[NEWS] Windows 7 Beta: Seconda Falla in UAC

[c.m.g]

4 febbraio 2009 alle 14.58 di netquik



Secondo quanto segnalato da Long Zheng e Rafael Rivera, una seconda falla di sicurezza nella configurazione predefinita della funzionalità UAC di Windows 7 Beta permetterebbe ad una applicazione maliziosa di elevarsi autonomamente con pieni privilegi amministrativi di sistema senza generare avvisi UAC, o disattivare la funzione di sicurezza.

La nuova segnalazione segue quella pubblicata giorni fa e relativa ad una debolezza predefinita che permetterebbe di bypassare facilmente, e quasi banalmente, la funzionalità di sicurezza di sistema. Se quella prima debolezza è stata definita da Microsoft stessa come un caratteristica "by design" dell'implementazione di UAC in Windows 7, la nuova falla, secondo Zheng, non può essere classificata in questo modo, ma piuttosto come una vero e proprio buco di sicurezza.

Long Zheng scrive: "Questa disclosure pubblica arriva dopo una segnalazione privata a Microsoft ed ai beta tester di Windows 7 ad inizio settimana. Sebbene Microsoft non abbia ancora risposto ufficialmente, ho sentito che potrebbe essere già stata corretta nelle attuali build interne del sistema. Fintanto che una patch non sarà disponibile, mi sento obbligato ad evidenziare l'alto rischio ai milioni di utenti che eseguono Windows 7 Beta nella sua policy UAC predefinita di 'notify me of changes by program, not of Windows changes' che non fa rispettare adeguatamente il sistema dei privilegi, probabilmente un fattore essenziale per un sistema operativo sicuro … Windows 7 ha la capacità di elevare automaticamente le applicazioni ed il codice firmati da Microsoft che specificano l'auto-elevazione per ridurre il numero di avvisi UAC. Rafael Rivera ha pubblicato maggiori dettagli riguardo a questo funzionamento. Il rischio fondamentale del comportamento in questione sta nel fatto che Windows è una piattaforma che accoglie a braccia aperte codice third-party. Un gruppo di queste applicazioni firmate da Microsoft può anche eseguire codice third-party per vari scopi legittimi. Dato che esiste un fiducia intrinseca su tutto ciò che è firmato da Microsoft, by design, il cerchio della fiducia si rompe inavvertitamente sull'altro codice third-party. Un fenomeno che ho iniziato a chiamare 'piggybacking'.

Per dimostrazione, una delle tante applicazioni firmate Microsoft che può avvantaggiarsi di questo è 'RUNDLL32.exe'. Con un semplice eseguibile 'proxy' che non fa altro che lanciare un istanza elevate di 'RUNDLL32' che punta ad una DLL con payload nocivo, il codice contenuto in questa DLL eredita i privilegi amministrativi del suo processo genitore 'RUNDLL32' senza generate avvisi UAC o disattivarlo".

Dettagli tecnici su questa metodologia di exploit e un codice proof of concept sono stati pubblicati dal Rafael Rivera che commenta: "Come proof of concept ho creato due programmi. L'applicazione proxy, Catapult.exe, è una applicazione a singola riga di codice in C# che utilizzare il metodo Process.Start per lanciare un istanza di rundll32.exe, richiedendo l'elevazione con il semplice e popolare attributo "runas". Cake.dll è una libreria multi-riga in C++ e il nostro payload con una singola funzione WhereAmI esportata. Questa funzione legge semplicemente il token del processo corrente, richiede informazioni Mandatory Level e mostra un message-box sullo schermo. Nel mondo reale questo potrebbe essere una porta di ingrasso per il nostro malware".

Long Zheng aggiunge: "Sfortunatamente questa falla non rappresenta un singolo punto di debolezza. La vastità degli eseguibili Windows è troppo grande e troppo diversificata, e molti sono sfruttabili. La sola soluzione che posso pensare è anche una che non credo Microsoft possa prendere in considerazione, cioè ripristinare una singola policy UAC e generare avvisi per tutte le elevazioni incluse quelle delle applicazioni di Windows stesso. Sono curioso di vedere come sarà risolta". Rivera ha informato che pubblicherà a breve una lista di applicazione "auto-elevate-flagged" che possono essere sfruttate. Zheng raccomanda a tutti gli utenti che stanno testando Windows 7 Beta di impostare UAC a livello "alto" di protezione in modo da assicurarsi che vengano garantiti privilegi solo sotto il proprio controllo ed impedire a applicazioni nocive di sfruttare questa e la precedente falla di sicurezza.


Link per approfomdimenti:
Report di Long Zheng
Report di Rafael Rivera





Fonti: Varie via Tweakness