Sicurezza: molto, molto, molto, molto importante

Forse il titolo sembrerà un po' esagerato, ma è veramente importante che tutti installino e facciano installare al più presto l'ultima patch di Windows (tutte le versioni).
Non passerà molto tempo prima che qualcuno scriva un qualche codice per farne cattivo uso e se per quella data i sistemi non sarano stati patchati saranno dolori. Ripeto, installatela e fatela installare ai vs clienti, amici, parenti e conoscenti vari.

Qui trovate tutte le patch: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS04-007.asp

In alternativa usate Windows Update.

Per far capire (spero) l'importanza del problema riporto qui alcuni stralci di email che spero siano utili:


la rete non c'entra niente (se non come veicolo), tantomeno il firewall.

ASN.1 è un linguaggio per scrivere protocolli o standard (trovi una breve descrizione in http://support.microsoft.com/default.aspx?scid=kb;en-%20us;252648), leggendo il bulletin (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS04-007.asp) è possibile farsi un'idea della tipologia di attacco.

Faccio cut & Paste dei punti salienti: 

What is ASN.1?
Abstract Syntax Notation 1 (ASN.1) is a data standard that is used by many applications and devices in the technology industry for allowing the normalization and understanding of data across various platforms. ASN.1 has no direct relationship to any specific standard, encoding method, programming language, or hardware platform. It is simply a language for defining standards. Or in other words, standards are written in ASN.1.

A vulnerability exists in Microsoft's ASN.1 implementation that, if exploited, could allow an attacker to cause code to execute remotely with system privileges on an affected system.

What is the scope of the vulnerability?
This is a buffer overrun vulnerability. An attacker who successfully exploited this vulnerability could gain complete control over an affected system. An attacker could take any action on the system, including installing programs, viewing data, changing data, deleting data, or creating new accounts with full privileges.

How could an attacker exploit this vulnerability?
Because ASN.1 is a standard for many applications and devices, there are many potential attack vectors. To successfully exploit this vulnerability, an attacker must force a computer to decode malformed ASN.1 data. For example, when using authentication protocols based on ASN.1 it could be possible to construct a malformed authentication request that could expose this vulnerability.

Come vedi, si tratterebbe di scrivere una specifica in formato ASN.1 che forzi le DLL di sistema (esempio: Msasn1.dll) e ne sfrutti il buffer overrun (conosco diverse persone in grado di farlo); comunque basta installare OpenSSL per avere parecchi strumenti a disposizione.

Ad ogni modo, i seguenti standand sono scritti in ASN.1, quindi non è una vulnerabilità da sottovalutare:

  • X.400 (Electronic Messaging)
  • X.500 (Directory Services)
  • X.200 (Network communications)
  • Request for Comments (RFCs) 2251-2256 (Lightweight Directory Access Protocol, or LDAP)
  • Too many other RFCs to mention


Nel sito di Eeye trovate maggiori dettagli sulle vulnerabilità in oggetto (http://www.eeye.com/html/Research/Advisories/AD20040210.html e http://www.eeye.com/html/Research/Advisories/AD20040210-2.html)

Tra i servizi impattati sono riportati “Kerberos,  NTLMv2 authentication, and applications that make use of certificates (SSL, digitally-signed e-mail, signed ActiveX controls) “.

“This vulnerability affects basically any client of MSASN1.DLL, the most interesting of which are LSASS.EXE and CRYPT32.DLL (and therefore any application that uses CRYPT32.DLL).”

 


  • aggiungo ai siti quello del CERT che riassume bene la sua gravità http://www.us-cert.gov/cas/techalerts/TA04-041A.html
  • Tutti gli advisory si lanciano a enumerare quanti più possibili applicativi interessati dalla vulnerabilità, e purtroppo anche quei pochi indicati (praticamente tutti o quasi i servizi di autenticazione) sono sufficienti per classificare questa vulnerabilità come molto grave e pericolosa
  • Infatti, il rischio di un attacco non autenticato, da remoto e con la capacità di acquisire i privilegi di SYSTEM sono le tre caratteristiche peggiori per una vulnerabilità, quelle che più facilmente possono essere scelte per la realizzazione di un worm
  • Vi sono alcuni tool che permettono di verificare quante DLL hanno caricato la MSASN1.DLL (il nostro "PortQry 2.0", e "LISTDLLS" della Sysinternals), ma è solo un esercizio che può essere utile per spaventarsi...
  • Di fronte alla enorme superfice di attacco, non resta che spingere i clienti ad organizzarsi per installare la patch senza esitazione: in questo caso non è possibile fare un Risk Assessment.
  • posted @ domenica 15 febbraio 2004 15:32

    Print
    Comments have been closed on this topic.