+ Discussione Chiusa
Pag 5 di 6 PrimaPrima ... 3456 UltimaUltima
Risultati da 101 a 125 di 149
  1. #101
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 29/03/2007]

    IE7 Download Fake: è un Malware!
    LINK: Win32.Grum.A @ F-SecureW32/Grum-A @ Sophos

    Sta circolando via spam tra le caselle di posta di tutto il mondo un messaggio nocivo scam che fa uso di una tecnica di spoofing per apparire ai destinatari come inviato dall'indirizzo admin[at]microsoft[dot]com e che include una immagine relativa ad internet Explorer 7. Il messaggio e-mail, intitolato "Internet Explorer 7 Downloads" invita in maniera subdola gli utenti a scaricare il pachetto IE 7.0 Beta 2, cliccando sull'immagine inclusa nel corpo del messaggio. In realtà l'immagine porta l'utente malcapitato a scaricare un file chiamato "ie7.0.exe", ospitato da vari siti web malevoli, un Trojan-Proxy.

    Bisogna evidenziare che ancora molti antivirus non rilevano correttamente questo file come malware, e quindi è necessario prestare la massima cautela in caso di ricezione di messaggi di questo tipo. Sunbelt, una delle prime aziende di sicurezza ad aver segnalato la minaccia, ha pubblicato un'analisi del malware eseguita nel suo ambiente Sandbox e il codice sorgente del messaggio spam. F-Secure ha classificato il malware come Virus.Win32.Grum.A, così come Kaspersky e Sophos.


    Secondo gli esperti di sicurezza attualmente non sono stati segnalati danni diffusi causati da questa nuova minaccia. Tuttavia il malware è degno di attenzione per almeno due motivi: prima di tutto include una immagine molto convincente realizzata per riprodurre abbastanza fedelmente lo stile grafico usato da Microsoft per promuovere il suo nuovo browser, in secondo luogo il codice nocivo viene trasmesso alle vittime tramite il clic sulla immagine integrata nel messaggio di spam e non sfrutta il classico vettore dell'allegato di posta. Questo ultimo aspetto, secondo gli esperti, rende difficile bloccare i messaggi a monte, impedendo che raggiungano le caselle di posta degli utenti. Mikko Hypponen, chief research officer di F-Secure Corp. commenta: "L'idea di inviare un link sembra essere una tendenza tra gli attacker; è ancora abbastanza nuova e funziona meglio rispetto all'invio diretto di un file".

    Secondo Sophos, W32/Grum-A è in grado di auto-spedirsi a tutti gli indirizzi di posta presenti nella rubrica del sistema infettato. Il codice nocivo inoltre manomette i registri di sistema per insediarsi nel PC attaccato e scaricare ulteriori file nocivi da internet. I dettagli sul payload del malware non sono ancora stati descritti in maniera esauriente dai vari vendor antivirus. Tuttavia questo tipo di codici normalmente installa programmi keystroke logger per rubare informazioni personali dal computer ospite e creano una rete di computer infetti per lanciare attacchi denial of service, le cosiddette botnet. Hypponen commenta: "Non sappiamo ancora niente sulla provenienza del malware … è stato programmato abbastanza bene ed è difficile analizzarlo usando i normali strumenti". F-Secure ha ricevuto finora numerose segnalazioni di e-mail nocive ma un numero esiguo di segnalazioni di infezione. Questo indica che per il momento questo attacco è ancora sotto controllo e limitato.

    Inoltre il malware viene distribuito da svariati server in tutto i mondo, e questo rende difficile identificare tutte le fonti di infezione, procedendo alla chiusura dei siti o alla pulitura degli stessi. Secondo Hypponen, sembra infatti trattarsi di server web che sono stati compromessi in modo da forzare la distribuzione del codice nocivo. SANS Internet Storm Center raccomanda a tutti gli amministratori di rete di analizzare i propri log per assicurarsi di non star ospitando il malware.

    Grum.A affligge solo la piattaforma Windows e Microsoft ha fatto sapere, tramite un portavoce, di star investigando sul problema e sull'impatto sui clienti. Ricordiamo che la versione finale di IE7 è stata rilasciata da tempo. Per difendersi da questo tipo di messaggi fasulli Microsoft rende disponibile una pagina web dove spiega come riconoscere le "fake e-mail".

  2. #102
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 29/03/2007]

    Falla ed Exploit "Windows .ANI"
    LINK: MSA 935423Trojan.Anicmoo @ SymateceEye: Advisory e Patch

    Microsoft ha reso noto tramite il Security Advisory 935423 di star investigando su nuove segnalazioni pubbliche relative ad attacchi che sfruttano una vulnerabilità nel modo in cui Windows gestisce i file cursore animati (.ani).

    Secondo quanto riporta Symantec sul blog del Security Response: "La vulnerabilità è causata da una verifica di formato non adeguata, prima del rendering di cursori, cursori animati ed icone. Se sfruttata con successo, la falla permette ad un attacker di eseguire codice da remoto sulla macchina vittima … Pur essendo simile alla vulnerabilità descritta nel Bollettino di Sicurezza MS05-002, si tratta di una falla totalmente nuova … il Security Response ha ricevuto solo una manciata di submission dell'exploit. Attualmente tutti i campioni di codice sono rilevati come Downloader o Trojan.Anicmoo. Si tratta generalmente di file .ani rinominati con l'estensione .jpg". Anche Sophos ha pubblicato un articolo dedicato al nuovo problema di sicurezza, e ha classificato il codice nocivo coinvolto negli attacchi alla falla come Troj/Animoo-U. Anche Trend Micro ha classificato il codice exploit come Troj_Anicmoo.ax. Secondo l'advisory dedicato di Secunia, nota azienda di security monitoring, la vulnerabilità affligge Windows 2000, Windows Server 2003, Windows Storage Server 2003, Windows Vista e Windows XP.


    Dal Security Advisory 935423 di Microsoft: "Perché questo tipo di attacco possa essere condotto con successo un utente deve visitare un sito web che contiene una pagina usata per sfruttare la vulnerabilità, oppure deve visualizzare un messaggio di posta modificato ad arte o un allegato e-mail inviatogli da un attacker. È buona norma essere molto cauti nell'aprire allegati non richiesti o di dubbia provenienza. Microsoft ha aggiunto informazioni sul rilevamento nel Windows Live OneCare Safety Scanner per la rimozione di malware che tentano di sfruttare questa vulnerabilità. Microsoft inoltre intende condividere le informazioni in suo possesso con i partner Microsoft Security Response Alliance in modo da poter rilevare e risolvere più prontamente eventuali attacchi. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft.".

    Secondo Microsoft, gli attacchi sembrano per ora molto limitati e mirati e non diffusi. L'azienda sta monitorando la problematica ed aggiornerà l'Advisory e il blog del team MSRC con nuove informazioni a riguardo, appena disponibili. Il colosso ha anche fornito alcune informazioni addizionali per i clienti riguardo le componenti vulnerabili, un workaround che attenua il rischio derivante dal problema di sicurezza ed i fattori attenuanti che vanno a limitare il livello di rischio per gli utenti di Windows.

    Microsoft suggerisce di leggere i messaggi di posta in formato testo normale in Outlook 2002 e successivi, o Outlook Express 6 SP1 e successivi, per evitare il vettore di attacco nell'anteprima HTML delle e-mail. Il colosso evidenzia che: 1. Se sta usando Outlook 2007 l'utente risulta protetto dalla vulnerabilità indipendentemente dalla modalità di consultazione della posta, come testo normale o no. 2. Se sta usando Windows Mail di Vista per leggere la posta l'utente risulta protetto fintanto che non esegue un forward o un reply della mail inviata dagli attacker. 3. Outlook Express risulta in ogni caso vulnerabile, indipendentemente dalla modalità di consultazione della posta, come testo normale o no.

    Secondo l'alert dell'US-CERT: "Una vulnerabilità di stack buffer overflow esiste in nel modo in cui Windows processa file malformati di cursori animati. Windows non convalida correttamente le dimensioni specificate nell'header ANI. Bisogna notare che Windows Explorer processa i file ANI con diverse estensioni file, come .ani, .cur, o .ico. Inoltre i file di cursore animati vengono processati quando la cartella che li contiene viene aperta o viene usata come un cursore. Infine Internet Explorer è in grado di processare file ANI nei documenti HTML, quindi anche pagine web e messaggi di posta in HTML possono sfruttare la falla". Infine segnaliamo che eEye Digital Security Research Team ha reso disponibile una patch temporanea che impedisce ai file cursore di essere caricati esternamente alla cartella %SystemRoot%. La patch impedisce ai siti web di caricare le proprie icone animate, eventualmente nocive. eEye evidenzia che le aziende che sono interessate ad installare la patch third-party dovranno anche procedere alla sua rimozione una volta che Microsoft avrà reso disponibile un aggiornamento di protezione ufficiale.

  3. #103
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]

    Dai un paio di giorni un nuovo virus si propaga attraverso le condivisioni di rete ed il client di messaggistica Microsoft MSN Messenger. Una volta eseguito, effettua numerose modifiche al Registry di Windows .
    Il virus si autoreplicherà inserendosi con denominazione variabile nelle cartelle condivise (risorse di file-sharing) e inviandosi ai contatti di MSN Messenger.
    Per il momento nome ed estensione pare siano " Photoalbum.zip."
    Una volta in payload, rende assai problematico l'utilizzo del pc, a causa della chiusura immediata delle finestre di numerose applicazioni, nonché la terminazione di numerosi processi di servizio.
    Un esempio di testo nel messaggio è "hey man accept my new photo album.. made it for yah, been doing picture story of my life"

    Fate attenzione a non accettare nessun allegato se non l'avete espressamente richiesto.

  4. #104
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]

    Internet: Pesci d'Aprile 2007
    LINK: Lista di Pesci d'Aprile 2007 @ wikipedia.org@ aprilfools.urgo.org

    La rete è stata invasa, come sempre il primo giorno di Aprile, da notizie false, divertenti ed, a volte, ingegnosamente costruite.

    Google si è presentata puntuale all'appuntamento dell'April Fool Day con l'annuncio di un nuovo rivoluzionario servizio, Google TiSP (BETA), un sistema end-to-end progettato per fornire a tutte le abitazioni accesso wireless in-home, sfruttando la rete fognaria per l'infrastruttura in fibra ottica. Il colosso della ricerca ha anche introdotto Gmail Paper, un servizio integrato nella sua popolare webmail che permette di richiedere un copia fisica dei propri messaggi di posta facendo clic su un semplice pulsante presente nella inbox, Google provvederà a inviare in maniera totalmente gratuita i documenti via posta ordinaria. Eventuali dubbi sull'impatto ambientale di tale soluzione vengono sciolti da Google: i Gmail Paper sono realizzati in un particolare materiale composto al 96% da "post-consumer organic soybean sputum" (espettorato organico di semi di soia). Ma i pesci di aprile tra le news relative alla tecnologia per questo 2007 sono davvero tanti, e probabilmente continueranno ad essere svelati per tutta la giornata e oltre (considerando anche le differenze in fuso orario con gli Stati Uniti). Tra gli altri siti web che hanno organizzato e pubblicato pesci di aprile celebrando a loro modo questo giorno dell'anno dedicato agli "scherzi" segnaliamo: The Pirate Bay, The Register, TechCrunch, World of Warcraft e Slashdot. Una lista aggiornata di nuove notizie e pesci di Aprile (2007) in newspaper, magazine e siti web è disponibile e mantenuta su wikipedia.


    Opera Software va invece contro corrente quest'anno (almeno in apparenza), annunciando in comunicato stampa i risultati di un processo di indagine durato 5 mesi per scegliere il Pesce d'Aprile di quest'anno. Il dipartimento di "Corporate Relations and Prevarication" di Opera ha deciso: "Niente Pesce d'Aprile per il 2007". La burla praticamente sta nel comunicato stampa stesso.

