Vulnerabilità nel Microsoft Malware Protection Engine

Un altro problema di sicurezza per i software Microsoft è stato di recente portato alla luce.
In particolare si tratta di una vulnerabilità del Malware Protection Engine, usato dai programmi di sicurezza Windows Defender.
Microsoft ha rilasciato a riguardo un Security Bullettin (MS07-010) classificato come “critical”, indicando il problema specifico: l’Engine è vulnerabile ad un’eventuale esecuzione di codice remoto per via di un errato parsing dei file PDF.
I prodotti interessati dal problema sono 8:
1] Windows Live OneCare — 1.1.2101.0
2] Microsoft Antigen for Exchange 9.x — 0.1.8.53
3] Microsoft Antigen for SMTP Gateway 9.x — 0.1.8.53
4] Microsoft Windows Defender — 1.1.2101.0
5] Microsoft Windows Defender in Windows Vista — 1.1.2101.0
6] Microsoft Windows Defender x64 Edition — 1.1.2101.0
7] Microsoft Forefront Security for Exchange Server — 0.1.8.53
8] Microsoft Forefront Security for SharePoint — 0.1.8.53

In breve quello che può succedere è che un attaccante potrebbe sfruttare la vulnerabilità creando “ad arte” un file PDF che consenta esecuzione di codice remoto sul sistema qualora il Microsoft Malware Protection Engine effettui una scansione sul file corrotto.
Il Microsoft Malware Protection Engine, mpengine.dll, fornisce funzionalità di scansione, detection e cleaning ai seguenti client antivirus e antispyware: Windows Live OneCare, Microsoft Forefront Security, Microsoft Antigen, e Windows Defender.
L’update è dunque altamente consigliato.
E’ chiaro che questo tipo di falla di certo non giova all’immagine costruita attorno al nuovo sistema operativo Windows Vista,da poco rilasciato nel mercato consumer.

Hitman Pro V2.6.0.1: ora anche per Vista

Nella giornata di ieri è stata rilasciata la nuova versione di questa suite antispyware, che risulta essere per le sue peculiarità uno dei migliori tool in circolazione per la rimozione di malware di vario tipo.
L’idea che sta alla base di Hitman Pro è quella di installare tutta una serie di tool (free e non) tra i piu’ famosi che consentano di ricercare e eventualmente ripulire il proprio sistema “infetto” da spyware e quant’altro.
La cosa bella del software in questione è che tutto il procedimento è automatizzato: ci pensa Hitman Pro a scaricarsi gli aggiornamenti dei vari tools e a far partire le scansioni. Proprio per il fatto di far uso di svariati tools, è consigliabile lanciarlo magari a fine giornata: l’utile funzione di shutdown automatico consente infatti di eseguire la “pulizia giornaliera” e allontanarsi tranquillamente dalla postazione.
Avevo già segnalato il software in passato, ma lo risegnalo visto che è stato aggiunto il supporto per Windows Vista (anche se alcuni tools non son ancora 100% compatibili, e per questo disattivati).
Per scaricare il programma cliccate qui.

Worms prendono di mira gli utenti Symantec

Gli utenti corporate di alcuni prodotti antivirus Symantec sembrano siano oggetto di numerosi attacchi dovuti ad una vulnerabilità del software, già patchata però ben 7 mesi fa.
Questo fatto porta ancora più alla luce il problema di professionisti IT che non applicano con rapidità le patches di sicurezza ai propri sistemi aziendali.
Gli exploits trasformano i pc degli utenti in zombies che possono essere usati tanto per cambiare per inviare spam o per attacchi DDoS.
Il problema interessa versioni non patchate del Symantec Client Security e del Symantec Antivirus Corporate Edition.

Ci sono tuttavia in circolazione varianti del worm che sfruttano invece una vulnerabilità scoperta a metà dicembre.
Da notare una cosa “interessante” che forse non tutti sanno: a differenza dei classici aggiornamenti Symantec, i fixes per un prodotto antivirus corporate devono essere scaricati direttamente dal sito web e installati manualmente.
E’ chiaro che Symantec dopo questo fatto sta pensando di rivedere la proprio politica di rilascio patches.
Nel frattempo è in progetto il rilascio di una firma antivirus che risolva il direttamente il problema del worm eliminandolo dal sistema infetto.

Symantec riferisce su un virus per Mac OS X

Venerdì Symantec ha svelato i dettagli di un nuovo virus proof-of-concept creato per il Mac OS X. Nonostante il malware non si sia ancora propagato e che sia classificato come “rischio molto basso”, i ricercatori dicono che questo fatto mette il luce che nessun SO è immune da virus.

Chiamato OSX.Macarena, il virus infetta file nella cartella corrente del computer colpito. Symantec ha aggiornato la sua definizione dei file per rimuovere il virus e riparare i file, anche se è improbabile che anche un solo sistema Mac OS X si sia infettato finora.

Windows Defender c'è

Dopo quasi due anni di beta testing, Microsoft ha finalmente rilasciato la versione finale di Windows Defender, il suo software anti-spyware gratuito. Il tool è disponbile ora per Windows XP, e sarà incluso come parte di Vista.

