La vulnerabilità CVE-2017-11882 , presente da oltre 17 anni in tutte le versioni di Microsoft Office e scoperta solo una settimana fa dai ricercatori di Embedi, è già stata utilizzata all’interno di una campagna di malware .
Il componente di Office responsabile della vulnerabilità è il Microsoft Equation Editor , nello specifico il suo eseguibile EQNEDT32.EXE , risalente al 2000 e mantenuto all’interno del software per backward compatibility: ciononostante, non è stato mai messo in compliance con gli ultimi standard di sicurezza adottati da Redmond, e perciò consente ad utenti malevoli di eseguire codice remoto sulla macchina sfruttando un errore di buffer overflow.
Gli esperti di sicurezza di Reversing Labs hanno ravvisato la presenza di un exploit relativo a questa vulnerabilità all’interno di una delle campagne di malware portate avanti dal team di cyber-criminali russo Cobalt .
Il post di Reversing Labs contiene ulteriori informazioni: l’indirizzo IP del server da cui vengono scaricati i payload, gli indicatori di compromissione (una sessantina, divisi in due ondate distinte) e la regola per il tool YARA con cui sono riusciti a rilevare l’exploit.
Nel frattempo, la patch per questa vulnerabilità è stata resa disponibile con il patch Tuesday di Novembre: un’analisi tecnica condotta dal team 0Patch ha permesso di scoprire che l’eseguibile dell’Equation Editor non è stato ricompilato, ma patchato manualmente . Ciò si evince dal fatto che gli offset delle funzioni presenti all’interno delle due versioni dell’eseguibile – quella vulnerabile e quella patchata – coincidono perfettamente .
Le motivazioni dietro questa scelta di Microsoft sono probabilmente dovute al fatto che il codice dell’eseguibile sia andato perduto .
A quick analysis of Microsoft’s patch for Equation Editor (CVE-2017-11882 found by @_embedi_ )
– 0patch (@0patch) November 15, 2017
Il team 0Patch ha inoltre scoperto che Microsoft ha patchato anche altre funzioni , per un totale di cinque, oltre a quelle responsabili della vulnerabilità : probabilmente l’analisi effettuata ha permesso la scoperta di problematiche simili che sono state quindi risolte preventivamente.
Infine, Microsoft ha abilitato il bit ASLR ( Address Space Layout Randomization ), settando il flag IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE all’interno della struttura dati IMAGE_OPTIONAL_HEADER : così facendo ha abilitato un’ulteriore misura di sicurezza contro i rischi di corruzione di memoria: va tuttavia ricordato che, per le versioni di Windows pari o superiori alla 8, un bug di ASLR è in attesa di essere patchato da Redmond .
Elia Tufarolo
-
Bello!
Ma mi raccomando, continuiamo a fare siti che senza JS non funzionano, perché c'è bisogno degli effettini da bimbominkia, del 45 inserti pubblicitari in rotazione e dell'avvertimento a tutto schermo che se non disabiliti adblock non puoi vedere il nostro articolo di XXXXX.Re: Bello!
- Scritto da: ...> Ma mi raccomando, continuiamo a fare siti che> senza JS non funzionano, perché c'è bisogno degli> effettini da bimbominkia, del 45 inserti> pubblicitari in rotazione e dell'avvertimento a> tutto schermo che se non disabiliti adblock non> puoi vedere il nostro articolo di> XXXXX.Di che sito parli, scusa?Re: Bello!
Ma XXXXXXXXXX coi tuoi interventi di XXXXX, XXXXXXXXXXXXXXRe: Bello!
Anche youtube non funziona se disabiliti Javascript. Si parla di uno dei siti con più visite al mondo, che sicuramente usi sempre anche tu. Piantala di fare il saccente, testa di XXXXXXX.Re: Bello!