    La festa del Pesce d'aprile viene festeggiata il primo aprile in diversi paesi. In quel giorno vengono fatti scherzi (detti appunto pesci d'aprile) anche piuttosto sofisticati con lo scopo di mettere le persone in imbarazzo. Le origini del pesce d'aprile non sono note, anche se sono state proposte diverse teorie. Si considera che sia collegato all'equinozio di primavera, che cade il 21 marzo. Prima dell'adozione del Calendario Gregoriano nel 1582, veniva osservato come Capodanno da diverse culture, distanti come l'antica Roma e l'India. Il Capodanno era in origine celebrato dal 25 marzo al 1° aprile, prima che la riforma gregoriana lo spostasse indietro al 1° gennaio. Le persone che dimenticavano o che rifiutavano questo cambiamento venivano invitate a feste inesistenti o ricevevano regali divertenti, ecc. che venivano chiamati poisson d'avril (pesce d'aprile).

    Ecco solo alcune delle news-pesce di Aprile di quest'anno:

    - Gmail Paper, servizio di paper archiving per tutti i messaggi Gmail.
    - Google TiSP (beta), in-home wireless broadband gratuito "via cavo in fibra ottica nella rete fongaria"
    - Slashdot ha aggiunto un sistema di rating Digg- o reddit-like per gli articoli, chiamato SlashRating.
    - TechCrunch ha annunciato l'acquisizione di FuckedCompany.com
    - CNET.com ha realizzato una recensione del progetto 'top secret' Apple TiVo.
    - The Register riporta che Google e Apple lanceranno un telefono Mobile chiamato iD.
    - The Pirate Bay ha annunciato di voler spostare i server all'ambasciata nordcoreana a Stoccolma.
    - MyBB ha annunciato una partnership con Microsoft.
    - Digital Inspiration ha rilasciato un hack per scaricare gratis film, audiobook e video musicali da iTunes.
    - NASA ha pubblicato una imagine della "Prima partita di Quidditch nello spazio".
    - SkypeJournal offre una "first look" di "Skype for Cows 3.2".

  5. #105
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]

    Falla Windows ANI: Worm e Patch
    LINK: Security Advance NotificationMSRC BlogCISRT: ANI Worm

    Microsoft ha annunciato tramite la sua Security Bulletin Advance Notification che rilascerà nella giornata di domani un aggiornamento di protezione out-of-bound di emergenza per la vulnerabilità recentemente scoperta in Windows nella gestione dei file cursore animati (.ani). Normalmente il colosso rilascia aggiornamenti di protezione per i suoi software ogni secondo Martedì del mese. La patch di emergenza si è resa necessaria a causa dell'aggravarsi del rischio derivante dalla vulnerabilità che, secondo numerose aziende di sicurezza, sta venendo già sfruttata in-the-wild da codici malware worm-like. Precedentmente l'aggiornaemnto di protezione per la falla Windows Animated Cursor Handling era previsto al rilascio nell'ambito del Patch Day di Aprile (10 Aprile prossimo).

    Il Chinese Internet Security Response Team (CISRT) ha infatti segnalato nella giornata di ieri l'esistenza di un nuovo worm che sfrutta l'exploit della falla nella gestione degli ANI per diffondersi ed infettare i computer. L'esistenza del codice nocivo è stata confermata da F-Secure che ha classificato il file principale del worm come Trojan-Downloader.Win32.Agent.bkp ed i file scaricati dal malware come differenti varianti di Trojan-PSW.Win32.OnLineGames.


    Falla ed Exploit "Windows .ANI"

    Il worm, afferma F-Secure, tenta di localizzare tutti i file HTML presenti nel sistema e di modificarli per inserire un script che carica un file ANI dal dominio macr.microfsot.com. Quando l'utente visualizza questi file HTML o li carica su un web server, l'infezione viene diffusa. Oltre a diffondersi tramite questa falla, il worm tenta di propagarsi anche tramite penne USB e altri media rimovibili (file tool.exe e autorun.inf nella root dei drive e sysload3.exe nella cartella system32).

    Anche Symantec ha pubblicato nella giornata di ieri alcune informazioni relative al nuovo worm, classificato come W32.Fubalca, sul blog ufficiale del Security Response. Symantec evidenzia che lo scopo principale di questo codice malware è quello di rubare account relativi a giochi online, come emerge dall'analisi dei file scaricati dallo stesso worm sui computer ospiti, una serie di "game infostealers". Ulteriori informazioni sono state pubblicate dallo stesso CISRT sul blog ufficiale del gruppo. Anche McAfee ha integrato capacità di rilevamento per il worm nei suoi prodotti antivirus: il codice in questo caso è stato chiamato W32/Fujacks.aa. Nel contempo l'Internet Storm Center ha lanciato uno "Yellow Alert" per il problema di sicurezza. Segnaliamo che sia Immunity sia Metasploit Project hanno incorporato codici exploit di attacco contro questa falla nei loro rispettivi software di security-checking. Nel contempo ricordiamo che sia Eye Digital Security sia ZERT avevano reso disponibili delle patch temporanee che consentivano di proteggere il sistema da attacchi dalla vulnerabilità Windows Animated Cursor Handling.

    Tornando all'aggiornamento di protezione ufficiale per la falla che sarà rilasciato da Microsoft domani, riportiamo il più recente commento pubblicato sul blog del Microsoft Security Response Center: "Dal nostro continuo monitoraggio della situazione, possiamo dire che durante il fine settimina gli attacchi contro questa falla sono aumentati in una certa misura. Inoltre, siamo a conoscenza della divulgazione pubblica di codice proof-of-concept. Alla luce di questo, ed in base al feedback dei clienti, abbiamo lavorato giorno e notte per testare questo aggiornamento e attualmente prevediamo di rilasciare la patch di protezione per il problema Martedì 3 Aprile 2007. Bisogna evidenziare che stiamo ancora testando la release e continueremo a farlo fino a prima del rilascio, per assicurarci il livello massimo di qualità. Potrebbe quindi accadere di trovare un problema che potrebbe forzare un delay della release".

    Nel frattempo Microsoft incoraggia tutti i clienti a procurarsi le ultime definizioni per il proprio software antivirus e per gli altri prodotti di sicurezza, in modo da disporre di un livello di protezione contro eventuali attacchi. Nei giorni scorsi Microsoft ha anche aggiornato il Security Advisory 935423 dedicato al problema di sicurezza per chiarire alcuni punti relativi ai fattori attenuanti e fornire ulteriori informazioni sui sistemi operativi vulnerabili.

  6. #106
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]

    JavaScript "Jikto" PoC in-the-wild
    LINK: Slide: Javascript MalwareCommento di SchrollHoffman Blog

    Secondo quanto riporta InfoWorld, un codice software che può essere usato per trasformare un web browser in un insospettabile strumento di hacking è trapelato su Internet, dopo essere stato scaricato da uno dei partecipanti alla conferenza di hacking "Shmoocon" tenutasi il mese scorso.

    Il software, chiamato "Jikto", è stato scritto da Billy Hoffman, lead researcher di Spy Dynamics. Hoffman ha dato dimostrazione del funzionamento del codice il 24 Marzo scorso durante una presentazione dedicata ai pericoli derivanti dai malware JavaScript. Il ricercatore ha scoperto un modo per creare un "web vulnerability scanner" in JavaScript, linguaggio script supportato da qualsiasi browser moderno. La tecnica mostrata è capace di eludere le restrizioni di sicurezza di JavaScript e per questo motivo, nel timore che il suo codice potesse essere usato impropriamente, Hoffman aveva affermato di aver preso alcuni provvedimenti per impedire la diffusione del particolare software.


    Tuttavia per effettuare la dimostrazione durante la conferenza Shmoocon si era reso necessario caricare il codice Jikto su Internet. Hoffman commenta: "Per un momento è stato possibile vedere l'URL originale da cui veniva caricato il codice Jikto". Questo è stato sufficiente per consentire a Mike Schroll, un altro partecipante alla conferenza e information security consultant di Security Management Partners, di salvare una copia del codice. Schroll ha reso pubblico il codice sul suo sito web il 25 Marzo, inviando un link al codice su Digg.com. Successivamente, dopo alcune ore, Schroll ha rimosso il codice su richiesta di Hoffman.

    Schroll ha affermato di aver pubblicato il codice ritenendo che potesse essere utile per i professionisti della sicurezza che cercano modi di spiegare e descrivere la pericolosità di questo tipo di attacchi. Il software è stato scaricato dal suo sito web circa 100 volte prima di essere rimosso, aggiunge Schroll, che ribadisce che il suo intento non voleva essere nocivo, evidenziando che codice reso pubblico rappresenta solo una parte dell'applicazione, il codice client-side e non la componente GUI di controllo, il viewer, etc. Durante lo scorso fine settimana tuttavia "Jikto" è apparso nuovamente in rete, questa volta sul forum di discussione online Sla.ckers.org.

    Con Jikto ormai "in-the-wild", i ricercatori di sicurezza temono che il codice possa essere usato dai cybercriminali per eseguire scan di reti interne in cerca di informazioni sensibili o per creare codici nocivo botnet. Jeremiah Grossman, chief technology officer di WhiteHat Security, commenta: "Questo particolare strumento è programmato per prendere il controllo del web browser. È capace di analizzare altri siti web in crawling, cercando vulnerabilità".

    Hoffman ha comunque affermato che i cybercriminali probabilmente sono già da tempo in grado di creare qualcosa di simile alla sua piccola applicazione (800 righe di codice). Il ricercatore commenta: "Si tratta quasi di una tragedia che questo codice sia finito in rete … Tuttavia, in realtà, i bad guy probabilmente già conoscevano questa tecnica, ed anche se non la conoscevano, sarebbe stata comunque questione di un paio di mesi". Hoffman ha affermato di non essere particolarmente adirato con Schroll per la release del suo codice: "Probabilmente ha fatto ciò che avrebbe fatto qualsiasi curioso … non posso davvero biasimare qualcuno per la propria curiosità considerato che è proprio ciò su cui si basa il mio lavoro".

  7. #107
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]

    MS07-017: Patch per Windows ANI
    LINK: Bollettino MS07-017Commento MSRC BlogMSKB 925902

    Come annunciato ieri, Microsoft ha reso disponibile il bollettino di sicurezza MS07-017, che include un aggiornamento di protezione di emergenza per la vulnerabilità critica di Windows nella gestione dei file cursore animati (.ani). Il colosso e gli esperti di sicurezza incoraggiano tutti gli utenti ad applicare la patch correttiva al più presto, dato che la vulnerabilità sta venendo sfruttata in-the-wild da codici malware worm-like e rootkit, tramite i vettori web e spam. Precedentemente l'aggiornamento di protezione per la falla Windows Animated Cursor Handling era previsto al rilascio nell'ambito del Patch Day di Aprile (10 Aprile prossimo), appuntamento comunque confermato da Microsoft (domani 5 Aprile avremo notizie sui bollettini che saranno inclusi nel prossimo Patch Day).

    Falla Windows ANI: Worm e Patch - Falla ed Exploit "Windows .ANI"

    La vulnerabilità critica nel Windows Animated Cursor Handling interessa anche il nuovo sistema Windows Vista, oltre che Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Server 2003 SP1, e Windows Server 2003 SP2. In particolare il bollettino MS07-017 include correzioni per sette diverse vulnerabilità nel codice del sistema operativo del colosso: GDI Local EoP - CVE-2006-5758; WMF DoS - CVE-2007-1211; EMF EoP - CVE-2007-1212; GDI Invalid Window Size EoP - CVE-2006-5586; Windows Animated Cursor RCE - CVE-2007-0038; GDI Incorrect Parameter Local EoP - CVE-2007-1215; Font Rasterizer Local EoP - CVE-2007-1213. Windows Vista è affetto da tre di questi problemi di sicurezza come riportato dalla tabella nella sezione "Executive Summary" del bollettino MS07-017.

