GPG, lo ha segnalato due giorni fa il gruppo GnuPG in un alert di sicurezza.

    Secondo quanto riporta l'alert: "Risulta possibile inserire testo addizionale all'inizio o alla fine di un messaggio OpenPGP firmato e criptato, e quindi ingannare l'utente inducendolo a credere che questo testo addizionale faccia parte della firma digitale". Questo problema di sicurezza mette a rischio gli utenti che utilizzano questa tecnologia crittografica per autenticare o crittare i propri messaggi di posta elettronica. Un simile problema con la tecnologia GnuPG era emerso anche l'anno scorso.


    Secondo Core Security Technologies, azienda che ha inizialmente scoperto la vulnerabilità, svariati client di posta elettronica open-source sono affetti dall'ultima problematica. La lista di prodotti vulnerabili include KMail di KDE, Novell Evolution, Sylpheed, Mutt e GnuMail.org. Anche Enigmail, una estensione per i client e-mail di Mozilla, presenta la vulnerabilità.

    Core spiega nell'alert: "É importante notare che non si tratta di un problema di crittografia. Bensì la falla risiede nel modo in cui le informazioni vengono presentate all'utente ed in come le applicazioni third-party interagiscono con GnuPG". Oltre ad aggiungere contenuti per assumere le sembianze di e-mail sicure, gli attacker possono usare questo problema di sicurezza per bypassare le difese di content-filtering, tra cui gli stessi meccanismi antispam.

    GnuPG è un soluzione gratuita alternativa alla tecnologia crittografica Pretty Good Privacy. Un messaggio di posta che sfrutta la crittografia OpenPGP può essere composto di diverse sezioni, e non tutte queste richiedono di essere firmate o criptate. I programmi di posta che non interpretano correttamente il messaggio possono indicare che questo è totalmente sicuro, quando invece, di fatto, non lo è. Arrigo Triulzi, membro dello staff del SANS Internet Storm Center, scrive sul blog dell'organizzazione: "Vedrete la bella icona che vi avverte che l'intero messaggio e criptato o firmato, indipendentemente dalla presenza di sezioni di testo, binari o altro, mentre invece non lo è".

    Il gruppo GnuPG ha rilasciato degli aggiornamenti (GnuPG 1.4.7 e GPGME 1.1.4) per prevenire attacchi di "tampering" ai messaggi firmati o criptati, tuttavia ha evidenziato che le singole applicazioni e-mail potrebbero dover essere aggiornate allo stesso modo, per mostrare in maniera corretta i messaggi firmati dopo l'installazione dell'aggiornamento GPG. GnuPG afferma: "Dopo aver applicato queste patch, certe applicazioni vulnerabili potrebbe non riuscire a gestire determinati messaggi. La correzione dell'applicazione è necessaria, perché non ci sarebbe altro modo di farlo da parte di GnuPG", prosegue l'alert di GnuPG. Bisogna segnalare a questo proposito che il software Enigmail è già stato aggiornato e rilasciato con questo tipo correzione.

    Core ha anche reso pubblico un work-around, per aiutare gli utenti e rilevare e prevenire l'exploitation della falla. Se un messaggio firmato appare sospetto, la validità della firma può essere verificata invocando manualmente GnuPG da linea di comando e aggiungendo lo switch speciale "--status-fd" per ottenere informazioni extra.

+ Discussione Chiusa
Pag 3 di 6 PrimaPrima 12345 ... UltimaUltima

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice HTML è Disattivato