- Scritto da: ...> Ma mi raccomando, continuiamo a fare siti che> senza JS non funzionano, perché c'è bisogno degli> effettini da bimbominkia, del 45 inserti> pubblicitari in rotazione e dell'avvertimento a> tutto schermo che se non disabiliti adblock non> puoi vedere il nostro articolo di> XXXXX.Gli effettini da bimbominkia ormai si fanno in CSS.Mentre il JS viene usato per fare roba anche come questa:https://webtorrent.io/Mi aiuti a rifarlo in HTTP 1.0?perchè firefox su android ha la barra az
azzurra che spesso si blocca a metà? Ho ublock origin. La barra non va avanti, è forse colpa di certi script? su siti come tgcom ma non solo quello. Succede anche su Brave ? CHrome non lo voglio.Re: perchè firefox su android ha la barra az
- Scritto da: user_> azzurra che spesso si blocca a metà? Ho ublock> origin. La barra non va avanti, è forse colpa di> certi script? su siti come tgcom ma non solo> quello. Succede anche su Brave ? CHrome non lo> voglio.Di che siti parli?Re: perchè firefox su android ha la barra az
http://tgcom24.mediaset.it/ su certe pagine di tgcom, anche all'homepage e anche su altri siti.-----------------------------------------------------------Modificato dall' autore il 28 novembre 2017 18.59-----------------------------------------------------------Re: perchè firefox su android ha la barra az
- Scritto da: user_> http://tgcom24.mediaset.it/ > su certe pagine di tgcom, anche all'homepage e> anche su altri siti.Ma perché rispondi ad un cretino che non sa neanche usare un browser?Re: perchè firefox su android ha la barra az
- Scritto da: user_> azzurra che spesso si blocca a metà? Ho ublock> origin. La barra non va avanti, è forse colpa di> certi script? su siti come tgcom ma non solo> quello. Succede anche su Brave ? CHrome non lo> voglio. Purtroppo si, dipende dal tipo di azione fatta dal rimedio adottato e non dal browser; io con firefox ed estensione NoScript spesso devo dare consenso manuale e digerirmi la XXXXXXX (pubblicitaria normalmente), tanto che su alcun siti che frequento, valutando il disagio da patire, ho escluso l'azione NoScript.Re: perchè firefox su android ha la barra az
non ho noscript, ho solo ublock origin, ma questo succede in android. Mentre in win 7 con firefox+ ublok origin non succede. In windows i siti come tgcom si caricano tutti e subito.-----------------------------------------------------------Modificato dall' autore il 29 novembre 2017 12.56----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 29 novembre 2017 12.57-----------------------------------------------------------abuso del javascript.
esitare abuso del javascript.ormai quasi sito web usa ormai come minimo AngularJS Backbone.js Chaplin.js Closure Dojo Toolkit Ember.js Ext JS jQuery Knockout Meteor MooTools Prototype Rico script.aXXXX.us Sencha Touch SproutCore Wakanda YUIRe: abuso del javascript.
Eh sì... una vera XXXXXRe: abuso del javascript.
Purtroppo anche fare siti web è diventato per gran parte legato a decisioni di markettari per cui - tutto si muove e sparaflasha manco fossimo alle giostre = ottimo- compatibilità e accessibilità? Che roba è? E soprattutto chissenefotte?- se disabilitano JS rischiano di non vedersi i banner rotanti? E allora facciamo tutti in JS così che se disabilitano non si vede un XXXXX!- usiamo tanti framework che al giorno d'oggi fanno tanto figoServer linux infettati
La tanto decantata sicurezza di Linux con questa news se ne va a fare benedire, visto che sono riusciti a infettare server Linux a go-goRe: Server linux infettati
Tu hai il cervello riprogrammato in modo da ripetere sempre la stessa frase. Vedi Linux dappertutto; te lo sogni pure di notte e ti svegli tutto sudato ...Re: Server linux infettati
- Scritto da: Pussiano> La tanto decantata sicurezza di Linux con questa> news se ne va a fare benedire, visto che sono> riusciti a infettare server Linux a> go-goNo ma che dici ? Linux è l'OS più utilizzato nel mondo server ma NON quando c'è da prendere malware, ma scherziamo ? Solo i server windows vengono compromessi col malware. Non stiamo neanche a parlare di questa cosa. Hai visto qualcuno che ne ha parlato ? Ecco. Punto.Re: Server linux infettati
Queste XXXXXXX le pensate solo voi; non esistono sistemi operativi sicuri al 100%.I javascript non servono