    Download MS07-017 - KB925902 - ITA: Windows XP SP2x64Windows Vistax64


    Dal MSRC Blog: "Incoraggiamo i clienti a testare ed installare questo aggiornamento il più velocemente possibile oltre che ad assicurarsi di avere gli ultimi aggiornamenti e definizioni per i propri prodotti di sicurezza, come gli antivirus. Gli utenti Home e Small Business che hanno seguito le best practice ed hanno configurato Aggiornamenti Automatici (AU) riceveranno questo aggiornamento automaticamente e non dovranno fare altro. Gli utenti Business che stanno usando Windows Server Update Services (WSUS) e Systems Management Server (SMS) potranno usare questi strumenti per rilevare ed installare automaticamente la patch. Abbiamo evidenziato nell'advisory originale che gli attacchi contro questa vulnerabilità interessano tutte le versioni supportate di Windows e Windows Server, incluso Vista, e sono web-based ed e-mail based. Se state usando Vista, il protected mode di Internet Explorer 7 fornirà protezione addizionale contro gli attacchi web. Inoltre se state usando Outlook 2007, sarete protetti dagli attacchi e-mail based".

    Nonostante il rilascio ufficiale di una patch per il problema, i ricercatori di sicurezza prevedono un ulteriore inasprimento degli attacchi contro la vulnerabilità nei prossimi giorni. Secondo Websense, sono stati isolate almeno 700 siti web che ospitavano e diffondevano il codice exploit .ANI. Inoltre i ricercatori hanno identificato il codice attacco anche in messaggi inviati via spam, e kit automatizzati stanno venendo distribuiti online per consentire anche ai cybercriminali meno esperti di creare malware basati sul l'exploit della falla in Windows ANI. Nelle ultime 24 ore gli exploit .ANI hanno rappresentato in codice malware più rilevato proveniente dalle regioni asiatiche. Secondo i ricercatori, il codice diventerà entro una settimana o due l'exploit più utilizzato in tutto il mondo.

    A questo proposito segnaliamo un interessante articolo tecnico pubblicato dal gruppo ZERT che descrive il funzionamento dell'exploit ANI (con commenti e diagrammi). Segnaliamo inoltre un video pubblicato sul blog ufficiale di Determina, l'azienda che aveva segnalato per prima a Dicembre 2006 la falla di sicurezza a Microsoft, che mostra l'esecuzione di una attacco alla vulnerabilità su Windows Vista tramite un exploit che funziona su Internet Explorer 7 e Mozilla Firefox 2.0. Infine evidenziamo un "problema noto" che interessa l'aggiornamento MS07-017 e che potrebbe causare inconvenienti a molti utenti, in particolare a coloro che usano gli Aggiornamenti Automatici e che non hanno letto l'articolo KB925902. Dopo l'installazione dell'aggiornamento su Windows XP SP2 gli utenti potrebbero riscontrare un problema nel caricamento del Realtek HD Audio Control Panel (Rthdcpl.exe) e ricevere un errore. Microsoft ha reso disponibile una articolo di supporto dedicato (KB935448) ed un hotfix scaricabile per i clienti interessati da questo specifico problema.

  8. #108
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]

    BN Amro rimborserà le vittime del phishing


    La buona notizia è solo per quattro vittime delle nuove truffe on-line, ma in ogni caso è la dimostrazione della buona volontà delle banche di tutelare i propri clienti.

    I quattro malcapitati utenti della banca olandese, erano rimasti vittime di un apposita e-mail contenente in allegato un pericoloso malware (Trojan-Spy.Win32.Banker.cmb) in grado di modificare le impostazioni dei propri browser e reindirizzare gli utenti nel momento in cui cercavano di accedere al sito web del proprio istituto di credito, verso una sua copia clone.

    All’interno del quale non hanno esitato a fornire i propri dati personali, insieme ad username e password, tutte informazioni che hanno permesso al phisher di svuotare i loro conti, anche se al momento la cifra totale estorta non si conosce.

    Poco male, visto che in ogni caso per i quattro l’incubo phishing è terminato nel migliore dei modi, infatti come Johan van Hall, responsabile di ABN Amro Olanda, ha dichiarato "Abbiamo preso questo incidente molto seriamente, ed abbiamo implementato ogni possibile soluzione tecnica a nostra disposizione per fermare questi criminali".

    ABN Amro entra così, anche se non si conoscono le regioni per cui solo quattro clienti vengano rimborsati, tra gli istituti di credito e non che hanno dato il via al restituzione delle somme truffate ai propri clienti da parte di sempre più abili furfanti digitali.

    L’ultima in ordine di tempo è stata la svedese Nordea, che ha dichiarato di voler risarcire i propri clienti, per un tentativo di truffa analogo a quello dell’istituto di credito olandese, mentre nel paese del sol levante Yahoo! Japan ha tutelato le vittima di apposite aste fanstama.

    Ulteriori informazioni:
    ABN Amro


    Fonte: Anti-Phishing Italia –
    www.anti-phishing.it

  9. #109
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]

    Microsoft "Pre-Patch Day" APR 07
    LINK: Microsoft Security Bullettin NoteZero-Day Tracker di eEye Digital

    Dopo aver rilasciato due giorni il bollettino di emergenza out-of-bound MS07-017 per correggere la vulnerabilità critica di Windows nella gestione dei file cursore animati (.ani), già sfruttata in numerosi attacchi malware in-the-wild, Microsoft ha annunciato oggi che il 10 Aprile prossimo rilascerà 5 nuovi bollettini di sicurezza con relative patch per correggere varie altre falle isolate nei suoi software.

    MS07-017: Patch per Windows ANI - Altre

    Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese. Si contano 4 bollettini di sicurezza relativi a Microsoft Windows (di cui almeno uno di livello critico) e 1 bollettino critico relativo a Microsoft Content Management Server, strumento basato sulla tecnologia .Net dedicato alla gestione di contenuti Web. Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente.


    Il colosso rilascerà anche il consueto aggiornamento per lo strumento di rimozione malware per Windows. Per quanto riguarda gli aggiornamenti non relativi alla protezione, Microsoft renderà disponibili anche 2 aggiornamenti ad alta priorità per Windows su Windows Update e Software Update Services e 4 aggiornamenti su Microsoft Update e WSUS.

    Nelle sue Security Bulletin Advance Notification Microsoft, come regola, non rivela in anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tra le patch di protezione per Windows non è da escludere il rilascio di un aggiornamento di sicurezza per Internet Explorer e di correzioni per varie falle conosciute già da mesi.

    Da quanto trapelato ad ogni modo il colosso non fornirà correzioni per vulnerabilità in Microsoft Office. Secondo lo Zero-Day Tracker di eEye Digital, rimarrebbero scoperte ancora una falla di esecuzione codice in Microsoft Word, segnalata a metà Febbraio, ed una falla DoS in PowerPoint che risale ad Ottobre 2006. Per Word si tratta di una falla segnalata da McAfee Avert Labs (CVE-2007-0870) che inizialmente sembrava interessare solo Word 2000 e che il colosso di Redmond aveva verificato come limitata ad un attacco Denial of Service. Una successiva e approfondita analisi effettuata da McAfee ha svelato che l'exploit di questo problema di sicurezza (inizialmente classificato come variante del codice Exploit-MS06-027) può invece essere sfruttato per eseguire codice da remoto su un sistema vulnerabile. Questa analisi è stata confermata da Microsoft che ha pubblicato immediatamente il Security Advisory 933052 dedicato. Il codice exploit per la falla può colpire a quanto pare anche Word XP, tuttavia, afferma Microsoft, la tecnica di attacco è tutt'altro che facile.

  10. #110
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]

    Sophos Top Ten Marzo 2007
    LINK: Sophos Top Ten marzo 2007Grafici

    Sophos, società leader a livello mondiale nella sicurezza informatica e nella tecnologia di controllo dell'accesso alla rete (NAC), ha reso nota la classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di marzo 2007, causando problemi agli utenti di tutto il mondo.

    L'Italia occupa il dodicesimo posto nella classifica dei paesi che ospitano il maggior numero di siti web infetti. Dai dati raccolti dai SophosLabs emerge un cambiamento per quanto riguarda i vettori di diffusione usati dagli hacker: scende il malware nascosto nella posta elettronica, 0,18%, pari a una e-mail infetta su 555, crescono invece i messaggi spam contenenti link a siti web infetti. Il rapporto, compilato sui dati raccolti dai SophosLabs, rivela che nel mese di marzo sono stati i worm della famiglia Netsky a rendere la vita particolarmente difficile agli utenti di tutto il mondo, infatti, quasi un terzo di tutto il malware segnalato in marzo appartiene a questa famiglia. Netsky è riuscito a riconquistare la vetta della classifica, sebbene protezione specifica per questo codice sia disponibile ormai da oltre tre anni.

    Sophos: Domina il Malware Criptato - Sophos: Rapporto Sicurezza 2007 - Altre

    Un dato interessante riguarda l'incidenza delle e-mail infette: a marzo i SophosLabs hanno registrato una percentuale dello 0,18%, pari a una mail infetta su 555. Le nuove minacce identificate da Sophos sono state invece 8.835. Queste cifre indicano che, se da un lato il malware nascosto nella posta elettronica continua a causare problemi, i vettori di diffusione stanno cambiando: gli hacker sono sempre meno propensi a rilasciare worm di tipo mass-mailing e tendono invece all'utilizzo sempre più frequente di messaggi di spam contenenti link a siti web infetti.


    La top ten del malware per il mese di marzo 2007 è la seguente:1. Netsky (32,7%), 2. Mytob (30,4%), 3. Sality (7,8%), 4. MyDoom (5,2%), 5. Bagle (4,1%), 6. Zafi (3,4%), 7. Stratio (2,6%), 8. Nyxem (2,6%), 9. Clagger (2,4%), 10. DwnLdr (2,0%), Altri 6,8%

    "I messaggi indesiderati che nascondono Netsky nell'allegato continuano a proliferare come erbacce in un giardino incolto. Ciò dimostra che le mail non richieste, inviate a milioni di utenti, continuano comunque ad essere uno strumento efficace per propagare il malware", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "È frustrante constatare quanto mirati e subdoli siano i nuovi attacchi che sfruttano i messaggi di spam. Ma come possiamo sperare che gli utenti si proteggano adeguatamente contro queste nuove minacce, se non siamo ancora riusciti a debellare due 'soliti noti' come Netsky e Mytob? È indispensabile che gli utenti, sia privati che business, si adoperino per salvaguardare i propri PC, nell'interesse di se stessi e di tutti gli utenti che navigano in Internet".

    La top ten dei Paesi che ospitano il maggior numero di siti web infetti per il mese di marzo 2007 è la seguente: 1. Cina (incl. Hong Kong) 35,6%, 2. Stati Uniti 32,3%, 3. Germania 7,5%, 4. Regno Unito 5,5%, 5. Russia 4,6%, 6. Francia 3,6%, 7. Paesi Bassi 1,3%, 8. Corea del Sud 1,2%, 9. Ucraina e Canada 1,0%, Altri 6,4%. "Con lo 0,8% l'Italia occupa il 12° posto della classifica dei Paesi che ospitano il maggior numero di siti web - prosegue Narisoni - una posizione che genera un segnale d'allarme per le società di web hosting: è necessario che queste vigilino attentamente sulla sicurezza dei propri server, per evitare che i criminali informatici ne assumano il controllo e installino malware sui siti web ospitati su tali server".

    La classifica dei falsi allarmi e delle catene di Sant'Antonio per il mese di marzo 2007 è la seguente:1. Hotmail hoax (39,2%), 2. Olympic torch (5,6%), 3. Budweiser frogs screensaver (3,7%), 4. Meninas da Playboy (2,3%), 5. A virtual card for you (2,3%), 6. MSN is closing down (2,3%), 7. Bonsai kitten (1,9%), 8. Bill Gates fortune (1,7%), 9. Justice for Jamie (1,4%), 10. Music Top 50 (1,2%)

    I grafici di questa top ten sono disponibili all'indirizzo: www.sophos.com/pressoffice/imggallery/topten/

  11. #111
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]

    MS07-017: Problemi Noti e Dettagli
    LINK: MSRC BlogBollettino MS07-017MSKB 925902

    Nei giorni scorsi Microsoft ha pubblicato due dettagliati commenti sul blog ufficiale del suo Microsoft Security Response Center per fornire informazioni addizionali sul bollettino di sicurezza MS07-017 ed il relativo hotfix di protezione di emergenza per la vulnerabilità critica Animated Cursor Handling (CVE-2007-1215) di Windows nella gestione dei file cursore animati (.ani), rilasciati 4 giorni fa. Prima di tutto Microsoft ha voluto fornire un "inside look" al processo di sviluppo e rilascio del bollettino MS07-017 per chiarire alcuni dubbi emersi riguardo il tempo impiegato dall'azienda per questa release (3 mesi dalla segnalazione originale di Determina del 20 Dicembre 2006).

