PROPagate, code injection contro la GUI di Windows

Una nuova tecnica permette di abusare delle API di Windows per "iniettare" codice potenzialmente malevolo in software altrimenti legittimo. I rischi? Ininfluenti, visto che occorre prima compromettere la macchina bersaglio

Roma – I ricercatori di Hexacorn hanno descritto una nuova tecnica per il “code injection” ai danni delle API legittime di Windows, un “trucco” chiamato PROPagate in grado di abusare delle proprietà generiche delle API e delle funzionalità dell’interfaccia grafica (GUI) del sistema operativo di Microsoft.


PROPagate funziona sia su Windows XP che su Windows 10 , ed è in grado di compromettere sia i processi a 32-bit che quelli a 64-bit . Nel caso descritto dai ricercatori, la tecnica è stata utilizzata per prendere di mira la API SetWindowSubclass – una funzionalità di Windows che gestisce le finestre delle applicazioni GUI all’interno del loro processo di origine.

I ricercatori hanno quindi trovato il modo di servirsi di due proprietà delle suddette finestre ( UxSubclassInfo e CC32SubclassInfo ) per caricare codice arbitrario, una procedura potenzialmente sfruttabile per eseguire codice malevolo all’interno di un processo altrimenti legittimo .

Il code injection di PROPagate funziona solo con i processi che usano le API per la GUI di Windows , dicono da Hexacorn, ed è altamente probabile che molte altre interfacce dell’ecosistema Microsoft risultino vulnerabili a questo genere di attacchi.

In merito al rischio per gli utenti finali, però, i ricercatori gettano acqua sul fuoco : una soluzione come PROPagate serve solo come tecnica evasiva su un sistema in cui è già attivo del codice malevolo , e non è un caso che il bug non sia stato nemmeno riportato a Microsoft.

A Redmond, sempre sul fronte della sicurezza, in questi giorni hanno compilato una serie di requisiti da rispettare per i produttori interessati a guadagnarsi il bollino di “dispositivo sicuro” per Windows 10: i requisiti includono l’impiego di processori almeno di settima generazione (Intel o AMD), il supporto (pleonastico visto il requisito numero uno) per il set di istruzioni a 64-bit (x86-64), le tecnologie di virtualizzazione, l’uso di un modulo TPM, la verifica crittografica dell’OS al momento dell’avvio, almeno 8 Gigabyte di RAM e gli ultimi standard di firmware UEFI.

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ... scrive:
    hash inutile
    Ma zuccaberg non lo sa che basta cambiare anche 1 solo pixel per avere un hash completamente differente?
    • panda rossa scrive:
      Re: hash inutile
      - Scritto da: ...
      Ma zuccaberg non lo sa che basta cambiare anche 1
      solo pixel per avere un hash completamente
      differente?Certo che lo sa, lui.Non lo sanno quelle che gli mandano le foto nude. Ed e' questo cio' che conta.
    • Izio01 scrive:
      Re: hash inutile
      - Scritto da: ...
      Ma zuccaberg non lo sa che basta cambiare anche 1
      solo pixel per avere un hash completamente
      differente?Eppure ci sono dei watermark nascosti che persistono anche in caso di cambiamenti all'immagine, ritaglio, cambio del contrasto e dei colori, eccetera.Scoperto tentando di stampare delle banconote per uno spettacolo teatrale. Scalate, appiccicata sopra una bella scritta FACSIMILE, ma quando le ho mandate in stampa, la stampante mi ha invece stampato il link a un sito europeo anti criminalità. Ci sono rimasto, come si suol dire, di palta.
      • Wallestain scrive:
        Re: hash inutile
        - Scritto da: Izio01
        - Scritto da: ...

        Ma zuccaberg non lo sa che basta cambiare
        anche
        1

        solo pixel per avere un hash completamente

        differente?

        Eppure ci sono dei watermark nascosti che
        persistono anche in caso di cambiamenti
        all'immagine, ritaglio, cambio del contrasto e
        dei colori,
        eccetera.
        Scoperto tentando di stampare delle banconote per
        uno spettacolo teatrale. Scalate, appiccicata
        sopra una bella scritta FACSIMILE, ma quando le
        ho mandate in stampa, la stampante mi ha invece
        stampato il link a un sito europeo anti
        criminalità. Ci sono rimasto, come si suol dire,
        di
        palta.Se cercavi in rete, ti saresti risparmato la 'sorpresa', quella delle banconote e nota da tempo.
      • ... scrive:
        Re: hash inutile
        Eh certo, mettiamo anche che ri riesca a creare un algoritmo che funzioni... poi la metti in un archivio zip con password e riesci a mandarla a tutto il mondo senza che facebook si accorga di nulla.È un'idea di XXXXX a prescindere.
        • Izio01 scrive:
          Re: hash inutile
          - Scritto da: ...
          Eh certo, mettiamo anche che ri riesca a creare
          un algoritmo che funzioni... poi la metti in un
          archivio zip con password e riesci a mandarla a
          tutto il mondo senza che facebook si accorga di
          nulla.