Chiamato precedentemente Windows AntiSpyware, Defender deriva dall’acquisizione da parte di Microsoft di GIANT Software, la quale possedeva il motore di ricerca e una protezione aggiuntiva per i pop-up e altro malware che colpisce le prestazioni del PC. Offrendo Windows Defender senza costo, comunque, Microsoft ha irritato alcuni produttori di programmi di sicurezza informatica.

Windows Defender è disponbile per il download sia per la versione a 32-bit di Windows che per la x64. Il software richiede per girare Windows Genuine Advantage.

L'avanzata del phishing

Stando ad una indagine effettuata da RSA Security quasi il 73% dei marchi di banche sfruttati dai phishers hanno sede negli USA.
Una percentuale del circa 9% riguarda istituti bancari con sede nel Regno Unito, tuttavia la percentuale di banche non americane è cresciuta del 6% rispetto al mese precedente.

Questo fenomeno è una diretta conseguenza della strategia dei phishers che cominciano ad utilizzare in maniera massiccia lingue diverse dall’inglese, riuscendo cosi’ a colpire un bacino di utenti molto piu’ vasto.

Nel mese di agosto mentre è salito il numero complessivo di attacchi è diminuito di quasi il 20% il numero dei vari enti presi di mira.
Questi dati sono indicatore di come i phishers stiano focalizzando la loro attenzione su un numero minore di marchi conosciuti a livello globale, del calibro di Paypal o eBay, con attacchi pero’ sempre piu’ massicci.

Per quanto riguarda gli istituti americani presi di mira i nomi restano piu’ o meno gli stessi, principalmente grosse società bancarie a livello nazionale, ma anche a livello regionale.
Tuttavia l’inchiesta porta alla luce come stia emergendo un trend preoccupante in cui vengono prese di mire anche banche di dimensione ridotta: questo fenomeno stando alle previsioni continuerà nell’arco del 2007.

Dando uno sguardo a dove sono invece localizzate le pagine incriminate, per la prima volta gli Stati Uniti scendono sotto il 50%.
Raggiungono complessivamente il 40% dell’hosting invece quattro paesi: Germania, Australia, Estonia e Svezia.
Strano a dirsi ma la Cina che rientrava nella top ten dei paesi che ospitano su spazi web spesso gratuiti o su server compromessi le pagine di phising è scesa ora al 16-esimo posto.

Attacchi di phishing via SMS

Il nuovo fenomeno viene definito smishing ovvero SMS phishing e stando a quanto riportato dal noto security vendor McAfee, i virus/malware writers sembra stiano ora cominciando a focalizzare la loro attenzione su utenti di telefoni cellulari.

Il messaggio di testo che arriva è molto simile a questo:
‘We’re confirming you’ve signed up for our dating service. You will be charged $2/day unless you cancel your order: .”

E’ chiaro che un qualsiasi utente spaventato dalla possibilità di vedersi addebitare delle spese non effettuate si reca subito sul sito web a controllare.
Visitando il sito web però si viene invitati a scaricare un programma che si spaccia per un antivirus gratuito che in realtà è un Trojan horse che permette di trasformare la macchina infetta in uno zombie-pc che può essere controllato in maniera remota dai crackers.

Come è noto un computer facente parte di uno zombie network, viene molto spesso utilizzato per lanciare attacchi di tipo DDoS o per inviare messaggi di spam.

Questi “attacchi via sms” sembra siano partiti dalla Spagna e i messaggi vengono inviati sfruttando SMS gateways gratuiti. In particolare stando ai dati di McAfee gli SMS sarebbero indirizzati a cellulari con il Nokia Symbian OS Series 60.

La notizia è stata pubblicata da David Rayhawk, ricercatore presso McAfee, sul blog Avert Labs blog.

Nuovo virus prende di mira processori AMD

Alcuni ricercatori della Symantec hanno scoperto quello che sembra essere un nuovo virus (per ora si tratta di un proof of concept) che colpisce i processori piuttosto che i sistemi operativi.

Il worm sarebbe presente in due varianti, una per i sistemi a 32-bit e l’altra per i sistemi a 64-bit di casa AMD.
I virus sono, per il momento, classificati come minaccia a basso rischio, proprio perchè sono ancora proof of concept.

Vincent Weafer, senior director del Symantec Security Response Group ha fatto capire che questo potrebbe dare il là a nuovi worm che col passare del tempo possano girare su diversi sistemi operativi, avendo come target principale invece che il classico XP, i vari tipi di processori.

Se da un lato questa cosa sembra essere alquanto inquietante perchè più a basso livello si riesce a scendere maggior controllo sull’hardware e sulla macchina si hanno, d’altro canto è anche logico pensare che possano sorgere una miriade di inconvenienti per coloro che tentino una simile sfida.
Differenti processori parlano linguaggi molti diversi tra loro (a livello di opcode) e questo si scontra spesso con lo scopo principale di molti virus writers, ossia infettare il maggior numero di macchine possibili.