    MS07-017: Patch per Windows ANI - Falla Windows ANI: Worm e Patch - Altre


    Microsoft evidenzia in particolare di aver fornito la patch di sicurezza entro 5 giorni dalle prime notifiche relative ad attacchi exploit in-the-wild: "Il problema di sicurezza ha seguito il medesimo processo usato per tutte le segnalazioni di vulnerabilità. In base alla gravità della segnalazione iniziale, abbiamo iniziato a lavorare per la release subito dopo ave verificato e riprodotto la vulnerabilità. Il livello di priorità assegnato ai problemi di sicurezza è basato sulla gravità della falla e sul rischio per i clienti.

    Il livello di urgenza e la nostra volontà di 'abbreviare' i passaggi del processo, come il testing sulla qualità, per abbreviare i tempi di release, è basato sul rischio effettivo per clienti in quel determinato momento. Indipendentemente dal tipo segnalazione del problema, effettuata in maniera responsabile o no, se il rischi per i clienti è imminente tentiamo di bilanciare la necessità di qualità e 'comprehensiveness' (indagine, correzione e testing di tutte le vulnerabilità nel codice interessato) con la necessità di proteggere i clienti il più presto possibile … In questo particolare caso, la nostra indagine in Gennaio e Febbraio ha evidenziato che esisteva una dipendenza tra uno dei file necessari per la correzione di una falla correlata in un driver di sistema che si esegue in kernel mode (win32k.sys) CVE-2006-5758 ed il file che doveva essere aggiornato per risolvere la vulnerabilità Windows Animated Cursor Handling CVE-2007-0038 (user32.dll). Questa dipendenza significava che un aggiornamento comprensivo richiedeva che entrambi i file fossero installati nei sistemi allo stesso tempo, e la nostra indagine ha incluso diversi componenti.

    Il risultato di questa indagine complessiva è stato che in MS07-017 abbiamo corretto 7 diverse vulnerabilità segnalate ed altri problemi riscontrati durante il processo di indagine interna, invece di richiedere ai clienti di installare svariati fix per lo stesso set di vulnerabilità… Il passo successivo della nostra indagine è stato quello di creare e testare gli aggiornamenti di protezione a Febbraio e Marzo, un processo che richiede, in media, 2 mesi di tempo per la maggior parte degli aggiornamenti di protezione per Windows. Per questa particolare problematica, l'aggiornamento modifica una funzionalità interna e fondamentale al sistema operativo, sia nel rendering grafico, sia nelle operazioni in kernel mode. Per questo motivo è stato effettuato un testing esteso, e questo processo ha coinvolto centinaia di persone in diversi team in tutto il mondo per assicurare un copertura più completa. In questo caso ad un certo punto i nostri test hanno scoperto più di 80 potenziali problematiche con l'aggiornamento che sono state analizzate e risolte … solo un problema minore era conosciuto e assistenza con un hotfix era già pronti per clienti al momento della release
    ".

    Avevamo infatti già evidenziato nella news relativa al rilascio del bollettino il "problema noto" che interessava l'aggiornamento MS07-017 e che poteva causare inconvenienti a molti utenti, in particolare a coloro che usano gli Aggiornamenti Automatici e che non avevano letto l'articolo KB925902. Dopo l'installazione dell'aggiornamento su Windows XP SP2 gli utenti potrebbero riscontrare un problema nel caricamento del Realtek HD Audio Control Panel (Rthdcpl.exe) e ricevere un errore. Microsoft ha reso disponibile una articolo di supporto dedicato (KB935448) ed un hotfix scaricabile per i clienti interessati da questo specifico problema. Microsoft ha pubblicato recentemente nuove informazioni sui problemi noti per l'aggiornamento MS07-017, aggiornando l'articolo KB925902. "I nostri team lavorano continuamente fio che non rilasciamo un aggiornamento di protezione tramite il processo regolare o out-of-band. Una volta rilasciato l'aggiornamento ANI, il nostro gruppo di 'Customer Service e Support' mondiale ha immediatamente insaziato a lavorare giorno e notte con i clienti per aiutarli ad installare gli aggiornamenti e da quel momento abbiamo isolato tre applicazioni addizionali che sono interessate dallo stesso problema documentato precedentemente. In particolare, oltre al problema al Realtek HD Audio Control Panel, abbiamo aggiunto le seguenti applicazioni all'articolo Knowledge Base: ElsterFormular, TUGZip, CD-Tag ... l'hotfix disponibile attualmente al download corregge il problema identificato".


    Secondo Microsoft l'impatto di questi problemi è "chiaramente non diffuso", ma tuttavia potrebbe interessare alcuni utenti. Per aiutare i clienti che usano queste applicazioni, il colosso ha rilascaito l'hotfix per risolvere il problema su Windows Update (WU), Microsoft Update (MU), e Automatic Updates (AU) come parte del Patch Day del 10 Aprile come aggiornamento ad alta priorità non di sicurezza.

    Il colosso ha anche rilasciato spiegazioni dettagliate per la distribuzione su Windows Server Update Services (WSUS) e Software Update Services (SUS) e per gli utenti degli strumenti Microsoft Baseline Security Analyzer (MBSA) e Systems Management Server (SMS).

    Nonostante il rilascio ufficiale di una patch per il problema nel Animated Cursor Handling (CVE-2007-1215), i ricercatori di sicurezza avevano previsto un inasprimento degli attacchi contro la vulnerabilità in questi giorni. Secondo Websense, sono stati isolate almeno 700 siti web che ospitavano e diffondevano il codice exploit .ANI. Inoltre i ricercatori hanno identificato il codice attacco anche in messaggi inviati via spam, e kit automatizzati stanno venendo distribuiti online per consentire anche ai cybercriminali meno esperti di creare malware basati sul l'exploit della falla in Windows ANI. Nelle ultime 24 ore gli exploit .ANI hanno rappresentato in codice malware più rilevato proveniente dalle regioni asiatiche. Secondo i ricercatori, il codice diventerà entro una settimana o due l'exploit più utilizzato in tutto il mondo.

    Segnaliamo un video pubblicato sul blog ufficiale di Determina che mostra l'esecuzione di una attacco alla vulnerabilità su Windows Vista tramite un exploit che funziona su Internet Explorer 7 e Mozilla Firefox 2.0. A questo proposito secondo Determina, la vulnerabilità relativa ai cursori animati di Windows interessa tutte le applicazioni che si appoggiano alle API relative di Microsoft. Tra questi programmi ricordiamo molti viewer di file grafici e multimediali, come IrfanView ed anche Firefox. Questi programmi potrebbero quindi essere utilizzati come vettori per sfruttare la falla. Mozilla Foundation ha reso noto di essere al lavoro su un aggiornamento di Firefox che possa impedire eventuali attacchi basati sui cursori animati, e questo anche nel caso in cui l'utente non abbia provveduto ad applicare la patch di Microsoft.

  12. #112
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]

    Windows XP SP3: Dubbi, Conferme
    LINK: Paul Thurrott su XP SP3Commento di Mary Jo FoleySP Road Map

    Mentre ormai si parla già ampiamente del prossimo SP1 per Windows Vista, riemergono in rete dubbi e domande riguardo Windows XP SP3, il terzo service pack per il "vecchio" sistema client Windows, il cui rilascio è stato varie volte "rimandato" dal colosso di Redmond.

    Paul Thurrott di WindowsITpro riporta in un recente articolo un rumor preoccupante: "L'azienda ha completamente abbandonato Windows XP e assolutamente non ha intenzione di rilasciare mai XP SP3 … Secondo me Microsoft farà quello che ha già fatto con il Service Pack finale di Windows 2000: affermare anni dopo che non è più necessario e rilasciare solamente un security patch roll-up finale. Questo è il peggior benservito per un prodotto Microsoft che io abbia mai visto, e ci si attendeva che l'azienda mostrasse un po' più rispetto per il suo sistema operativo più venduto di tutti tempi".

    Lo scorso autunno Microsoft aveva aggiornato la sua "Windows Service Pack Road Map", relativa ai rilasci dei Service Pack per i sistemi operativi supportati, portando la data di rilascio di Windows XP Service Pack 3 (SP3), definita "preliminare", alla prima metà del 2008. Ad inizio 2006 il colosso aveva già "rimandato" XP SP3 a fine 2007. Ricordiamo che l'ultimo aggiornamento service pack per XP, rilasciato dal colosso ad Agosto 2004, è stato Windows XP SP2, una release "significativa", un "major upgrade" del sistema, in virtù delle nuove funzionalità e caratteristiche introdotte. Microsoft non rilasciato commenti ufficiali per spiegare il delay, anche se c'è da immaginare che lo sviluppo di Windows Vista e Longhorn Server siano stati finora la priorità assoluta del team Windows.


    Windows XP SP3 Slitta nel 2008!

    Precedentemente Microsoft aveva confermato il futuro rilascio di XP SP3 ma ne aveva prevista la disponibilità per lo stesso periodo di lancio di Windows Vista. Il ritardo di XP SP3 era arrivato come una notizia raccapricciante per home user, amministratori e OEM, che sono costretti a scaricare una quantità sempre maggiore (più di 200MB) di aggiornamenti di sistema dopo aver effettuato un'installazione "pulita" di Windows XP, anche con SP2 slipstreamed. Ovviamente tutte le patch e gli aggiornamenti possono essere integrati in anticipo nel CD di installazione del sistema, ma questa non è certo una operazione facile o comoda, considerando che Microsoft rilascia patch di sicurezza su base mensile.

    In rete circolano da tempo vari pacchetti SP3 non ufficiali che offrono una semplice collezione di hotfix e updates rilasciate successivamente a Service Pack 2 per Windows XP. Microsoft aveva comunque commentato, alquanto duramente, queste release non ufficiali di Windows Service Pack 3, evidenziando il fatto che questi pacchetti includessero hotfix privati che normalmente vengono rilasciate solo ai clienti con specifici problemi. Molti hotfix non hanno passato i test di qualità adeguati ad un rilascio pubblico e per questo motivo vengono inviate agli utenti solo tramite assistenza. Microsoft consiglia esclusivamente l'uso di Windows Update e Download Center per ottenere gli ultimi aggiornamenti disponibili per il proprio sistema operativo. Qualsiasi altro update ottenuto non direttamente da una download location Microsoft non viene supportato dall'azienda in nessuna maniera.

    Mary Jo Foley ha ripreso le ultime indiscrezioni su XP SP3 sul suo blog All About Microsoft ed ha riportato un commento ufficiale di Microsoft alle parole di Thurrott. "SP3 per Windows XP Home Edition [e Professional] è attualmente previsto per 1H CY2008. Questa data è preliminare", ha affermato un portavoce dell'azienda. In altre parole ufficialmente Microsoft non ha modificato i suoi piani di rilascio di XP SP3, che rimane previsto per la prima metà del 2008, circa un anno dopo il rilascio di Vista e ben 4 anni dopo XP SP2, così come annunciato l'anno scorso sulla pagina dedicata ai product-lifecycle.

