Archive

Archive for the ‘Windows’ Category

Metasploit VS Microsoft Office

Ciao a tutti,

Vi linko un video di un pò di tempo fa in merito all’argomento, e che è rispuntato fuori dai meandri del mio PC 😉

Metasploit vs Microsoft Office
Ciauz

Microsoft stucca otto falle di IE

Nelle scorse ore Microsoft ha reso disponibile un aggiornamento cumulativo di sicurezza per Internet Explorer che corregge vulnerabilità vecchie e nuove, tra le quali quella utilizzata per gli attacchi a Google e a decine di altri grossi network aziendali.

L’aggiornamento è contenuto nel bollettino straordinario MS10-002, che Microsoft ha pubblicato al di fuori del suo tradizionale ciclo dei rilasci e con quasi tre settimane di anticipo rispetto ai bollettini di febbraio.

Tra le vulnerabilità più urgenti c’è quella sfruttata dai cracker cinesi per bucare Google, identificata come CVE-2010-0249, la quale è presente in tutte le versioni di Internet Explorer comprese fra la 6 e la 8.
Sebbene Microsoft abbia più volte sottolineato come, fino ad oggi, gli unici attacchi che sfruttano questa falla siano stati diretti contro IE6, negli scorsi giorni sono stati avvistati su Internet degli exploit apparentemente in grado di funzionare anche con IE7 e IE8. Tali exploit sono una variante di quello originale, conosciuto come Hydraq, il cui codice è nel frattempo diventato di pubblico dominio.

Va però sottolineato come IE7 e IE8 implementino meccanismi di sicurezza che, associati a quelli dei più recenti sistemi operativi di Microsoft, rendono molto più difficile lo sfruttamento di questa vulnerabilità. Dino Dai Zovi, noto esperto di sicurezza che ha analizzato a fondo i nuovi exploit, sostiene che l’unico modo per farli funzionare è quello di disattivare manualmente le funzioni di sicurezza Address Space Load Randomization e Data Execution Prevention.

Lo scorso martedì Jerry Bryant, membro del Microsoft Security Response Center (MSRC), ha spiegato in questo post che tra le applicazioni potenzialmente vulnerabili ci sono quelle che utilizzano la libreria di rendering mshtml.dll, come ad esempio le versioni di Outlook precedenti alla 2007, Outlook Express e Windows Live Mail: anche in questo caso, però, Microsoft afferma che le configurazioni di default dovrebbero rappresentare una solida difesa per l’utente. In ogni caso, Microsoft assicura che l’installazione dell’aggiornamento MS10-002 risolve il problema in tutte le applicazioni che ne sono afflitte.

Le altre 7 vulnerabilità corrette da questo aggiornamento interessano tutte le versioni di IE a partire dalla 5.01, e sono considerate della massima pericolosità in tutte le edizioni di Windows tranne che nella Server 2003, dove il rischio è definito “moderato”. A seconda del caso, le debolezze riguardano il cross-site scripting, la validazione degli URL e la corruzione della memoria, e tutte – tranne una – sono potenzialmente sfruttabili per eseguire del codice a distanza.

“Viste le diverse applicazioni che possono usare il componente vulnerabile, l’attacco potrebbe essere realizzato in tutti i diversi modi (navigazione Internet, email o documenti Office) che veicolano contenuti in formato HTML” ha spiegato Feliciano Intini, chief security advisor di Microsoft Italia, in questo post. I privilegi che verrebbero sfruttati sono quelli dell’utente loggato, quindi vale la best practice: utente meno privilegiato equivale a meno rischi. Solo la vulnerabilità CVE-2010-0249 era già pubblica”.

Fonte: punto-informatico.it

Windows TCP/IP Stack Hardening

Mi sembra doveroso ribadire, dopo aver spesso dato risposta in giro sui vari forum, che un metodo per proteggere il proprio pc sia proprio l’irrobustimento del sistema stesso e quindi anche delle varie aree che lo caratterizzano e che sono esposte a pericoli e bugs
Proprio in quest’ottica ci viene in aiuto l’hardening, ovvero l’insieme di tutte quelle procedure di irrobustimento di un sistema operativo,  che comprende anche l’hardening dello stack TCP/IP  che spesso viene lasciato configurato di default esponendo comunque la nostra macchina a pericoli e insidie.

