Security Week 40: la “non vulnerabilità” di WinRar, un vecchio bug su Firefox e l'”aggiornamento” di Microsoft

Qua è la differenza tra minacce vero o supposte?

security-week-40

Mi chiedo che cosa succederà quando non ci saranno altri problemi relativi alla sicurezza informatica. Il nostro blog di notizie Threatpost.com si trasfomerà in un blog su dolci gattini? Potrebbe accadere per davvero? Beh, è possibile considerando la velocità con cui si evolve la tecnologia nel settore IT. Ora stiamo ancora cercando di superare i problemi iniziali e, una volta superati, sorgerà l’alba di un nuovo giorno.

Io credo che un domani assisteremo ad un approccio alla sicurezza informatica più responsabile e maturo. Ad ogni modo, Internet è ancora un modello virtuale di un mondo reale che racchiude di tutto: genietti che stanno per inventare il proprio nuovo Google nel garage di casa, grandi aziende che lottano per la sopravvivenza, gente normale e, infine, coloro che vogliono approfittarsi sia delle persone sia delle aziende. Ci sono modi per mettere i bastoni fra le ruote ai cybercriminali per sempre?

Un evento curioso mi ha fatto pensare: le notizie più popolari della scorsa settimana (quelle sul bug di Firefox) non avevano nulla a che vedere con la sicurezza informatica, o quasi nulla. Tuttavia i lettori di Threatpost fanno particolare attenzione a queste notizie (i nostri editori dovrebbero forse pubblicare notizie su gattini). La seconda notizia parlava invece di una vulnerabilità e la terza di un aggiornamento di Microsoft che non ha creato grossi danni e poi è scomparso.

 

Beh, sembra che questa settimana non sia successo nulla d’interessante, parliamo quindi della differenza tra le minacce reali e teoriche. Come sempre, ecco le regole del gioco: ogni settimana i nostri collaboratori di Threatpost scelgono le 3 notizie più popolari ed io, come sempre, le commento. Per leggere i precedenti articoli di Security Week, cliccate qui.

Le pseudovulnerabilità zero day quando si decomprimono i file dagli archivi WinRAR

La notizia. La ricerca. Il feedback di RARLAB.

Un ricercatore iraniano, Mohammed Reza Espargham, ha scoperto una vulnerabilità di WinRAR, ma non nel software stesso, ma all’interno della cartella che si “auto estrae” e che si genera automaticamente. Inizialmente sembrava un problema davvero serio. Attraverso una funzionalità interna del file, si potrebbe abilitare l’esecuzione di un codice HTML durante l’estrazione dei file, codice che scaricherebbe un malware da Internet e lo avvierebbe, senza intaccare i contenuti della cartella compressa. La funzione vulnerabile sarebbe capace di mostrare un testo sullo schermo, così come accettare e processare HTML.

Gli sviluppatori di WinRAR non sono d’accordo con quanto riportato dalla notizia. Secondo loro, bisognerebbe semplificare la descrizione del bug “un utente potrebbe avere problemi quando si scarica e si lancia qualche strano file eseguibile”. Mi sono perso qualcosa?

Si tratta di una vulnerabilità concettuale e fondamentale a cui non può essere applicata nessuna patch: i computer eseguono tutti i codici lanciati al loro interno. Il team di WinRAR difende la sua posizione citando un “proof of concept” riguardante un altro zero.day: il contenuto di una cartella che si auto estra può essere impostato per funzionare automaticamente, senza il consenso dell’utente. Incredibile!

Ecco finalmente i gattini!

Entrambe i contendenti hanno in parte ragione. Qualche volta, gli usi non standard di strumenti standard potrebbero essere deleteri per la sicurezza del prodotto. Una tecnologia crittografica dovrebbe da un lato proteggere i dati personali ma anche criptare i dati degli utenti per evitare i ransomware.

Comunque una cosa è certa. WinRAR è un software molto popolare e, a differenza di altri programmi di questo genere, non richiede constanti aggiornamenti. Questi programmi non sono come i browser che si aggiornano ogni mese, si tratta solo di continuare a lavorare e questo è tutto. Un paio di anni fa abbiamo pubblicato un report su un sondaggio che aveva come obiettivo dimostrare quanto spesso gli utenti aggiornino i software vulnerabili. Beh, lo fanno molto poco: per il 30% degli utenti ci sono volute 7 settimane per passare alla nuova versione di Java.

