Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Nascondere malware nel framework .NET
Scritto da Paolo Raviola il 22-04-2009 ore 09:50
L'ambiente .NET di Microsoft consente di scrivere, in differenti linguaggi ad alto livello, le istruzioni dei quali saranno poi tradotte in MSIL, ed eseguite su una macchina virtuale. Dal punto di vista di un malintenzionato, sarebbe molto comodo avere a disposizione l'intero ambiente già compromesso, ed è quanto ha fatto Erez Metula, che offre uno strumento fatto apposta per questo scopo.
Il software si chiama .Net-Sploit 1.0, e consente di inserire codice malevolo in stile rootkit in punti dove ben pochi si sognerebbero di guardare, come asicura lo stesso Metula, software security engineer di 2BSecure. Egli ha mostrato una presentazione alla recente Black Hat conference di Amsterdam.
Il programma in questione permette di automatizzare alcuni dei compiti più difficili per compromettere l'ambiente .NET: per esempio, togliere una DLL di libreria e sostituirla con quella voluta. A questo punto, a un applicativo con un meccanismo di autenticazione possono essere agevolmente intercettate nome utente e password.
La presentazione sopracitata è già sufficiente per farsi un'idea di come agisce .Net-Sploit, ma si può consultare anche questo white paper, più dettagliato. Per chi volesse ulteriormente approfondire le conoscenze, questa pagina ha tutto quello che occorre, compreso il codice sorgente. Il metodo, in due parole, è il seguente: localizzare la DLL nel GAC, decompilarla, modificare il codice MSIL, ricompilare, forzare il framework a usare la nuova DLL.
Dopo aver compiuto la sua opera, l'attaccante può agire indisturbato per parecchio tempo; bisogna però avere il pieno controllo della macchina prima che il tool possa essere usato. Proprio a fronte di questa esigenza, il Microsoft Security Response Center, avvertito nel settembre 2008, non ha nessun piano a breve termine per sistemare questo problema, che viene considerato più una debolezza che una vera e propria vulnerabilità.
Metula ammette questa classificazione, ma dice che i programmi per la sicurezza dei vari venditori dovrebbero essere aggiornati. Tra l'altro, .NET non è l'unico ambiente attaccabile; anche la Java Virtual Machine è soggetta agli stessi pericoli.
Il software si chiama .Net-Sploit 1.0, e consente di inserire codice malevolo in stile rootkit in punti dove ben pochi si sognerebbero di guardare, come asicura lo stesso Metula, software security engineer di 2BSecure. Egli ha mostrato una presentazione alla recente Black Hat conference di Amsterdam.
Il programma in questione permette di automatizzare alcuni dei compiti più difficili per compromettere l'ambiente .NET: per esempio, togliere una DLL di libreria e sostituirla con quella voluta. A questo punto, a un applicativo con un meccanismo di autenticazione possono essere agevolmente intercettate nome utente e password.
La presentazione sopracitata è già sufficiente per farsi un'idea di come agisce .Net-Sploit, ma si può consultare anche questo white paper, più dettagliato. Per chi volesse ulteriormente approfondire le conoscenze, questa pagina ha tutto quello che occorre, compreso il codice sorgente. Il metodo, in due parole, è il seguente: localizzare la DLL nel GAC, decompilarla, modificare il codice MSIL, ricompilare, forzare il framework a usare la nuova DLL.
Dopo aver compiuto la sua opera, l'attaccante può agire indisturbato per parecchio tempo; bisogna però avere il pieno controllo della macchina prima che il tool possa essere usato. Proprio a fronte di questa esigenza, il Microsoft Security Response Center, avvertito nel settembre 2008, non ha nessun piano a breve termine per sistemare questo problema, che viene considerato più una debolezza che una vera e propria vulnerabilità.
Metula ammette questa classificazione, ma dice che i programmi per la sicurezza dei vari venditori dovrebbero essere aggiornati. Tra l'altro, .NET non è l'unico ambiente attaccabile; anche la Java Virtual Machine è soggetta agli stessi pericoli.