Lo stack TCP/IP è il responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP). Se necessario, questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.

Sostanzialmente tutte le applicazioni che fanno uso di Internet e tutte le applicazioni tradizionali che si riferiscono a LAN utilizzano IP, benché teoricamente siano possibili altre soluzioni.
Il protocollo IP è per impostazione predefinita privo di protezione. Tuttavia con l’uso e la configurazione di vari parametri nel registro di Windows è possibile aumentare il livello di protezione della rete da attacchi di tipo Denial of Service, inclusi attacchi SYS, ICMP e SNMP. Le chiavi del Registro di sistema possono essere configurate per:

– Attivare la protezione dagli attacchi di tipo SYN quando viene rilevato un attacco
– Impostare valori limite utilizzati per determinare ciò che costituisce un attacco.

Alcune chiavi e valori cui si fa riferimento in questa procedura potrebbero non essere disponibili per impostazione predefinita, in questi casi è necessario creare chiavi, valori e dati valore.

Gli interventi che ci apprestiamo a compiere potrebbero essere, se non eseguiti nel modo corretto, dannosi, per cui è importantissimo, prima di compiere qualunque azione sul registro, premunirsi di farne una copia completa.

Iniziamo : Entriamo in regedit e posizioniamoci alla seguente chiave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters

Valore: EnableDeadGWDetect – Valore consigliato: 0 [Valori validi: 0 (disabilitato), 1 (abilitato)]

1 : se si imposta EnableDeadGWDetect su 1, il protocollo TCP può rilevare i gateway inattivi. Quando il rilevamento dei gateway inattivi è abilitato, TCP può chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup possono essere definiti nella sezione Avanzate della finestra di dialogo di configurazione del protocollo TCP/IP tramite lo strumento Rete nel Pannello di controllo.

0 : è consigliabile impostare il valore di EnableDeadGWDetect su 0, in caso contrario un eventuale attacco potrebbe obbligare il server a cambiare gateway imponendogli di passare a un gateway indesiderato.

Valore: SynAttackProtect – Valore consigliato: 1 [Valori validi: 0 – 2]
Questo valore del Registro di sistema fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura, le risposte di connessione scadono più rapidamente durante un attacco SYN (un tipo di attacco “Denial of Service”).

I seguenti parametri possono essere utilizzati con questo valore del Registro di sistema:
– 0 (valore predefinito): nessuna protezione dagli attacchi SYN
– 1: impostare SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN.

Questo parametro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Se si imposta SynAttackProtect su 1, il timeout delle risposte di connessione è più veloce qualora il sistema rilevi un attacco SYN in corso. Per determinare se è in corso un attacco, Windows utilizza i valori seguenti:
– TcpMaxPortsExhausted
– TCPMaxHalfOpen
– TCPMaxHalfOpenRetried

Nome valore: TcpMaxPortsExhausted – Valore consigliato: 0 [Valori validi: 0 – 65535]
specifica il limite di richieste di connessione TCP che deve essere superato prima di attivare la protezione dagli attacchi SYN.

Nome valore: TcpMaxHalfOpen – Valore consigliato: 64 [Valori validi: 100 – 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxHalfOpenRetried – Valore consigliato: 400 [Valori validi: 80 – 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD per cui è stata inviata almeno una ritrasmissione. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxConnectResponseRetransmissions
– Valore consigliato: 2 [Valori validi: 0 – 255]
controlla il numero di ritrasmissioni di un SYN-ACK prima di annullare il tentativo di risposta a una richiesta SYN.

Nome valore: TcpMaxDataRetransmissions – Valore consigliato: 3 [Valori validi: 0 – 65535]
specifica il numero di volte in cui TCP ritrasmetterà un singolo segmento di dati (non di connessione) prima di annullare la connessione

Nome valore: EnablePMTUDiscovery – Valore consigliato: 1 [Valori validi: 0, 1]
se questo valore è impostato su 1 (valore predefinito), il protocollo TCP deve individuare l’unità massima di trasmissione o il pacchetto con la dimensione maggiore nel percorso di un host remoto. Un pirata informatico può forzare la frammentazione del pacchetto e quindi sovraccaricare lo stack. Specificando il valore 0, verrà imposta la MTU di 576 byte per le connessioni da host non inclusi nella subnet locale.

