Il codice di "Aurora", il famigerato zero day exploit usato contro Google, Adobe e altri a dicembre è stato ufficialmente rilasciato .
Onde evitare inutili allarmismi c'è da premettere una cosa: l'exploit ha effetto solo se l'utente apre nel browser una pagina web contenente l'attacco, il che potrebbe avvenire seguendo un link ottenuto via email, instant messaging, etc.
L'exploit è già disponibile in Metasploit (lanciate l'update anche se avete installato l'ultima 3.3.3), ma si può preparare una pagina HTML contenente il codice Javascript necessario senza troppa fatica, una volta generato il payload. Si veda il codice inviato per l'analisi
Dalle prime prove che ho effettuato i risultati sono preoccupanti. Nulla per cui farsi prendere dal panico, ma cose di questo genere non si vedevano da tempi di XP pre SP2! 
In soldoni ecco le veloci verifiche effettuate ed i relativi risultati:
- IE6 su XP SP3 x86 senza DEP abilitato per IE: si buca come il burro
- IE6 su XP SP3 x86 con DEP abilitato (incluso IE): va correttamente in crash e non ha effetto
- IE7 su XP SP3 x86 senza DEP per IE: va in crash usando il payload per il 6
- IE8 su Win7 e XP SP3 x86 senza DEP abilitato per IE: va in crash usando il payload per il 6.
Per IE7 e IE8 il crash è già un buon indizio di vulnerabilità, il payload va adattato alla versione corretta per cui occorre scriverne uno ad hoc. Al momento è nella mia TODO list (che troppo spesso somiglia a /dev/null) 
Nota: IE6, 7 ed 8 con DEP abilitato avvisano correttamente che l'applicazione è stata terminata per esigenze di security.
Una nota importante riguarda come sempre i permessi associati all'utente: se l'utente che esegue IE ha permessi amministrativi, lo ha anche il codice dell'exploit, trasformandolo in un root exploit a tutti gli effetti. Troppo spesso ancora oggi questa è purtroppo la prassi sulle installazioni di Windows, parzialmente mitigata con UAC da Vista in avanti.
Come si può facilmente vedere anche in questo caso, abilitare la "Data Execution Prevention (DEP)" per tutti i processi è sembre una buona norma, a scapito di una leggera penalità in termini di performance e di potenziale compatibilità con un ristretto numero di applicazioni.
Per configurare DEP (dopo averlo abilitato al boot) si veda il seguente snapshot.
Nota: IE8 abilita DEP di default da XP SP3 in avanti. A buon intenditore... :-)
Microsoft ha rilasciato un apposito Security Advisory, in cui viene riconosciuto il problema, ma nessuna patch al momento. Si spera che non aspettino il prossimo patch day al 9 febbraio.
Per concludere:
l'attacco effettuato ai danni di Google, Adobe & c. sembra avere avuto come obiettivi:
- l'accesso alle mailbox gmail di presunti attivisti con posizioni contrarie al governo cinese
- l'accesso al codice sorgente di prodotti protetti da proprietà intellettuale
Sono abbastanza perplesso:
- Mi chiedo se l'accesso alle mailbox in questione non servisse a sviare l'attenzione
- Chi sono le altre 31 aziende colpite non dichiarate?
- L'acceso a sorgenti di prodotti closed source come ad es. Adobe Flash, comporta un problema che va ben oltre la "semplice" violazione della proprietà intellettuale, ovvero l'accesso ad un numero potenzialmente enorme di zero day exploit. Nel caso di Flash, diffuso nella quasi totalità dei browser, porterebbe a problemi di security tali da pregiudicarne l'utilizzo. Chiaramente al momento non si sa e dubito che si saprà mai ufficialmente, su quali sorgenti gli hacker abbiano messo mano, per cui si tratta di semplici congetture!
Alessandro Pilotti [ MVP / IIS ]
posted @ domenica 17 gennaio 2010 05:08