Precedente: I nostri log su JMX
Successiva: Java, NetBeans e i database (1/2)
Intervento di Victor Von Doom a.k.a. vicvondoom del 22-04-2009 ore 12:47, Asti (AT)
Plebeo
(17 interventi)
Iscritto il 05-07-2007
Ma non capisco, invece di rilasciare semplicemente le patch per rendere sicuro il framework, perchè divulgare per filo e per segno come renderlo attaccabile?
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Intervento di Fabio Vianello a.k.a. fabiovianello del 22-04-2009 ore 14:24, Poiana maggiore (VI)
Barone
(234 interventi)
Iscritto il 30-05-2008
vicvondoom ha scritto:
Ma non capisco, invece di rilasciare semplicemente le patch per rendere sicuro il framework, perchè divulgare per filo e per segno come renderlo attaccabile?
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Semplicemente se conosci il pericolo lo puoi evitare.
Intervento di Victor Von Doom a.k.a. vicvondoom del 22-04-2009 ore 14:45, Asti (AT)
Plebeo
(17 interventi)
Iscritto il 05-07-2007
fabiovianello ha scritto:
vicvondoom ha scritto:
Ma non capisco, invece di rilasciare semplicemente le patch per rendere sicuro il framework, perchè divulgare per filo e per segno come renderlo attaccabile?
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Semplicemente se conosci il pericolo lo puoi evitare.
Tutto qui?
Quindi la tua idea è NON usare .NET?
Secondo me il problema di dare a qualcuno un coltello sono le intenzioni della persona, non so se son stato chiaro prima..
Certe 'notizie' non andrebbero divulgate, esattamente come quei siti che 'spiegano' come fare bombe in casa alla mcGyver..
Questo Metula fa addirittura una presentazione.. ma si può..
Intervento di Andrea Del Bene a.k.a. bitstorm del 22-04-2009 ore 15:51, Pesaro (PU)
Conte
(597 interventi)
Iscritto il 14-03-2006
vicvondoom ha scritto:
Tutto qui?
Quindi la tua idea è NON usare .NET?
Secondo me il problema di dare a qualcuno un coltello sono le intenzioni della persona, non so se son stato chiaro prima..
Certe 'notizie' non andrebbero divulgate, esattamente come quei siti che 'spiegano' come fare bombe in casa alla mcGyver..
Questo Metula fa addirittura una presentazione.. ma si può..
Quindi la tua idea è NON usare .NET?
Secondo me il problema di dare a qualcuno un coltello sono le intenzioni della persona, non so se son stato chiaro prima..
Certe 'notizie' non andrebbero divulgate, esattamente come quei siti che 'spiegano' come fare bombe in casa alla mcGyver..
Questo Metula fa addirittura una presentazione.. ma si può..
Non c'è molto da meravigliarsi, le aziende di sicurezza informatica fanno questo di mestiere...piuttosto è compito di chi produce software rimediare ad eventuali falle di sicurezza.
Per esigenze "forti" di sicurezza in Java puoi applicare una firma elettronica ai tuoi Jar, in modo che qualcuno non vada a sostituirteli con codice malevolo. Questo vanificherebbe simili attacchi. Per .NET penso ci sia qualcosa di simile.
Intervento di Andrea Del Bene a.k.a. bitstorm del 22-04-2009 ore 16:09, Pesaro (PU)
Conte
(597 interventi)
Iscritto il 14-03-2006
bitstorm ha scritto:
Non c'è molto da meravigliarsi, le aziende di sicurezza informatica fanno questo di mestiere...piuttosto è compito di chi produce software rimediare ad eventuali falle di sicurezza.
Per esigenze "forti" di sicurezza in Java puoi applicare una firma elettronica ai tuoi Jar, in modo che qualcuno non vada a sostituirteli con codice malevolo. Questo vanificherebbe simili attacchi. Per .NET penso ci sia qualcosa di simile.