  13. #113
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    McAfee: Threat Report "Issue 2"
    LINK: McAfee Threat CenterSage Vol.1, Issue 2 (PDF)

    McAfee ha annunciato la seconda uscita del Global Threat Report, il periodico semestrale di sicurezza ideato per aggiornare e tenere informato chi si occupa di sicurezza a tutti i livelli, dal personale tecnico ai responsabili di sicurezza, sulle tematiche più attuali che possano essere loro di supporto nel prendere decisioni riguardo alla sicurezza con maggiore consapevolezza. Il nuovo numero del Global Threat Report include articoli firmati da famosi ricercatori, manager e divulgatori McAfee, che si sono cimentati su argomenti quali il cybercrimine, la sicurezza di Microsoft Windows Vista, lo spyware, lo spam, la sicurezza nella telefonia mobile, la perdita dei dati e il security risk management. La nuova versione del Global Threat Report è scaricabile dal McAfee Threat Center.

    McAfee SiteAdvisor: Quota 38 Mln - Altre

    Il Global Threat Report offre uno sguardo a quello che sarà il prossimo futuro della sicurezza informatica: le minacce, le difese e le problematiche che chi si occupa di sicurezza si troverà ad affrontare nei prossimi cinque anni.


    Il futuro del cybercrimine: oggi, la maggior parte dei criminali informatici punta agli utenti di PC, ma prevediamo che gli aggressori amplieranno i loro orizzonti verso altre aree tecnologiche, come il VoIP e l'RFID, dal momento che tali tecnologie sono oggi adottate in modo più diffuso. Rendere sicure le applicazioni: la sicurezza delle applicazioni è una gara costante e gli sviluppatori stanno lottando per stare al passo. Dal momento che vengono rese disponibili più informazioni sulla natura dei bug software e sulle modalità per poterli sfruttare, gli hacker possono usufruire di queste informazioni nel loro processo di scoperta delle falle e trovare delle vulnerabilità che precedentemente erano state considerate innocue. Il futuro della sicurezza, Vista: mentre Microsoft ha adottato delle misure per rendere più sicuro il kernel di Vista, i miglioramenti non solo indeboliscono gli sforzi delle terze parti per aumentare la sicurezza del sistema, ma non sono in grado di svolgere questo compito con le proprie sole forze.

    Lo spyware è in aumento: anche se i programmatori aggiungono alcune misure di sicurezza in fase di sviluppo, la nuova tecnologia spyware spesso supera di molto la migliore progettazione perfino dei tecnici più diligenti, aprendo nuovi fronti agli attacchi. Lo spyware ci perseguiterà anche attraverso nuove tecnologie, come il Bluetooth e l'RFID. La piaga dello spam persiste: McAfee prevede una crescita molto limitata del volume dello spam in termini percentuali nei prossimi due anni, ma sarà il volume complessivo dello spam in sé a crescere con l'aumento di banda a livello globale. Lo spam di immagini è l'ultimo escamotage degli spammer per superare le difese. La criminalità online si trasferisce sui telefoni cellulari: Mentre è opinione comune che la telefonia mobile sia sicura, McAfee sta osservando una rapida crescita negli attacchi mobile con un incremento anche nella diversificazione delle tecniche di attacco. Fermare la fuoriuscita dei dati: la perdita dei dati è una preoccupazione di sicurezza emergente e ha un immenso impatto sulla reputazione di una società. Mentre la crittografia del disco rimane l'unica tecnologia ragionevolmente matura per prevenirla, McAfee prevede che una protezione di base contro la perdita dei dati e la crittografia dei dischi avranno una diffusione ragionevolmente ampia all'interno di aziende strutturate nei prossimi cinque anni. Gestire il rischio: il security risk management è un problema di strategia non indifferente per i manager IT. Le organizzazioni necessitano di adottare un processo di risk management per le loro attività.

    "La lotta continua tra chi si occupa di sicurezza e gli autori di malware è una corsa agli armamenti — non importa quanto velocemente i professionisti della sicurezza progettino nuove difese, i cattivi sembrano fare gli stessi progressi" ha dichiarato Jeff Green, senior vice president, McAfee Avert Labs. "Il Global Threat Report è stato creato per aiutare gli esperti di sicurezza a stare al passo con il mutevole panorama odierno delle minacce, offrendo loro dei punti di vista ragionati su cosa devono tenere d'occhio e su quello da cui guardarsi nel momento in cui pianificano per il futuro.

  14. #114
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    Falla DNS Server: Allerta Worm!
    LINK: MSA 935964Nirbot.worm!RpcDns @ McAfeeRinbot.BC @ Symantec

    Varie aziende di sicurezza hanno lanciato l'allerta sulla diffusione di nuovi codici worm che sfruttano la vulnerabilità in Domain Name System (DNS) Server Service (CVE-2007-1748) su Windows 2000 Server SP4, Server 2003 SP1, e Windows Server 2003 SP2, segnalata alcuni giorni fa. Ricordiamo che Microsoft aveva reso noto tramite il Security Advisory 935964 di star investigando su nuove segnalazioni pubbliche relative ad attacchi "limitati" che sfruttavano questo problema di sicurezza.

    Tuttavia la situazione si è "aggravata" giorno dopo giorno con il rilascio di almeno 4 codici exploit pubblici ed ora con la diffusione di almeno 2 varianti di codice malware "worm". Bisogna evidenziare che Windows 2000 Pro SP4, Windows XP SP2, e Windows Vista non sono affetti da questo problema di sicurezza perchè non contengono il codice vulnerabile, per questo non possono essere attaccati dal worm tramite il nuovo vettore.


    MSA935964: Falla RCE DNS Server

    Dal blog ufficiale del Microsoft Security Response Center: "Il nostro processo di monitoring continuo in collaborazione con i nostri partner MSRA indica l'esistenza di un nuovo attacco che tenta di sfruttare questa vulnerabilità. Al momento l'attacco non sembra essere diffuso su larga scala. Come parte del nostro Software Security Incident Response Process (SSIRP) continuiamo a lavorare tramite diversi canali per incoraggiare i clienti ad installare rapidamente i workaround offerti nell'Advisory. Facendo questo è possibile attenuare il rischio di attacchi efficaci alle proprie reti … In particolare, incoraggiamo i clienti a applicare la soluzione alternativa con la modifica della chiave di registro. Inoltre invitiamo tutti ad assicurarsi di aver installato le ultime definizioni di rilevamento per i propri prodotti di sicurezza". Nel suo advisory MSA935964, Microsoft fornisce alcuni workaround temporanei che permettono ai clienti di difendersi dagli attacchi che sfruttano questa vulnerabilità. Si tratta di in sostanza di disabilitare la gestione remota tramite RPC per i server DNS, modificando una chiave di registro (manualmente o tramite REG), o bloccando o filtrando le porte usate dal protocollo nel firewall o via IPSEC (tutti i dettagli nel MSA935964 - Versione in italiano).

    Detto questo, diamo uno sguardo ai dettagli finora trapelati sui nuovi codici malware worm che sfruttano questa vulnerabilità per infettare i sistemi e creare una botnet di PC infetti. McAfee ha riportato la notizia della scoperta dei nuovi malware sul blog ufficiale dei suoi Avert Labs. L'azienda di sicurezza ha isolato finora due varianti di questo codice nocivo che ha classificato come varianti del worm Nirbot. Nella descrizione della minaccia, W32/Nirbot.worm!83E1220A è classificato come "internet relay chat controlled backdoor" in grado di offrire agli attacker accesso non autorizzato da remoto ai computer compromessi. I computer infetti possono essere usati per inviare spam, installare adware, distribuire contenuti illegali o lanciare attacchi DDoS ad altri sistemi. Questa variante esegue lo scan di macchine vulnerabili sulla rete ed usa le stesse vulnerabilità utilizzate dal codice originale W32/Nibot.worm.gen più la nuova vulnerabilità in DNS RPC. Finora le due nuove varianti sono state associate a due nomi file: mozila.exe (W32/Nirbot.worm!RpcDns) e mdnex.exe (W32/Nirbot.worm!83E1220A).

    Anche Symantec sul blog del suo team Security Response ha riportato la scoperta dei nuovi codici worm in-the-wild. Symantec ha classificato la minaccia come W32.Rinbot.BC. L'azienda ha notato un aumento dell'attività sulla porta TCP 1025 come risultato delle operazioni di scanning effettuate da W32.Rinbot.BC in cerca di computer vulnerabili in rete. Symantec consiglia di bloccare la porta TCP 1025 in modo da evitare l'attacco. Anche ISC SANS riporta la medesima attività di scanning e offre uno sguardo all'attuale copertura di rilevamento antivirus. Bisogna tuttavia evidenziare che in un ultimo aggiornamento per il Security Advisory 935964, Microsoft ha reso noto che la vulnerabilità può essere sfruttata anche tramite la porta 445. ISC SANS evidenzia che è già disponibile un exploit pubblico che supporta il vettore di attacco TCP445, anche contro Windows 2003 Server SP2.

    Sophos ha classificato la minaccia come W32/Delbot-AI worm. L'azienda evidenzia che il codice worm è capace di sfruttare anche una vulnerabilità presente nei prodotti antivirus di Symantec, che comunque è stata corretta un anno fa dal vendor.

  15. #115
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    Storm "Nuwar": Attacco Massiccio
    LINK: W32/Nuwar@MM!zip @ McAfeeWORM_NUWAR.AOP @ Trend Micro

    Il famigerato "Storm worm" che ha colpito duramente nei mesi scorsi diffondendosi via spam in tutto il mondo, con svariante ondate e varianti, è tornato nuovamente all'attacco con una nuova pericolosa variante (probabilmente due) della famiglia "NUWAR" che si sta rendendo responsabile in queste ore di un massiccio attacco via spam.

    Storm Trojan Mira a Blog e Forum - Altre

    Secondo l'Internet Storm Center sono state rilevate almeno 20.000 infezioni solo nella giornata di ieri. Patrick Martin, un senior product manager del Security Response Team di Symantec, ha affermato di aver ricevuto centinaia di segnalazioni di e-mail nocive in circolazione. Secondo i ricercatori di Postini Inc., il nuovo "spam run" è il più massiccio attacco di questo tipo degli ultimi 12 mesi, oltre tre volte più vasto in volume rispetto ai due più grandi attacchi spam recenti. Adam Swidler, senior manager del solutions marketing presso Postini parla di un volume di spam 50/60 volte più grande rispetto al normale. Johannes Ullrich, chief research officer del SANS Institute echief technology officer dell'Internet Storm Center, commenta: "Potenzialmente si tratta di un problema enorme … una volta che l'utente viene infettato, è molto difficile poter eliminare l'infezione. È probabile che sia necessario re-installare il sistema".


    Il nuovo "virus outbreak" è iniziato con un attacco spam imponente che sta intasano gli account di posta di tutto il mondo. Le e-mail nocive presentano come oggetto: "Worm Alert," "Virus Alert," "Worm Activity Detected!" e "Dream of You". Alcuni dei titoli usati dai cybercriminali includono anche la parola "love", molti altri promettono una patch per un fantomatico "new bug". A quanto pare il sistema usato per generare lo spam modifica i testi degli oggetti in maniera regolare in modo da ingannare utenti e vendor antivirus. All'interno delle e-mail infette è presente una immagine GIF e un file zip criptato. L'immagine mostra la password necessaria per aprire l'archivio. Al contrario del malware originale "Storm", che si nascondeva in eseguibili, la variante è contenuta in un file ZIP criptato, e quindi molto più difficile per i software antivirus rilevare la presenza di codice nocivo nell'allegato di posta e bloccarlo preventivamente.

    Se un utente apre il file infetto, il malware si insedia nella macchina vittima e si connette ad una rete peer-to-peer nella quale può caricare dati, come informazioni personali rubate dal PC infettato. Il malware è inoltre capace di scaricare codice nocivo addizionale nel sistema. Come le varianti precedenti di Storm Trojan, il malware presenta capacità rootkit per nascondere la sua presenza nel sistema, disabilita programmi di sicurezza, e ruba dati confidenziali dal PC vittima. I computer infettati inoltre entrano a far parte di una botnet come macchine "zombie", e possono essere usati per inviare spam e lanciare altri attacchi. La nuova variante di Storm esegue anche una ricerca nel disco rigido dell'utente per trovare indirizzi di posta e propagarsi inviando messaggi nocivi a questi contatti. L'integrazione del sistema P2P rende il malware ancora più invulnerabile e difficile da bloccare, in quanto non è possibile chiudere o mettere offline un server specifico o un nodo di rete, come accade con i malware che sfruttano i server IRC. Trend Micro classifica il codice come WORM_NUWAR.AOP e riporta un rischio complessivo "Medio" per il problema di sicurezza.