Nome valore: KeepAliveTime – Valore consigliato: 300000 [Valori validi: 80 – 4294967295]
specifica la frequenza con cui il protocollo TCP tenta di verificare se una connessione inattiva è ancora intatta inviando un pacchetto keep-alive

Nome valore: NoNameReleaseOnDemand – Valore consigliato: 1 [Valori validi: 0, 1]
specifica che il computer non deve rivelare il nome NetBIOS quando riceve una richiesta di rilascio dei nomi.

Nome Valore: DisableIPSourceRouting – Valore consigliato: 1 [Valori validi: 0, 1, 2]
disattiva l’origine routing IP, che consente a un mittente di determinare la route che un datagramma deve seguire attraverso la rete.

Nome Valore: EnableFragmentChecking – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
impedisce allo stack IP di accettare pacchetti frammentati

Nome Valore: EnableMulticastForwarding – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
il servizio di routing si basa su questo parametro per determinare se i pacchetti multicst IP debbano essere inoltrati o meno. Questo parametro viene creato dal servizio Routing e accesso remoto.

Nome Valore: IPEnableRouter – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
l’impostazione di questo parametro su 1 (true) consente al sistema di inoltrare i pacchetti IP alle reti a cui è connesso.

Nome Valore: EnableAddrMaskReply – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
questo parametro stabilisce se il computer deve rispondere a una richiesta di maschera indirizzo ICMP.

Ora rechiamoci alla chiave:

HKLM\System\CurrentControlSet\Services\AFD\Parameters

Nome Valore: EnableICMPRedirect – Valore consigliato: 0 [Valori validi: 0, 1]
se si modifica questo valore su 0, viene impedita la creazione di route host dispendiose in seguito alla ricezione di un pacchetto di reindirizzamento ICMP.

Nome Valore: EnableDynamicBacklog – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
specifica che la funzionalità AFD.SYS dovrà gestire un numero elevato di connessioni SYN_RCVD in modo efficace.

Nome valore: MinimumDynamicBacklog – Valore consigliato: 0 [Valori validi: 0 – 4294967295]
specifica il numero minimo di connessioni disponibili consentito per un endpoint in ascolto. Se il numero di connessioni disponibili risulta inferiore a questo valore, viene inserito un thread nella coda per creare altre connessioni disponibili.

Nome valore: MaximumDynamicBacklog – Valore consigliato: 20 [Valori validi: 0 – 4294967295]
specifica il numero totale delle connessioni disponibili e di quelle in stato SYN_RCVD.

Nome valore: DynamicBacklogGrowthDelta – Valore consigliato: 0 [Valori validi: 0 – 4294967295]
quando sono necessarie altre connessioni, specifica il numero di connessioni disponibili che devono essere create.

Articolo formatted by:  PIANETAPC.IT

GUIDA ALLA RIMOZIONE DEL VIRUS MY-PHOTO ALBUM LIVE MESSENGER

20 luglio 2008 3 commenti

In questo tutorial voglio indicarvi la procedura corretta per rimuovere il virus/malware MY PHOTO che dal 10 Giugno 2007 sta imperversando in MSN diffondendosi tramite Windows Live Messenger. Questo virus vi viene inviato dai vostri contatti conosciuti, e vi invita ad accettare un file .zip chiamato My_Photo.zip oppure my_photoAlbum.zip che una volta scaricato va a modificare il registro di configurazione di windows e ad installare quattro moduli DLL(Librerie dinamiche di Windows tradotto in italiano per chi non lo sapesse!!). Viste alcune segnalazioni e richieste di aiuto ora vi indico come rimuovere questo stupidssimo malware che scoccia e basta la vita dei poveri MSN users…..

Prima di illustrarvi come rimuoverlo voglio mostrarvi i risultati delle scansioni antivirus contro questo malware, che purtroppo imperversa ancora distanza di mesi grazie ad una sotto-valutazione da parte delle stesse software house che producono gli antivirus e gli anti-malware.

Come ben potete notare dalla foto il malware viene rilevato da pochissimi antivirus; pertanto se volete optare per un antivirus free e buono restate su Antivir Personal Edition, che anche se è free si conferma ancora in ottime posizioni alla pari con gli antivirus a pagamento.