ad una beata XXXXXXX, invece i XXXXXXXX continuano ad uitilizzarli. Chi usa i javascript è colluso con i cyber-criminali. Siti con i javascript devono essere oscurati dai provider.Re: I javascript non servono
Il javascript può servire per qualcosa ma i siti (a parte casi rari) devono essere utilizzabili e funzionanti anche senza JS. Punto. Se un sito senza JS non funziona o funziona solo in parte, è fatto alla XXXXX di cane.Re: I javascript non servono
E certo, torniamo alle caverne allora.Vi vorrei ricordare che parecchio tempo fa erano riusciti ad inserire malware persino nelle GIF animate; dobbiamo eliminare pure quelle?Torniamo al codice HTML 1.0 puro; solo testo senza neppure un'immagine.All'università mi ero imbattuto in una situazione del genere, grazie ad un vecchissimo computer Sperry Univac, con UNIX System V come sistema operativo e Lynx come browser testuale.Il problema è che riuscirebbero ad inserire il malware anche in quel caso.Re: I javascript non servono
- Scritto da: Alvaro Vitali> E certo, torniamo alle caverne allora.> > Vi vorrei ricordare che parecchio tempo fa erano> riusciti ad inserire malware persino nelle GIF> animate; dobbiamo eliminare pure> quelle?Non è possibile inserire malware nelle gif animate, visto che nulla viene eseguito e non contengono codice. Al limite puoi creare delle immagini malformate che contengono un exploit che sfrutta una particolare falla di un particolare software che apre le gif animate per fargli eseguire del codice. Di certo non funzionerà universalmente.> > Torniamo al codice HTML 1.0 puro; solo testo> senza neppure> un'immagine.> All'università mi ero imbattuto in una situazione> del genere, grazie ad un vecchissimo computer> Sperry Univac, con UNIX System V come sistema> operativo e Lynx come browser> testuale.> > Il problema è che riuscirebbero ad inserire il> malware anche in quel> casoIl tuo discorso è demenziale. Stai dicendo che siccome teoricamente è possibile sfruttare delle falle in qualsiasi software allora tanto vale lasciare eseguire tutto. Ma che discorso di XXXXX è?Re: I javascript non servono
- Scritto da: Alvaro Vitali> E certo, torniamo alle caverne allora.> > Vi vorrei ricordare che parecchio tempo fa erano> riusciti ad inserire malware persino nelle GIF> animate; dobbiamo eliminare pure> quelle?> > Torniamo al codice HTML 1.0 puro; solo testo> senza neppure> un'immagine.> All'università mi ero imbattuto in una situazione> del genere, grazie ad un vecchissimo computer> Sperry Univac, con UNIX System V come sistema> operativo e Lynx come browser> testuale.> > Il problema è che riuscirebbero ad inserire il> malware anche in quel> caso.Qualcosa attivato silentemente da siti più o meno compromessi tipo esecuzioni JS dovrebbe essere consultabile e di domino pubblico, di modo che la comunità possa intervenire a garanzia del corretto operato; l'alternativa è rinunciare alla festure (per te ritornare addirittura all'età della pietra?).Quanto alle gif animate, sono l'unico che propro non ne sente il bisogno?Re: I javascript non servono
- Scritto da: ...> Il javascript può servire per qualcosa ma i siti> (a parte casi rari) devono essere utilizzabili e> funzionanti anche senza JS. Punto. Se un sito> senza JS non funziona o funziona solo in parte, è> fatto alla XXXXX di> cane.In poche parole stai consigliando di abbandonare tutte le possibilità di servizi web asincroni basati su browser.Parlami dei costi di sviluppo per offrire un client nativo per ogni piattaforma.7K caratteri, vai [cit]Re: I javascript non servono
- Scritto da: Albedo non loggato> - Scritto da: ...> > Il javascript può servire per qualcosa ma i> siti> > (a parte casi rari) devono essere> utilizzabili> e> > funzionanti anche senza JS. Punto. Se un sito> > senza JS non funziona o funziona solo in> parte,> è> > fatto alla XXXXX di> > cane.> > In poche parole stai consigliando di abbandonare> tutte le possibilità di servizi web asincroni> basati su> browser> > Parlami dei costi di sviluppo per offrire un> client nativo per ogni> piattaforma.> 7K caratteri, vai [cit]"Client nativo per ogni piattaforma" perché disabiliti JS?Ma XXXXXXXXXX analfabeta.Ma siamo sicuri...
...che siano infetti a "loro insaputa" e non monatti ipocriti e senzienti?Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 28 nov 2017Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 28 nov 2017Link copiato negli appunti