    Come sempre in occasione di questo tipo di allerta virus (e come buona norma di sicurezza generale) si consiglia di mantenere aggiornato il proprio software antivirus e di non aprire allegati e file ricevuti in maniera inaspettata da persone conosciute o sconosciute. Come riporta Harry Waldron, un Microsoft MVP, sul suo blog dedicato alla sicurezza, la copertura in rilevamento da parte degli antivirus è ancora molto bassa, così come emerge eseguendo un scan dell'allegato ZIP infetto sul servizio online VirusTotal. Se si escludono gli antivirus che non eseguono lo scan del file perché criptato, tra più di 30 software antivirus e antimalware, solo Mcafee (W32/Nuwar@MM!zip), ClamAV (Trojan.Small-zippwd-1, Symantec (Trojan.Peacomm!zip) e Webwasher-Gateway (Trojan.Zhelatin.ZIP.Gen) rilevano la minaccia

  16. #116
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    MSA935964: Falla RCE DNS Server
    LINK: Security Advisory 935964MSRC BlogSecunia Advisory 24871

    Microsoft ha reso noto tramite il Security Advisory 935964 di star investigando su nuove segnalazioni pubbliche relative ad attacchi "limitati" che sfruttano una vulnerabilità Domain Name System (DNS) Server Service in Windows 2000 Server SP4, Server 2003 SP1, e Windows Server 2003 SP2. Il colosso segnala che Windows 2000 Professional SP4, Windows XP SP2, e Windows Vista non sono affetti da questo problema di sicurezza perchè non contengono il codice software vulnerabile.

    Nuovi Zero-Day: Word 2007, .HLP - Altre


    Dal Security Advisory 935964 di Microsoft: "L'indagine iniziale effettuata da Microsoft rivela che i tentativi di sfruttare questa vulnerabilità possono permettere ad un attacker di eseguire codice nel contesto di sicurezza del Domain Name System Server Service, che si esegue in maniera predefinita come Local SYSTEM. Una volta completate le ricerche, Microsoft intraprenderà l'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione out-of-cycle. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft".

    Secondo quanto riporta Secunia, nota azienda di security monitoring, in un advisory dedicato al problema di sicurezza, la vulnerabilità è causata da un "boundary error" in una interfaccia RPC del servizio DNS usata per la gestione remota del servizio. Questo bug può essere sfruttato per causare un sovraccarico stack-based del buffer tramite un richiesta RPC modificata ad arte. Un exploit condotto con successo, aggiunge Secunia, permette esecuzione di codice arbitrario con privilegi "SYSTEM". Per questa ragione l'azienda danese classifica il problema come "altamente critico", il livello di pericolosità più grave del suo sistema di rating.

    Nel suo advisory MSA935964, Microsoft fornisce alcuni workaround temporanei che permettono ai clienti di difendersi dagli attacchi che sfruttano questa vulnerabilità. Si tratta di in sostanza di disabilitare la gestione remota tramite RPC per i server DNS, modificando una chiave di registro (manualmente o tramite REG), o bloccando o filtrando le porte usate dal protocollo nel firewall o via IPSEC (tutti i dettagli nel MSA935964). Una lista completa dei sistemi operativi affetti è disponibile nell'articolo KB935964

  17. #117
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    McAfee: Threat Report "Issue 2"
    LINK: McAfee Threat CenterSage Vol.1, Issue 2 (PDF)

    McAfee ha annunciato la seconda uscita del Global Threat Report, il periodico semestrale di sicurezza ideato per aggiornare e tenere informato chi si occupa di sicurezza a tutti i livelli, dal personale tecnico ai responsabili di sicurezza, sulle tematiche più attuali che possano essere loro di supporto nel prendere decisioni riguardo alla sicurezza con maggiore consapevolezza. Il nuovo numero del Global Threat Report include articoli firmati da famosi ricercatori, manager e divulgatori McAfee, che si sono cimentati su argomenti quali il cybercrimine, la sicurezza di Microsoft Windows Vista, lo spyware, lo spam, la sicurezza nella telefonia mobile, la perdita dei dati e il security risk management. La nuova versione del Global Threat Report è scaricabile dal McAfee Threat Center.

    McAfee SiteAdvisor: Quota 38 Mln - Altre

    Il Global Threat Report offre uno sguardo a quello che sarà il prossimo futuro della sicurezza informatica: le minacce, le difese e le problematiche che chi si occupa di sicurezza si troverà ad affrontare nei prossimi cinque anni.


    Il futuro del cybercrimine: oggi, la maggior parte dei criminali informatici punta agli utenti di PC, ma prevediamo che gli aggressori amplieranno i loro orizzonti verso altre aree tecnologiche, come il VoIP e l'RFID, dal momento che tali tecnologie sono oggi adottate in modo più diffuso. Rendere sicure le applicazioni: la sicurezza delle applicazioni è una gara costante e gli sviluppatori stanno lottando per stare al passo. Dal momento che vengono rese disponibili più informazioni sulla natura dei bug software e sulle modalità per poterli sfruttare, gli hacker possono usufruire di queste informazioni nel loro processo di scoperta delle falle e trovare delle vulnerabilità che precedentemente erano state considerate innocue. Il futuro della sicurezza, Vista: mentre Microsoft ha adottato delle misure per rendere più sicuro il kernel di Vista, i miglioramenti non solo indeboliscono gli sforzi delle terze parti per aumentare la sicurezza del sistema, ma non sono in grado di svolgere questo compito con le proprie sole forze.

    Lo spyware è in aumento: anche se i programmatori aggiungono alcune misure di sicurezza in fase di sviluppo, la nuova tecnologia spyware spesso supera di molto la migliore progettazione perfino dei tecnici più diligenti, aprendo nuovi fronti agli attacchi. Lo spyware ci perseguiterà anche attraverso nuove tecnologie, come il Bluetooth e l'RFID. La piaga dello spam persiste: McAfee prevede una crescita molto limitata del volume dello spam in termini percentuali nei prossimi due anni, ma sarà il volume complessivo dello spam in sé a crescere con l'aumento di banda a livello globale. Lo spam di immagini è l'ultimo escamotage degli spammer per superare le difese. La criminalità online si trasferisce sui telefoni cellulari: Mentre è opinione comune che la telefonia mobile sia sicura, McAfee sta osservando una rapida crescita negli attacchi mobile con un incremento anche nella diversificazione delle tecniche di attacco. Fermare la fuoriuscita dei dati: la perdita dei dati è una preoccupazione di sicurezza emergente e ha un immenso impatto sulla reputazione di una società. Mentre la crittografia del disco rimane l'unica tecnologia ragionevolmente matura per prevenirla, McAfee prevede che una protezione di base contro la perdita dei dati e la crittografia dei dischi avranno una diffusione ragionevolmente ampia all'interno di aziende strutturate nei prossimi cinque anni. Gestire il rischio: il security risk management è un problema di strategia non indifferente per i manager IT. Le organizzazioni necessitano di adottare un processo di risk management per le loro attività.

    "La lotta continua tra chi si occupa di sicurezza e gli autori di malware è una corsa agli armamenti — non importa quanto velocemente i professionisti della sicurezza progettino nuove difese, i cattivi sembrano fare gli stessi progressi" ha dichiarato Jeff Green, senior vice president, McAfee Avert Labs. "Il Global Threat Report è stato creato per aiutare gli esperti di sicurezza a stare al passo con il mutevole panorama odierno delle minacce, offrendo loro dei punti di vista ragionati su cosa devono tenere d'occhio e su quello da cui guardarsi nel momento in cui pianificano per il futuro."

  18. #118
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    Phishing: il lucchetto diventa un icona


    Quante volte vi è stato detto che la mancanza del lucchetto nella barra di stato in basso a desta per Internet Explorer o in quella degli indirizzi per Firefox è sinonimo della presenza di un sito clone, ossia di trappole virtuali appositamente realizzate per sottrarre username e password di conti on-line o numeri di carte di credito. Tante…forse troppe volte eppure non bastano perché i phisher come dice il proverbio "ne sanno sempre una più del diavolo"

    L’apparizione del simbolo del lucchetto ossia sinonimo dell’attivazione di una connessione protetta SSL che apre un tunnel sicuro e crittografato per il passaggio dei dati tra l’utente e l’istituto di credito senza che questi possano cadere durante il trasferimento nella mani sbagliate, è sempre stato usato come punto di riferimento contro il phishing, per consentire anche a quegli utenti assolutamente non informati di riconoscere grazie ad un semplice controllo visivo l’autenticità del sito web in cui si trovano.

    Adesso tale consiglio potrebbe ritorcesi contro proprio quegli utenti che ne hanno fatto una regola fondamentale della propria sicurezza,visto che i phisher non potendosi permettere l’acquisto di un vero certificato SSL, a causa non solo del costo dello stesso ma anche dello spreco visto che potrebbe essere semplicemente utilizzato per un singolo caso, hanno pensato bene di realizzarlo in proprio trasformandolo in un icona.

    Uno dei siti clone rilevati oggi ai danni di Poste Italiane, presentava infatti un "simpatico" lucchetto posizionato in un punto in cui un dovrebbe essere, il quale ad ogni modo forniva l’impressione di essere nel vero sito web del gruppo romano.

    Il finto lucchetto, in realtà un immagine, sfruttava la posizione destinata all’icona che i vari webmaster possono decidere di associare al nome a dominio del proprio sito web, quindi un semplice ed ingegnoso raggiro “visivo” quello organizzato dai phisher, la cui pericolosità potrebbe comunque mettere nei guai più di un cliente di Poste Italiane.


  19. #119
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]

    Incontri on-line: dietro una bella ragazza potrebbe nascondersi una brutta truffa


    Ti aveva detto che eri l’uomo giusto per lei e che ti avrebbe amato ma alla fine ti ha sfilato 1.000 euro ed ora sei più solo di prima, più povero ed "incazzato nero" ….. consolati perché fai parte del 20% dei singoli incappati in uno dei tanti cyber-raggiri amorosi. La truffa non è nuovo ed in Rete è possibile trovare veri e propri elenchi di ragazzi, aspiranti amanti, ma di professione truffatrici disposte a promettervi l’amore eterno ma con un unico pensiero in testa:


    Quattro milioni di navigatori in Italia si dedicano agli affari di cuore in rete: per molti il dating on-line è solo un modo come un altro di allargare le conoscenze. Circa 30 mila nuovi utenti si iscrivono ogni giorno a siti che offrono servizi di incontri attraverso Internet. Ma sulla rete sono in crescita i tentativi di raggiri: il 20 per cento dei single dichiara di essersi imbattuto in tentativi di frodi on-line di vario genere.

    Quattro milioni di single italiani sperano di trovare l’anima gemella on-line. L’80 per cento dei cuori solitari ha provato almeno una volta i sistemi di incontro sul web. Il 50 per cento di loro è composto da donne e la presenza femminile on-line è destinata a crescere ancora. Ma su Internet è anche in aumento il rischio di incontrare malintenzionati, persone che si fingono chi non sono. A lanciare l’allarme è il Club per Single «Eliana Monti», un club reale con contatti reali, che rivela i risultati di un sondaggio realizzato su un campione di 800 single italiani di età compresa tra i 20 e i 60 anni.

    Il sondaggio Eliana Monti rivela tanti dati interessanti sugli incontri on-line, ma anche e soprattutto un dato preoccupante: il 20 per cento dei single dichiara infatti di essersi imbattuto in tentativi di frodi on-line. E qualcuno ci è anche caduto. Il fenomeno riguarda soprattutto i single di sesso maschile che vengono ’agganciatì da ragazze bellissime che sembrano top-model. Molto spesso si tratta di foto candide e sensuali di giovani donne del tutto ignare delle frodi perpetrate con le loro immagini. Così basta una e-mail per truffare gli amanti virtuali: le ragazze scrivono frasi d’amore fino al giorno in cui chiedono denaro in prestito. Poi scatta la cybertruffa, scompaiono e i pretendenti rimangono delusi e con i portafogli svuotati.