Tornando a noi, per rimuovere il malware Andate su Start e poi se Esegui e digitate regedit e date Invio.
A questo punto siete dentro all’editor del registro di configurazione del vostro Windows. Ora nel menu a sinistra scorrete l’albero gerarchico e cercate le chiavi che vi indichiamo di seguito…

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}

[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

Quando le avete trovate rimuovetele definitivamente. Ora siamo già a buon punto perchè abbiamo inbitio il caricamento all’avvio del malware e quindi ci resta solo da rimuovere i file maligni creati in fase di installazione dallo stesso…..

Andate su Risorse del Computer(per semplificarvi la vita :D) e nella cartella Windows fate un cerca inserendo come termini di ricerca questi files:

Photo album.zip
rdfhost.dll
rdihost.dll rdshost.dll

Selezionateli e rimuoveteli.

Scaricate il fix direttamente da link sottostante:

DOWNLOAD TOOL

Spero di esservi stato di aiuto, ma soprattutto di essere stato chiaro ed esaustivo anche stavolta…..

P:S> Questo malware resta tuttavia un’applicazione nociva un pò datata ma che non è stata inserita nei database da parte di tutte le case produttrici di antivirus. In poche parole consiglio a chi ha Avast(pessimo antivirus FreeEdition), o a chi avesse McAFee o Norton di disinstallarli e installare antivirus a pagamento evoluti come Kaspersky, BitDefender o Nod32, oppure di optare per l’ottima soluzione free edition Antivir 7; che aggiornato è pure veloce e molto preciso nelle scansioni e nei rilevamenti. In ogni caso chi avesse quest’ultimi antivirus non è soggetto all’infezione anche se riceve il malware perchè viene rilevato se è aggiornato a dopo il primo Aprile 2007…..Quindi rifiutate prodotti come Norton, Avast e McAfee perchè siete esposti e a 360 non solo a questo stupido malware!!!!

P:P:S> Questa guida la pubblicai ancora un anno fa ma spero sia ancora valida nel caso qualche visitatore sia ancora infetto o abbia ancora problemi con questo vecchio virus.

GUIDA ALL’HARDENING DI INTERNET EXPLORER

Salve ragazzi, voglio condividere anche qui sul forum la mia guida che ho redatto circa un anno fa, e che ho già postato sul blog di RBT-4 sull’hardening di Internet Explorer su piattaforma Windows.

La guida è un pò immensa e pertanto mi limiterò a linkare il mio PDF(visto che non me lo fa allegare),che potrete scaricare per leggere in maniera integrale comodamente sul vostro computer.

Premetto che questa guida l’ho testata personalmente su sette computer e visitando circa 130 siti tra porno, warez e di gioco d’azzardo e il fido IE ha risposto egregiamente.

Pertanto ve ne consiglio la lettura, non solo per know-out personale, ma anche per capire come hardenizzare un browser perchè potete arrangiare questa guida anche per altri browser; anche se ovviamente dal punto di vista pratico i procedimenti pratici saranno leggermente diversi.

Spero vi piaccia come è piaciuta moltissimo a tanti users che l’hanno scaricata(più di 2000 download).

Spero possa esservi utile e di vostro gradimento.

DOWNLOAD GUIDA

Rimuovere Definitivamente Malware DAN.COM Windows Live Messenger

Ripropongo questa mia procedura per rimuovere definitivamente il malware DAN.COM che ai primi mesi nel 2008 ha infettato e disturbato moltissimi utenti che dopo l’infezione non riuscivaNO più ad usare Messenger nella maggior parte dei casi.

Questa procedura la misi giù durante il punto clou del numero di infezioni, e che postai all’epoca QUI e che ripropongo qui perchè l’articolo era mio e lo scrissi io.

Finora i commenti sono stati solo positivi perchè hanno risolto tutti con questo metodo; fatemi sapere se avete problemi.

///// INIZIO ARTICOLO ORIGINALE \\\\\

Questo paper può essere considerato come integrazione, o anche come sostituzione, del precedente articolo sulla rimozione del malware DAN.COM che imperversa nei circuiti hotmail e Live Messenger da circa un mese abbondante e che era stato segnalato sulla rete proprio da il nostro / – ThE_RaV[3]N – \ in anteprima poche ore dopo la sua prima capillare diffusione.