Il prossimo passo è logico possa essere quello di combinare il codice a 32-bit e quello a 64-bit in un’unica variante.
Weafer ha affermato che il fatto che i virus colpiscano sistemi AMD è quasi sicuramente dovuto al fatto che i chip a 32 e 64 bit di AMD sono molto più simili tra loro di quanto non lo siano le controparti di Intel.

A quanto pare Symantec è riuscita ad entrare in possesso del codice attraverso qualche community underground o canale IRC dove sono soliti riunirsi virus writers.

C’è da aggiungere tuttavia che le due varianti in questione colpiscono sistemi Windows andando ad infettare file eseguibili e ciò di per sè già basterebbe a non definirli come minaccie a livello di processore.
Tuttavia quello che avviene con questi virus è che vengono effettivamente eseguiti dei pezzi di codice a livello assembler processor-specific.

Oggi giorno virus che scendano a cosi’ basso livello sono piuttosto rari, visto che data la predominanza del sistema operativo Windows è molto più semplice e “proficuo” creare minacce che abbiano come target l’o.s.
L’ultima minaccia di questo tipo che ebbe una diffusione su larga scala è stato nel 1998 il virus CIH/Chernobyl che riusci’ a installarsi nel Flash-Bios di svariati milioni di pc. Allora si stimò che il danno provocato ammontasse a circa 250 milioni di dollari.

Kaspersky AV free?

Sempre strano ma in realtà è possibile.
Per chi non ne avesse mai sentito parlare si tratta di Active Virus Shield, ovvero una soluzione software antivirus fornita in maniera del tutto gratuita da AOL.
In grado di girare su gran parte dei sistemi Windows (Windows 98, 2000, ME & XP), risulta essere sicuramente un scelta azzeccata per tutti gli utenti home che cercano un prodotto freeware, ma di estrema qualità.

Il motore utilizzato è quello del rinomato Kaspersky Antivirus.
Si tratta in sostanza di una versione speciale e modificata del KAV6 che integra rispetto al programma originale unicamente i moduli di controllo File e Mail Antivirus: mancano infatti il sistema di proactive defense e il sistema di protezione web-surfing (pecca abbastanza evidente).

Active Virus Shield

Nota personale: ho sempre considerato Kaspersky il miglior antivirus in circolazione, usavo la versione 3.x ai tempi del Win98 e mi trovavo da dio. Col passare del tempo pero’ l’ho abbandonato perchè già con le versioni 3.5, 4.x e 5.x ho sempre riscontrato enormi rallentamenti e ho optato per ottime soluzioni quali AVG o Avast. Con la versione 6 di KAV invece ho notato un cambiamento abissale: il motore di scansione pur non avendo perso in qualità è di una leggerezza estrema. Mi sento quindi di consigliare questo prodotto: sta poi a voi scegliere se usare questo oppure una qualsiasi tra le altre possibiltà freeware in circolazione (Grisoft AVG Anti-Virus, Alwil Software Avast, ClamWin, Antivir Pe Personal).

Sito ufficiale di riferimento: link.

Un nuovo worm per Windows in circolazione

Alcune aziende di security hanno avvertito circa il pericolo derivante da un nuovo exploit che avrebbe cominciato a girare lo scorso weekend, e che sfrutta la vulnerabilità del servizio Server di Windows.
L’exploit riguarda per l’appunto il problema descritto nel Microsoft Security Bulletin MS06-040 e pubblicato la settimana scorsa.

Il virus è etichettato con diversi nomi a seconda dei vari security vendor:
– Kaspersky: Backdoor.Win32.IRCBot.st
– Microsoft: Backdoor:Win32/Graweg
– Symantec: W32.Wargbot
– Sophos: W32/Cuebot
– TrendMicro: WORM_IRCBOT

Un computer una volta infettato diventerebbe parte di una cosidetta “botnet”, ovvero un insieme di pc infetti che possono essere controllati da remoto.
In questo caso, i comandi vengono inviati ai sistemi compromessi attraverso server IRC localizzati in Cina. Lo scopo principale di queste botnet è quello di lanciare attacchi di tipo DDoS in maniera programmata.

Sophos ha affermato che l’exploit si sta diffondendo in particolare attraverso il software di messaggistica AOL Instant Messenger. Gli altri security vendor hanno confermato che in breve è possibile compaiano varianti al malware in questione.

Non c’è ancora molto accordo invece su quali sarebbero i sistemi potenzialmente vulnerabili, tuttavia tutti quanti sembrano concordi nell’affermare che si tratterebbe di un worm classificato come “low-risk” e che sarebbe in grado di affliggere macchine Windows 2000.
Tuttavia, alcuni credono che il problema potrebbe interessare anche computer sui quali gira Windows XP SP1.

In ogni caso come ha fatto notare Marc Maiffret di eEye Digital Security, per quasi un giorno nessun software antivirus ha offerto protezione contro il problema: “Questo testimonia ancora una volta quanto importante sia una protezione proattiva che prevenga il problema alla radice…”

Tutte le principali compagnie produttrici di software anti-malware hanno rilasciato entro il pomeriggio di domenica delle definizioni aggiornate per combattere il problema.