    «Al primo scambio di posta elettronica dicono che sei romantico come piace a loro. Ma spesso queste donne virtuali non esistono», commenta Eliana Monti, che di questioni di cuori ne ha fatto una professione. I Club per Single da lei fondati offrono grandi opportunità per nuovi incontri, ma con un attivo controllo sugli iscritti per garantirne la serietà. «Su Internet invece - prosegue Eliana Monti - si trova veramente di tutto e spesso si conclude poco o nulla».

    Se il suo Club per Single garantisce profili selezionati nel pieno rispetto delle aspettative individuali affinchè le persone possano relazionarsi solo con chi ha obiettivi di vita simili, non necessariamente è così per la maggior parte dei siti che offrono servizi di incontri attraverso le pagine del web. In molti portali web gli utenti possono gratuitamente (e non) creare il loro profilo e muoversi all’interno di un catalogo di potenziali partner sulla base delle fotografie o attraverso dei parametri di ricerca quali l’età, la zona di residenza, gli interessi, la descrizione. Ma chi garantisce l’attendibilità dei dati? Se è vero che basta un click per entrare in contatto con molti potenziali partner, il rovescio della medaglia è proprio che è altrettanto vero che ci sono le stesse probabilità di entrare in contatto con un malintenzionato.

    Che succede dopo l’approccio virtuale? «A me è capitato di scoprire al primo incontro nella vita reale che la ragazza che avevo conosciuto on-line aveva mentito sull’età levandosi più di una decina di anni» racconta Cristiano, un internauta torinese di 32 anni che dopo quella ed altre esperienze negative sul web si è iscritto al Club per Single Eliana Monti, un’organizzazione che seleziona davvero i suoi membri e controlla la veridicità dei dati. «Milioni di single italiani - puntualizza Eliana Monti - ricorrono al web per fare incontri, per cui la veridicità dei dati diventa un requisito fondamentale. Tra i tanti meriti di Internet c’è anche quello di avere dato la possibilità a molti single di allargare la ricerca dell’anima gemella, ma la mancanza di verifiche sulle informazioni contenute nei profili degli utenti è un fattore critico». [tratto da La Stampa.it – 16.04.2007]

  20. #120
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 17/04/2007]

    Falla DNS Server: Nuovi Dettagli
    LINK: MSRC BlogMicrosoft Security Advisory (935964)Rinbot.BC @ Symantec

    Tramite il blog ufficiale del Microsoft Security Response Center, recentemente rinnovato, Microsoft continua a rilasciare aggiornamenti sulla situazione relativa alla vulnerabilità nel Domain Name System (DNS) Server Service (CVE-2007-1748) che affligge Windows 2000 Server SP4, Server 2003 SP1, e Windows Server 2003 SP2, segnalata diversi giorni fa. Recentemente varie aziende di sicurezza hanno lanciato l'allerta sulla diffusione di nuovi codici worm che sfruttano la falla. Microsoft aveva reso noto tramite il Security Advisory 935964 di star investigando sulle segnalazioni pubbliche relative ad attacchi "limitati" che sfruttavano questo problema di sicurezza. Tuttavia la situazione si è "aggravata" giorno dopo giorno con il rilascio di almeno 4 codici exploit pubblici e con la diffusione di almeno 2 varianti di codice malware "worm". Bisogna evidenziare che Windows 2000 Pro SP4, Windows XP SP2, e Windows Vista non sono affetti da questo problema di sicurezza perchè non contengono il codice vulnerabile, per questo non possono essere attaccati dal worm tramite il nuovo vettore.

    Falla DNS Server: Allerta Worm! - MSA935964: Falla RCE DNS Server


    Microsoft ha rilasciato varie revisioni del suo Security Advisory 935964 per fornire ulteriori dettagli e chiarimenti riguardo il problema di sicurezza, che sta venendo monitorando da vicino dal colosso del software. Christopher Budd del team MSRC afferma: "I nostri team stanno continuando a lavorare ed a testare gli aggiornamenti per questo problema, e la nostra analisi della situazione mostra che gli attacchi non sono ancora diffusi su vasta scala". Nel suo advisory MSA935964, Microsoft fornisce alcuni workaround temporanei che permettono ai clienti di difendersi dagli attacchi che sfruttano questa vulnerabilità. Si tratta di in sostanza di disabilitare la gestione remota tramite RPC per i server DNS, modificando una chiave di registro (manualmente o tramite REG), o bloccando o filtrando le porte usate dal protocollo nel firewall o via IPSEC (tutti i dettagli nel MSA935964 - Versione in italiano).

    Attualmente Microsoft è a conoscenza di 4 codici nocivi che tentano di sfruttare la vulnerabilità. Nessuno di questi, afferma il colosso, è in grado di propagarsi attraverso la rete automaticamente. Microsoft ha pubblicato i dettagli tecnici su ciascun codice nocivo nella Malicious Software Encyclopedia: Siveras.B, Siveras.C, Siveras.D, Siveras.E. Un voce separata è dedicata al codice proof of concept originario classificato come Siveras.A. In un blog-post precedente Microsoft aveva annunciato di aver aggiornato Windows Live Safety Scanner e Windows Live One Care integrando capacità di protezione per questi codici nocivi, e di star lavorando con il programma Global Infrastructure Alliance for Internet Safety (GIAIS) per aiutare a limitare la diffusione di questi attacchi.

    Budd ricorda a tutti gli utenti Windows che i workaround segnalati nell'advisory di sicurezza sono efficaci per prevenire tutti gli attacchi finora isolati in-the-wild. Nella giornata di ieri Microsoft ha aggiornato nuovamente l'advisory fornendo ulteriori dettagli riguardo la possibilità attacco alla vulnerabilità tramite la porta 139 (che quindi si aggiunge alla lista di porte da bloccare tramite Firewall e IPSec). Inoltre il colosso ribadisce che, attaccando le porte 445 e 139, un attacker necessita di eseguire l'autenticazione con username e password validi. Sebbene non siano possibili attacchi "unauthenticated", se attivo, l'account guest potrebbe essere sfruttato per accedere al sistema.

    Per quanto riguarda l'aggiornamento di protezione per la falla, Microsoft afferma: "Non abbiamo un data precisa stimata per il completamento dello sviluppo e del testing degli aggiornamenti per il problema, ma abbiamo team in tutto il mondo che lavorando 20 ore al giorno su questi, e speriamo di potrei rilasciare gli aggiornamenti non più tardi del 8 Maggio 2007 contestualmente alla release mensile dei bollettini di sicurezza … Per questo problema, i nostri team stanno lavorando sullo sviluppo e sul testing di 133 aggiornamenti separati: uno per ciascuna lingua e per ciascuna versione attualmente supportata di Windows server … Dato che DNS è una componente critica dell'infrastruttura di rete, è necessario testare gli aggiornamenti per assicurarsi che le modifiche introdotte non portino rischi maggiori rispetto al problema di sicurezza stesso che vanno a risolvere".

  21. #121
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 17/04/2007]

    McAfee: Paper Tecnico sui Rootkit
    LINK: Rootkit Parte 2: Bollettino TecnicoThreat CenterRootkit Detective

    I ricercatori di McAfee hanno esaminano le tecnologie che rendono possibili attacchi malware "stealth" sulla piattaforma Microsoft Windows; i risultati dello studio suggeriscono che le nuove tecniche rootkit continueranno nei prossimi anni a mettere alla prova la comunità della sicurezza. McAfee ha annunciato oggi la disponibilità di Rootkit "Parte 2": A Technical Primer (Bollettino Tecnico), un whitepaper creato per aiutare i professionisti della sicurezza informatica a comprendere meglio le tecnologie "stealth" sulla piattaforma Microsoft Windows. Il whitepaper è la seconda parte di una serie dedicata ai rootkit, ed è scaricabile dal McAfee Threat Center, anche in lingua italiana.

    McAfee: Threat Report "Issue 2" - Altre


    Dal whitepaper: "In Rootkit parte 1: The Growing threat (la minaccia che avanza) abbiamo sottolineato un'importante tendenza emergente nel settore della sicurezza informatica: la maggiore diffusione di tecnologie stealth, definite rootkit, nel malware. I rootkit proteggono file, processi e chiavi di registro del malware in modo da poter continuare indisturbati l'esecuzione di attività nocive senza che l'utente ne sia a conoscenza. E quando un utente scopre un'infezione da rootkit, la rimozione è spesso troppo complessa per un utente comune. In questo whitepaper, prendiamo in esame le tecnologie che rendono tali azioni furtive possibili sulla piattaforma Microsoft Windows. Dopo una breve spiegazione dell'architettura di sicurezza di base di Windows, esploreremo i molti metodi scoperti per nascondere file, processi e chiavi di registro. Inizieremo con i rootkit della modalità utente che operano allo stesso livello di privilegi dell'utente che esegue l'installazione. La maggior parte delle comuni tecnologie stealth attualmente rientrano in questa categoria. I rootkit che operano a un livello superiore, il livello di privilegi del sistema, d'altra parte, non sono poi così comuni, ma sono molto difficili da rimuovere proprio perché i relativi processi presentano privilegi di sistema".

    In conclusione: "Benché le tecniche stealth non siano realmente nuove per il malware, il recente e rapido aumento sia per prevalenza che sofisticatezza dei rootkit Windows porta alla luce una tendenza allarmante nell'evoluzione del malware. L'effetto di legittimazione del software commerciale che impiega tecnologie stealth per il eseguire il cloak dei propri file ed elaborarli rinforza soltanto la possibilità che queste tecnologie siano qui per restarci. Spinte da incentivi finanziari, le innovazioni nei metodi stealth e nei rootkit ci allontanano dalla modalità utente e ci portano verso le tecniche della modalità kernel. Queste nuove tecniche sfideranno la comunità di sicurezza, creando tentativi di malware sempre più virulenti e difficili da debellare, praticamente quasi impossibili da rilevare ed eliminare. Per il momento l'unico ostacolo tecnico in grado di bloccare questo passaggio all'hooking della modalità kernel è la scarsa compatibilità tra piattaforme di queste intercettazioni di livello inferiore. Nelle prossime documentazioni discuteremo e analizzeremo le strategie per combattere i rootkit".

    "Il numero di rootkit sottoposti all'attenzione di McAfee Avert Labs nel primo trimestre del 2007, rispetto al primo trimestre del 2006, è diminuito del 15% - dimostrando che siamo migliorati nell'individuare le famiglie e le tecniche esistenti," ha affermato Jeff Green, senior vice president, McAfee Avert Labs. "Le tecniche rootkit, individuate per la prima volta nel primo trimestre del 2006, includevano fondamentalmente i Trojan che cercavano di incorporare il comportamento dei rootkit. Ora vediamo più campioni delle esistenti famiglie di rootkit, mentre è rallentato il numero di nuove famiglie che utilizzano le tecniche rootkit." Negli ultimi cinque anni, McAfee ha registrato un significativo aumento nel numero di componenti stealth basati su Windows. Nel 2001 esistevano solo 27 componenti rootkit, mentre sono stati individuati quasi 2400 componenti rootkit nel 2006. McAfee Avert Labs prevede oltre 2000 componenti stealth basati su Windows per la fine del 2007.

    Ricordiamo che recentemente McAfee ha reso disponibile un nuovo strumento gratuito anti-rootkit, McAfee Rootkit Detective Beta, programmato e sviluppato da McAfee Avert Labs per rilevare e rimuovere in maniera pro-attiva i codici rootkit in esecuzione su un sistema. Maggiori informazioni sul software e link per il download sono disponibili in una pagina dedicata sul sito McAfee.