Avendo riscontrato che molti users avevano problemi a seguire la procedura precedente di ThE_RaV[3]N abbiamo cercato, lui per primo, di trovare un altro metodo più veloce e sicuro per essere sicuri di averlo rimosso. Questo nuovo metodo che vi illustreremo nel corso di questa guida è un metodo basato però su un tool poco conosciuto ma potentissimo : Avenger.

Premettiamo che questo tool è pericolosissimo perché se non si ha confidenza con lo scripting e con i suoi comandi possiamo veramente rovinare il nostro Sistema Operativo o renderlo inutilizzabile/instabile. Premesso ciò noi di RBT – 4 non ci assumiamo nessuna responsabilità sull’uso che farete di questa tutorial e sui possibili danni arrecati che potete fare.

Per rimuovere il famoso malware scaricate HJK da qui, e dopo averlo scaricato installatelo ed esegui telo. Quando lo avrete aperto cliccate sul pulsante Scan e quando avrà finito lo scan e avrete il report di tutte le chiavi di registro del vostro Windows Selezionate(cioè marcate con il simbolo ticket all’interno della casellina in fianco ad ogni voce) tutte le voci 04 o comunque riferite al famoso file services.exe che parte dall’altrettanto famoso percorso già citato più volte:

C:\Documents and Settings\<VostroNomeUtente>\impost~1\temp\services.exe.

Fixate tutte quelle voci(cliccando sul tasto fixed di HJK dopo averle selezionate) procedete pure ad aprire il tool Avenger che potete scaricare direttamente dal sito dell’autore da qui.

Una volta lanciato Avenger selezionate l’opzione Input Script Manually, e nella finestra dove dovrete inserire lo script di input inserite quanto vi riportiamo di seguito:

Files to delete:
C:\WINDOWS\lwsys32.exe
C:\WINDOWS\whsyst32.exe
C:\WINDOWS\System32\intel32.exe
C:\Documents and Settings\nome_utente\Impostazioni locali\Temp\Services.exe

Confermiamo lo script e chiudiamo Avenger.

Fatto questo riavviamo il PC permettendo così ad Avenger di applicare le modifiche che gli abbiamo detto di fare.

Ora la capacità di far eseguire i comandi a livello di kernel da parte di Avenger ci permetterà di poter rimuovere quei fastidiosi files in uso dal malware e lavorare tranquilli senza dover sopportare le fastidiose finestre di Live Messenger che si aprono da sole a ripetizione bloccando il nostro lavoro.

///// FINE ARTICOLO ORIGINALE \\\\\

Spero sia chiaro l’articolo di testa che venne pubblicato sul blog della community RBT – 4. In caso di problemi io sono qui 😉

DISINSTALLARE COMPLETAMENTE I PROGRAMMI

In molti utenti mi hanno chiesto come fare per dinsinstallare dei programmi completamente, e soprattutto come essere sicuri di avere SNAP di registro completi e precisi per poter farsi un’idea di quanto effettivamente le modifiche siano state effettuate con successo con la possibilità di ripristinare il tutto in caso di errori di dipendenza di Sistema.

Innanzitutto io, dovuto a motivi di beta-testing per altre community per le quali lavoro, uso spesso strumenti per poter fare degli SNAP di registro, ma forse il vero compromesso per l’utenza medio-bassa risiede proprio in un unico tool: TOTAL UNINSTALL Rv 4.

Questa nuova release offre moltissime possibilità, e soprattutto ha implementato rispetto alle precedenti, la capacità di farsi un automatico degli SNAP di registro e trovare tutto ciò che è associato al programma o ai programmi installati nel proprio sistema.

Dallo screen sotto-stante potete farvi un’idea di come il programma si auto-definisca i riferimenti, i CLSID, le DLL, i files di configurazione e altro autoamticamente: in modo evoluto e soprattutto in modo preciso e affidabile.

Io posso solo che consigliarne l’utilizzo e di provarlo perchè veramente ne vale la pena.

Vedendo l’orario non voglio fare una recensione, poi eventualmente se avete problemi o dubbi o chichessia io sono qui a vostra disposizione per darvi tutte le risposte che desiderate(ovviamente entro i miei limiti raga ).

Ciauz Ciauz