Per esigenze "forti" di sicurezza in Java puoi applicare una firma elettronica ai tuoi Jar, in modo che qualcuno non vada a sostituirteli con codice malevolo. Questo vanificherebbe simili attacchi. Per .NET penso ci sia qualcosa di simile.
Chiedo scusa, non avevo letto che si tratta delle dll del framework stesso. Il problema comunque non è molto diverso perchè da che mondo e mondo una dll modificata (o un jar) con le stesse classi e gli stessi metodi di una orginale la possono fare tutti (a patto di averne il codice). Per essere sicuri che il framework non sia stato corrotto occorrerebbe comunque fare un confronto con un hash firmato.
Intervento di Victor Von Doom a.k.a. vicvondoom del 22-04-2009 ore 19:19, Asti (AT)
Plebeo
(17 interventi)
Iscritto il 05-07-2007
bitstorm ha scritto:
Non c'è molto da meravigliarsi, le aziende di sicurezza informatica fanno questo di mestiere...piuttosto è compito di chi produce software rimediare ad eventuali falle di sicurezza.
Per esigenze "forti" di sicurezza in Java puoi applicare una firma elettronica ai tuoi Jar, in modo che qualcuno non vada a sostituirteli con codice malevolo. Questo vanificherebbe simili attacchi. Per .NET penso ci sia qualcosa di simile.
Per esigenze "forti" di sicurezza in Java puoi applicare una firma elettronica ai tuoi Jar, in modo che qualcuno non vada a sostituirteli con codice malevolo. Questo vanificherebbe simili attacchi. Per .NET penso ci sia qualcosa di simile.
Si, in effetti..
Beh sarebbe buona norma applicarle sempre.
Intervento di Fabio Vianello a.k.a. fabiovianello del 23-04-2009 ore 08:56, Poiana maggiore (VI)
Barone
(234 interventi)
Iscritto il 30-05-2008
vicvondoom ha scritto:
fabiovianello ha scritto:
vicvondoom ha scritto:
Ma non capisco, invece di rilasciare semplicemente le patch per rendere sicuro il framework, perchè divulgare per filo e per segno come renderlo attaccabile?
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Così un qualunque malintenzionato se ne approfitta, come immancabilmente succede soprattutto nel mondo microso%%...
Come dire in giro che "Se volete entrare nell'appartamento del vicino che ha la tal tipo di serratura, prendete il bastoncino di ferro Y e limatelo come nella figura X.. ma non preoccupatevi, fra un pò i tecnici verranno ad aggiornarvi la porta!"
Pazzesco..
Semplicemente se conosci il pericolo lo puoi evitare.
Tutto qui?
Quindi la tua idea è NON usare .NET?
Secondo me il problema di dare a qualcuno un coltello sono le intenzioni della persona, non so se son stato chiaro prima..
Certe 'notizie' non andrebbero divulgate, esattamente come quei siti che 'spiegano' come fare bombe in casa alla mcGyver..
Questo Metula fa addirittura una presentazione.. ma si può..
No, la mia idea e diffondere le notize in modo che un potenziale problema possa essere risolto. Non nascondiamo la testa sotto la sabbia, please.
Per quanto riguarda le bombe, basta che uno studi un pò di chimica e impara lo stesso come farle.
Non è la conoscenza il problema ma l'uso che se ne fa.
Le notizie vanno sempre divulgate, se no torniamo al medioevo in cui la gente non sapeva leggere e non poteva emanciparsi.
Oppure succede come il psiconano, che dice che in Abruzzo hanno la possibilità di abbronzarsi e gli consigli a qualche
crema solare e non ve ne è traccia sulla stampa e TV nazionali.
W la libera informazione.
Copyright Programmazione.it™ 1999-2009. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002.
Pagina generata in 0.757 secondi. Sito ottimizzato per Mozilla Firefox. Powered by Kyron.