  22. #122
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 17/04/2007]

    into ActiveX e siti web erotici: attenti all’infezione


    Avventurarsi tra siti erotici, ha sempre rappresentato una serie minaccia per la sicurezza dei sistemi informatici, il rischio di virus, spyware, dialer ed ogni altro tipo di malware è sempre alto, e la minima distrazione può risultare fatale. Come nell’ultimo caso rilevato dai PandaLabs:

    ImageAccesActiveXObject raggiunge i computer facendo credere ai navigatori di essere un ActiveX da installare per poter accedere ad un sito con immagini erotiche. Quando si visitano determinate pagine Web si apre una finestra nella quale si offrono fotografie pornografiche e, se l’utente vuole proseguire, ne compare un’altra dove lo si informa che deve scaricare un control per poter accedere ai contenuti desiderati, invece viene eseguito il download del codice maligno.

    Prima d’ora avevamo rilevato adware sotto forma di codici per guardare video, ma mai qualcosa di simile a ActiveX per accedere a delle immagini. Questa è un’altra strategia per ingannare i navigatori che pensano di dare il consenso al download di un tool legale, quando in realtà stanno permettendo all’adware di installarsi” spiega Luis Corrons, Direttore Tecnico dei Laboratori di Panda Software.

    Una volta sul computer, ImageAccesActiveXObject porta gli utenti ad una pagina con fotografie erotiche, che non sono però visibili, come se il dominio non fosse disponibile. I Laboratori di Panda Software hanno preparato un video per dimostrare come funziona l’inganno.
    Tra questi si trova SpyLocked, progettato per mostrare all’utente messaggi di allarme per avvisare che il computer è infetto, individuando ImageAccessActiveXObject, il quale non può, però, essere rimosso fino a quando non viene registrato il prodotto.

    Luis Corrons continua: "abbiamo già rilevato questo adware con nomi quali SpywareQuake o VirusBurst. In pratica, quando gli autori si accorgono che i loro tool sono ampiamente riconosciuti e nessuno li scarica più, semplicemente ne cambiano il nome”. ImageAccesActiveXObject effettua anche il download dell’adware Securitytoolbar, che ha il compito di installare una falsa toolbar e un BHO (Browser Helper Object). Esso mostra avvisi pop-up e crea sul desktop dei link a certe pagine Web.


    Fonte: Anti-Phishing Italia

  23. #123
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 17/04/2007]

    hishing: il massacro della Virginia Tech potrebbe essere il prossimo obiettivo


    Pochi minuti dopo che il mondo apprendeva i drammatici fatti che avvenivano nel campus della Virginia Tech, costati la vita a 32 persone, qualcuno registrava utilizzando soprattutto Godaddy, il principale hosting provider americano, 33 siti web con nomi ed elementi legati al campus degli orrori.

    Il motivo? Nuovi attacchi di phishing, anche se ora si tratta solo dell’ipotesi più probabile, visto che nessuno degli appositi siti web è stato ancora utilizzato, mentre nella Rete corre veloce l’allarme per il verificarsi di nuovi casi di sciacallaggio, gli ultimi dei quali legati all’uragano Katrina nel settembre 2005.

    Siti come virginiatechshooting.com o vatechmassacre.net sono attualmente monitoratici e la registrazione di nuove potenziali trappole è tenuta sotto controllo, mentre le aziende di hosting provider restano a guardare e se ne lavano la mani, visto che “il fatto non sussiste” e sino a quando non verranno utilizzati per scopi criminali, da parte loro non ci potrà essere nessun intervento.

    Così come dichiarato da Elizabeth Driscoll, responsabile alle pubbliche relazione di GoDaddy, che contatta dalla rivista Wired, la prima a notare il verificarsi del problema, ha dichiarato di non essere assolutamente a conoscenza dei fatti e che in ogni caso - <<sono cosa che accadono in seguito al verificarsi di fatti importanti, positivi o negativi che siano, la gente è spinta ad acquistare nomi a dominio…Non abbiamo la capacità di monitorare ogni dominio registrato ”.

    Questi i siti registrati, i quali in un prossimo futuro potrebbero essere utilizzati per la richiesta di donazioni in favore delle vittime, anche se in realtà esclusivamente a beneficio del phisher:

    virginiatechshooting.com
    virginiatechshooting.net
    virginiatechshooting.org
    virginiatechshooting.info
    virginiatechshooting.us
    vatechshooting.com
    vatechshooting.net
    vatechshooting.org
    vatechshooting.info
    vatechshooting.us
    vatechshooting.biz
    vtshooting.com
    vtshooting.info
    vatechmassacre.com
    vatechmassacre.net
    vatechmassacre.info
    vatechmassacre.biz
    vtmassacre.com
    vtmassacre.net
    vtmassacre.org
    vtmassacre.info
    virginiatechrampage.com
    vatechrampage.com
    vtrampage.com
    virginiatechmurders.com
    virginiatechmurders.net
    virginiatechmurders.org
    virginiatechmurders.info
    virginiatechmurders.us
    vatechmurders.com
    vtmurders.com
    hokieshootings.com
    hokiemassacre.com
    blacksburgshootings.com

    Fonte: Anti-Phishing Italia

  24. #124
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/04/2007]

    Microsoft Annuncia Portale Malware
    LINK: Gullotto al RSAMalware Protection CenterSIR (Luglio-Dicembre 2006)

    Ad inizio Luglio Microsoft lancerà la versione finale del suo portale dedicato alla sicurezza, Microsoft Malware Protection Center, già oggi disponibile online in versione preview. Destinato ai clienti Microsoft, ai partner ed ai professionisti nel campo della sicurezza, il sito, versione virtuale dei laboratori di ricerca dell'azienda, riporta attualmente le liste delle famiglie e delle varianti malware più attive che mettono a rischio i prodotti del colosso. Il portale sarà anche sfruttato da Microsoft come piattaforma per promuovere i propri prodotti software di sicurezza. Si tratta di uno dei tre annunci fatti da Vinny Gullotto, General Manager del Microsoft Malware Protection Center, durante il suo intervento alla conferenza RSA Japan.

    Microsoft sta collaborando attivamente con gli atri security vendor per ottenere e divulgare informazioni sui malware, e partendo da questo intento recentemente ha deciso di espandere il suo Malware Protection Center, con l'apertura di due nuove divisioni, in Giappone ed in Europa (Dublino), che si vanno quindi ad aggiungersi agli attuali laboratori di ricerca presso i quartieri generali di Redmond. L'espansione a livello territoriale del centro di protezione malware porterà ad un migliore capacità di realizzazione di definizioni di codici nocivi e di reazione contro le minacce informatiche. I due nuovi centri ed i rispettivi team saranno gestiti, oltre che da Gullotto, anche da Dan Wolff (Giappone), proveniente da McAfee, e Katrin Totcheva (Dublino), precedentemente in forze a F-Secure.


    Infine Microsoft ha pubblicato la seconda versione del suo SIR (Security Intelligence Report), un report che secondo l'azienda offre un "understanding" complessivo del tipo di minacce che gli utenti di Windows si trovano a dover fronteggiare ai giorni d'oggi. Il report evidenzia le tendenze osservate dopo l'analisi dei dati che Microsoft ha collezionato tra il 1 Luglio e il 31 Dicembre 2006, da vari fonti, tra cui i suoi prodotti Microsoft MSRT (Malicious Software Removal Tool) e Windows Defender. Questi due strumenti presentano le più vaste basi utente di soluzioni e servizi di sicurezza Microsoft customer-focused. MSRT ha una user base di più di 310 milioni di computer singoli; secondo Microsoft durante la seconda metà del 2006, lo strumento è stato eseguito 1.8 miliardi di volte. L'azienda afferma anche l'esistenza di più di 18 milioni di clienti attivi di Windows Defender, antispyware gratuito per XP, integrato in Vista.

    Un dato interessante che emerge dal Security Intelligence Report è che nel 2006 il numero di vulnerabilità divulgate in maniera responsabile è aumentato del 41% rispetto all'anno precedente. Infatti nella seconda metà del 2006 sono state divulgate più vulnerabilità di ogni singolo anno tra il 2000 ed il 2004. Il report inoltre mette in evidenza la tendenza delle minacce informatiche a divenire sempre più sofisticate. Secondo il fact sheet: "In rapporto agli anni precedenti, il 2006 ha visto la disclosure di una percentuale molto maggiore di vulnerabilità che sono considerate più difficili da scoprire a causa del livello di complessità richiesto per sfruttarle".

    Ad ogni modo, mentre i malware stanno diventando sempre più sofisticati, anche i ricercatori di sicurezza sembrano sta riuscendo a tenere il passo. Una tendenza evidenziata dal SIR vede i ricercatori realizzare strumenti sempre più potenti, scoprire problemi sempre più complessi e difficili, estendere la propria attenzione alle applicazioni, e usare tecniche sempre più originali, come il "file format fuzzing".


  25. #125
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,191

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/04/2007]

    Vista UAC non Bloccherà i Malware
    LINK: Articolo fonte @ Zero Day BlogUAC OverviewBlog di Russinovich

    Mark Russinovich, fondatore di Sysinternals e da qualche mese in forze al colosso di Redmond come technical fellow della Platform and Services Division, ha ammesso che, nonostante tutti i "posti di blocco" anti-malware integrati in Windows Vista, i codici nocivi, virus, Trojan e rootkit, continueranno a proliferare minacciando gli utenti di Windows, man mano che gli autori di malware si adattano al nuovo sistema.

    Russinovich ha utilizzato il suo intervento alla conferenza di sicurezza CanSecWest di Vancouver per discutere l'implementazione di UAC (User Account Control) in Windows Vista e per chiarire che in futuro questa funzionalità non potrà essere considerata una barriera totale conto i codici nocivi. Russinovich ha affermato: "Si tratta del migliore tentatio fatto per innalzare le barriere ed impedire ai malware di modificare il sistema operativo, ma non è un confine di sicurezza". In un descrizione semplificata del panorama della minacce informatiche nel mondo di Vista, Russinovich ha descritto gli autori di malware come ISV che devono programmare per un ambiente "standard user".


    "Non esiste garanzia che i malware non possano eseguire un hijack del processo di elevazione di privilegi o compromettere un applicazione con privilegi elevati", ha ribadito Russinovich dopo aver fornito una descrizione dettagliata del funzionamento di UAC in tandem con Internet Explorer (con Protected Mode) per limitare i danni apportati dai file nocivi. Anche in un contesto "standard user", quindi privo di privlegi di amministrazione, i codici nocivi possono sempre accedere in lettura a tutti i dati dell'utente, possono nascondersi sfruttando tecniche rootkit user-mode e possono controllare a quali applicazioni l'utente ha accesso (si pensi quindi alla disattivazione di programmi di sicurezza). Russinovich ha aggiunto: "Vedremo i codici malware evolversi nelle loro tecniche di elevazioni".

    Il technical fellow del colosso ha anche dimostrato uno scenario di attacco di social engineering nel quale un prompt di elevazione fasullo può essere usato per ingannare l'utente inducendolo a cliccare su "allow" per offrire diritti elevati ad un file nocivo. Russinovich prevede un futuro un cui gli autori di malware creeranno programmi in grado di garantirsi privilegi per saltare le impostazioni di account e disabilitare i processi di sicurezza o svilupperanno sistemi di "elevation hijacking" generale o application-specific. Si sfrutteranno tecniche di spoofing dei credential prompt e si troverà eventualmente il modo di creare un processo di integrity level intermedio nel account di amministrazione, in modo da avere accesso a tutti i dati di amministrazione ed iniettare codice nell'account per eseguire ulteriori elevazioni di privilegi non autorizzate. Lo scopo sarà quello di vivere in Vista senza dover violare l'intera macchina, sfruttando appieno l'ambiente standard user, creando botnet e rubando keystroke. Russinovich ha ribadito: "Le elevazioni sono una convenienza e non un security boundary", prevedendo che Windows si evolverà ulteriormente per promuovere il concetto di utente standard e sistemi quali installazioni per-user ed elevazioni di protezione.

+ Discussione Chiusa
Pag 5 di 6 PrimaPrima ... 3456 UltimaUltima

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice HTML è Disattivato