Questo Martedì Microsoft ha rilasciato 17 bollettini di sicurezza, correggendo anche l’ultimo exploit 0day sfruttato da Stuxnet che ancora era rimasto aperto. Ben 7 delle 38 vulnerabilità corrette da Microsoft erano già state pubblicate online e permettevano sia l’esecuzione di codice da remoto che l’elevazione di privilegi.

Microsoft ha corretto alcuni dei proprio software che erano vulnerabili ad una specifica falla scoperta pubblicamente lo scorso Agosto, relativa ad un’errata gestione del caricamento in runtime delle librerie di sistema. Ho già parlato in passato di questa vulnerabilità e avevo già detto come, a mio avviso, non si trattasse di una vulnerabilità del sistema operativo quanto piuttosto di un errore di programmazione dei singoli software. » Read more: Microsoft Patch Day: tutto qui?

Eccoci qui, pronti per una nuova emozionante avventura! Lascio spazio al comunicato stampa, che è sicuramente più chiaro di me:

BOULDER, Colo., Nov. 1, 2010 /PRNewswire/ — Webroot, the first Internet security service company, today announced it has acquired Prevx, provider of the world’s most scalable and effective cloud-based anti-malware solutions. Webroot will integrate Prevx’s technology into its cloud security services to deliver the industry’s most effective online protection for consumers and businesses.

Webroot and Prevx share a common vision for revolutionizing what we believe is a market in need of dramatic change,” said Dick Williams, CEO at Webroot. “Security vendors have expected customers to buy, install, maintain, and then manage security products that simply cannot keep pace with today’s cybercriminals. Prevx is the leader in cloud-based antivirus protection and behavior-based malware detection, which block threats before they can ever reach a PC or corporate network. This technology, combined with Webroot’s innovations, customer service and support, will make it easy for consumers to stay protected online wherever they go, and easy for businesses to protect their employees and their networks.”

…

Comunicato stampa

Un novembre ricco di novità, direi. E se il buongiorno si vede dal mattino…

Come si è spesso evidenziato durante il corso di questi anni, il problema di falle presenti nel PC non è solo colpa del sistema operativo, ma un ruolo importantissimo lo giocano i vari software installati nel sistema operativo. Su tutti, ad esempio, i plugin installati nei browser web.

Durante la navigazione online si corre spesso il rischio di imbattersi in pagine web fittizie, codici confezionati ad hoc per poter sfruttare qualche falla presente nel browser o presente nei plugin installati nel browser.

Si può parlare dei plugin Java, o dei plugin QuickTime, ma sicuramente il ruolo principale lo gioca Flash, l’ormai onnipresente player di Adobe necessario per poter visualizzare correttamente molti siti web che utilizzano animazioni e presentazioni grafiche. Il plugin Flash è continuamente al centro di polemiche per il numero di falle riscontrate nel proprio codice, falle che hanno permesso – e che permettono – a numerosi exploit di infettare i PC degli ignari utenti. » Read more: OS X e il plugin Flash dimenticato

È stato un Luglio movimentato, per chi ricorderà bene, sotto l’aspetto sicurezza informatica. Una nuova falla di Windows viene scoperta. Falla “0day”, sconosciuta, causata da un bug del sistema operativo Windows che perdura da Windows 2000 a Windows 7, sia 32 che 64 bit. Avevo scritto già un articolo a riguardo, a questo link.

Come avvenne la scoperta? Purtroppo nel peggiore dei casi, di fronte all’ormai avvenuta diffusione: un malware isolato dalla società di sicurezza informatica russa VirusBlokAda Ltd. stava utilizzando questa falla per infettare dispositivi USB rimovibili ed auto eseguirsi non appena il dispositivo infetto veniva collegato ad un sistema operativo Windows. La società informò Microsoft e allertò le altre società di sicurezza. Cercando meglio nella mole di dati che arrivano ogni giorno nei database delle varie società di antivirus, si è scoperto che questo malware, successivamente denominato Stuxnet, aveva già almeno un’altra variante. Entrambe le varianti di Stuxnet erano firmate digitalmente. O, per meglio precisare, coloro che avevano scritto Stuxnet erano riusciti a rubare certificati digitali appartenenti a Realtek e JMicron. Certificati che sono stati poi utilizzati per firmare i malware. » Read more: L’ombra di Israele nel caso Stuxnet?

C’è voluto un po di tempo ma ora i sistemi Windows a 64 bit sono ufficialmente il nuovo obiettivo dei kernel mode rootkit.

Avevo parlato mesi fa riguardo il famoso TDL3 rootkit, il più avanzato rootkit in the wild mai analizzato. Bene, l’ultima versione di questo rootkit era stata rilasciata mesi fa ed era la build 3.273. Dopo di questa non ci furono ulteriori aggiornamenti al driver del rootkit. Un comportamento molto sospetto, sopratutto se si era abituati a vedere aggiornamenti quotidiani del rootkit da parte dei propri sviluppatori per contrastare le difese dei software di sicurezza.

Ovviamente il rootkit era ben stabile nel sistema e funziona attualmente su tutti i sistemi operativi Windows a 32 bit basati su kernel NT senza bug significativi. Va ovviamente ricordato che il dropper necessita di privilegi amministrativi per potersi installare nel sistema. Tuttavia il team alle spalle del TDL3 rootkit era troppo silenzioso per non doverci aspettare qualcosa di nuovo. » Read more: Ecco l’era dei rootkit a 64 bit