La nostra ricerca include una vulnerabilità importante di WinRar 3.71 e relativi bug precedenti. Non avevamo intenzione di rintracciare il bug in quanto è davvero difficile da sfruttare; tuttavia, poiché abbiamo verificato i dati per gli aggiornamenti, siamo rimasti colpiti dal fatto che, dopo 5 anni, la versione vulnerabile di WinRar funzionava su decine di migliaia di PC e continuano a circolare così.

In fondo perché scaricare le patch? Non esiste un processo di auto-aggiornamento per questo programma. Fino a quando useremo Java, Flash e i browser, i cybercriminali non perderanno il loro tempo ad hackerare programmi come WinRar. Ma cosa accadrebbe se i soliti obiettivi diventassero più sicuri?

Le avventure dell’aggiornamento “vuoto” di Windows
Notizia. Dibattito sul forum di Microsoft.

Il 30 settembre, senza preavviso, il centro aggiornamenti di Windows, Windows Update Center, ha deciso di fare due chiacchiere senza senso con i propri utenti.

E con questo intendo letteralmete:

gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZYMEILGNIPwNOgEazuBVJcyVjBRL

Gli utenti sempre molto attenti agli aggiornamenti che ricevono mediante il Windows Update Center; come era da immaginarsi, sono stati i primi a rendersene conto: appaiono cose strane che cercano di auto-installarsi, non ci riescono e poi spariscono. Poi si scopre che una cosa simile è successa anche il 20 agosto.

Date un’occhiata alle screenshot delle conversazioni sul sito Internet di Microsoft

In seguito, il portavoce ufficiale di Microsoft ha ammesso che era un update di tipo test distribuito agli utenti per errore. Possiamo tutti stare più tranquilli. C’erano davvero delle ragioni serie per preoccuparsi? In realtà sì: se il sistema di aggiornamento di Windows venisse compromesso, sarebbe un’apocalisse digitale globale, degna di Ronald Emmerich.

Immaginate che un cybercriminale diffondesse un codice arbitrario a milioni di utenti e lo lanciasse senza preavviso. Per fortuna, tutto ciò non è molto fattibile perché sono attive firme digitali e crittografia. In uno dei nostri Security Week precedenti abbiamo già visto che il sistema di Windows Update non può essere distrutto.

 

O per lo meno è quello che speriamo.

Un bug vecchio di 14 anni finalmente risolto su Firefox

La notizia. Il post del blog commissionato da Adblock Plus, vittima principale del bug. Il bug in questione.

In sintesi: Firefox consuma un sacco di memoria. Con la versione 4.1 la situazione è un po’ migliorata, soprattutto per chi ha installato l’estensione AdBlock Plus. Il problema sta nell’interazione tra l’adware blocker e il browser. Quando è attivo il metodo di blocco degli adware con CSS, il browser ha bisogno di troppa memoria (fino a 2 GB!).

Inizialmente il bug è apparso per la prima volta il lontano 27 aprile 2001, nella pre-release della versione 0.9.3. Durante l’anno in questione sono state pubblicate la prima versione di Mac OS X, Windows XP ed è stato messo in vendita il primo iPod; è stato l’anno del successo di SATA e USB 2.0, l’anno della pubblicazione del protocollo modem V.92 e Windows ha mandato finalmente in pensione Paper Clip. Che anno, eh?

Il bug non è poi così dannoso. Mi domando se, durante i 10 o i 14 anni in cui il bug è stato attivo, gli sviluppatori di Firefox e Adblock abbiano litigato su di chi fosse la colpa. Le vulnerabilità davvero importanti di solito vengono risolte il prima possibile, vero?

E invece no! Durante la mia ricerca di vecchi bug, mi sono imbattuto in questo: Red Hat (e altri) non verificava l’autenticità degli aggiornamenti e di altri software installati. In teoria, si poteva prendere il controllo del sistema se tali programmi fossero stati installati o aggiornati da un mirror dannoso. Il bug era in circolazione dal 30 gennaio 1999! E non riguardavano neanche i mirror, si parlava di dischetti infetti! È stato risolto (e forse non del tutto) solo ad agosto 2014.

Abbiamo fatto riferimento a questo “bug” in relazione a WinRAR SFX. In realtà non si tratta di un vero e proprio bug, si basa sul presupposto che “se facciamo cadere un computer portatile in un falò, si brucerà”. Dubito che avessero intenzione di risolverlo, probabilmente gli azionisti volevano tirare in ballo ogni tanto questo bug per far parlare della sicurezza su Linux. Questo bug può essere una prova che Linux non sia sicuro? Naturalmente no.

Posso suggerire che la pubblicazione immediata delle patch per tutte le vulnerabilità non garantisce da sola la sicurezza dei dati. Da questo articolo si evince che, di media, gli sviluppatori di software impiegano circa 100/120 giorni per pubblicare le patch. L’ideale sarebbe che si trattasse di un processo più veloce; in ogni caso, ciò vuol dire che tutte le vulnerabilità non risolte saranno inevitabilmente sfruttate? No, esistono tanti bug e attacchi potenziali che provare a gestire tutte le vulnerabilità sarebbe un compito impossibile.

Ricordiamo comunque che qualche anno fa sul sito Internet di Kaspersky Lab esisteva un Indicatore di Minacce che valutava in un momento il livello di sicurezza. Questo strumento si è poi trasformato in alcune versioni del cosiddetto Orologio dell’Apocalisse: era piuttosto buono ma poco a poco ha iniziato a perdere la sua funzione di valutazione delle minacce reali ed è stato abbandonato.

Ora qualsiasi persona o compagnia adotta un proprio livello di sicurezza che dipende da numerose variabili, come la probabilità di essere hackerati, il valore dei dati in gioco e con quanta serietà viene preso in considerazione il problema.

 

https://twitter.com/DwightVJackson/status/646340189657305088

Cos’altro?
Questa settimana è stata piena di notizie ma nessuna di grandissima nota.

È stata scoperta un’altra vulnerabilità nel motore Stagefright di Android. La prima di questo genere è stata scoperta all’inizio di quest’estate e veniva sfruttata via MMS. Il bug più recente lancia un codice arbitrario quando l’utente apre con il browser un sito creato appositamente. Il problema ora consiste nel modo in cui la libreria processa i metadati del file multimediale.

 

Ben 101 bug risolti su Mac OS X (El Capitan). Inoltre, risolto un altro bug su iOS 9.0.2 che consentiva di bypassare il blocco schermo attraverso Siri (DROP TABLE).

Non ha portato a nulla la lunga ricerca di codici embedded in TrueCrypt. Durante la ricerca, però, è stato individuato un bug che, in ogni caso, non è in grado di decifrare i dati criptati. TrueCrypt potrebbe essere utilizzato per ottenere autorizzazioni in remoto. Il bug è stato risolto su VeraCrypt, la versione spin-off di TrueCrypt.

I dispositivi mobili possoo essere utilizzati per attacchi DDoS; un banner JavaScript, che inizia a disturbare costantemente il sito della vittima, potrebbe essere raggirato mediante le reti di malvertising. Un attacco di questo genere è abbastanza costoso. Se avete attivato una buona protezione contro gli attacchi DDoS verrete risparmiati; chi invece ne è sprovvisto è probabile che venga colpito.

Oldies

“Bebe”
Non- resident virus molto pericoloso; infetta i file .COM nel catalogo corrente. Aumenta le dimensioni di un file moltiplicando un paragrafo, poi copia se stesso alla fine del file e altera i primi 14 byte (PUSH AX;…; JMP FAR Loc_Virus). Poiché si tratta di un non-resident virus, crea un programma resident. Copia una parte del corpo nella tavola del vettore delle interruzioni a 0000:01CE e imposta l’interruzione 1Ch (timer). Dopo poco tempo appare il seguente messaggio:

VIRUS!
Skagi ‘bebe’>

Quando l’utente digita “bebe”, il virus risponde “Fig Tebe!” (Vai a quel paese in russo) che rivela così il paese d’origine del virus. Nel codice c’è un errore, non ripristina DTA. Ciò può portare al rallentamento del computer. Altro errore: il virus non prende in considerazione la pipeline nei processori Intel 80×86 e modifica il comando successivo a quello corrente. Di conseguenza, è operativo solo sui modelli datati di PC IBM. Oltre al testo che abbiamo menzionato, c’è anche * COM.

Citazione da “Computer viruses in MS-DOS” di Eugene Kaspersky, 1992, p.60

Dichiarazione di non responsabilità: questo articolo riflette la persona opinione dell’autore. Può coincidere o no con la posizione di Kaspersky Lab.

 

Consigli