          È un'idea di XXXXX a prescindere.Se ne può discutere, ma il mio discorso era prettamente tecnico. Un algoritmo di hashing utilizzato per le firme elettroniche, ad esempio, sicuramente fornirà un numero completamente diverso a fronte del cambio anche di un solo bit, è lì apposta!Al contrario, i watermark e i rispettivi algoritmi possono essere molto più "furbi" e flessibili, e di conseguenza cambiando un pixel non li inganni affatto.
          • ... scrive:
            Re: hash inutile
            - Scritto da: Izio01
            Al contrario, i watermark e i rispettivi
            algoritmi possono essere molto più "furbi" e
            flessibili, e di conseguenza cambiando un pixel
            non li inganni affatto.Cambiando un solo pixel, no di certo. Ma cambiandone la quasi totalità, lasciando tutto sommato inalterata la percezione del contenuto apparente, li inganni fidati.
      • panda rossa scrive:
        Re: hash inutile
        - Scritto da: Izio01
        - Scritto da: ...

        Ma zuccaberg non lo sa che basta cambiare
        anche
        1

        solo pixel per avere un hash completamente

        differente?

        Eppure ci sono dei watermark nascosti che
        persistono anche in caso di cambiamenti
        all'immagine, ritaglio, cambio del contrasto e
        dei colori,
        eccetera.
        Scoperto tentando di stampare delle banconote per
        uno spettacolo teatrale. Scalate, appiccicata
        sopra una bella scritta FACSIMILE, ma quando le
        ho mandate in stampa, la stampante mi ha invece
        stampato il link a un sito europeo anti
        criminalità. Ci sono rimasto, come si suol dire,
        di
        palta.E ti sei fatto qualche domanda?Per esempio ti sei chiesto chi e' il padrone della stampante che tu hai pagato?
  • ghe pensi mi scrive:
    manda il tuo qlo a FB
    "Le immagini non verranno archiviate". Infatti verranno vendute alla China Porn Enterprise che le metterà online dietro il grande firewall (anonimo)."ma serviranno solo per il calcolo degli hash di cui sopra, rassicura Facebook."Caro il mio Mark Succhiaberg... l' hash non ti bastava?
    • panda rossa scrive:
      Re: manda il tuo qlo a FB
      - Scritto da: ghe pensi mi
      "Le immagini non verranno archiviate". Infatti
      verranno vendute alla China Porn Enterprise che
      le metterà online dietro il grande firewall
      (anonimo).

      "ma serviranno solo per il calcolo degli hash di
      cui sopra, rassicura
      Facebook."

      Caro il mio Mark Succhiaberg... l' hash non ti
      bastava?Come gia' detto in precedenza, le pippe non vengono bene guardando un tabulato di hash.
  • panda rossa scrive:
    Per non pubblicare manda sul cloud
    Bella questa soluzione che prospettano: mandaci le tue foto nude, cosi' possiamo calcolare l'hash e cerchiamo in giro se c'e'.E intanto le foto nude stanno su un cloud (che ricordiamo e' il computer di qualcun altro).La soluzione di dare gli strumenti di calcolo dell'hash alla persona che cosi' comunica solo l'hash senza divulgare la foto, evidentemente e' troppo difficile, oppure, piu' verosimilmente, davanti ad un elenco di hash non vengono bene le pippe.
    • panda di Italia 90 scrive:
      Re: Per non pubblicare manda sul cloud
      Dici spesso XXXXXXX, ma qui impossibile darti torto: ma questi VERAMENTE stanno chiedendo agli utenti di mandare le foto "che intendono proteggere dalla condivisione"? Ma cos'è, una barzelletta?
      • panda rossa scrive:
        Re: Per non pubblicare manda sul cloud
        - Scritto da: panda di Italia 90
        Dici spesso XXXXXXX, ma qui impossibile darti
        torto: ma questi VERAMENTE stanno chiedendo agli
        utenti di mandare le foto "che intendono
        proteggere dalla condivisione"? Ma cos'è, una
        barzelletta?No. E' tutto vero."Mandateci le vostre foto nude, cosi' noi calcoliamo l'hash e se qualcuno le posta, le individuiamo facilmente sostituendole con foto di gattini".Lo ha scritto Zuk a beneficio degli ovini che pascolano nel suo sito.
      • Wallestain scrive:
        Re: Per non pubblicare manda sul cloud
        - Scritto da: panda di Italia 90
        Dici spesso XXXXXXX, ma qui impossibile darti
        torto: ma questi VERAMENTE stanno chiedendo agli
        utenti di mandare le foto "che intendono
        proteggere dalla condivisione"? Ma cos'è, una
        barzelletta?io credo di no! Scommettiamo che c'è un bel mazzo di cretini e cretine ben disposte a farlo?
        • panda rossa scrive:
          Re: Per non pubblicare manda sul cloud
          - Scritto da: Wallestain
          - Scritto da: panda di Italia 90

          Dici spesso XXXXXXX, ma qui impossibile darti

          torto: ma questi VERAMENTE stanno chiedendo agli

          utenti di mandare le foto "che intendono

          proteggere dalla condivisione"? Ma cos'è, una

          barzelletta?

          io credo di no! Scommettiamo che c'è un bel mazzo
          di cretini e cretine ben disposte a
          farlo?Ti piace vincere facile?http://bologna.repubblica.it/cronaca/2017/11/08/news/chat_whatsapp-180555357/
          • Wallestain scrive:
            Re: Per non pubblicare manda sul cloud
            - Scritto da: panda rossa
            - Scritto da: Wallestain

            - Scritto da: panda di Italia 90


            Dici spesso XXXXXXX, ma qui impossibile
            darti


            torto: ma questi VERAMENTE stanno
            chiedendo
            agli


            utenti di mandare le foto "che intendono


            proteggere dalla condivisione"? Ma
            cos'è,
            una


            barzelletta?



            io credo di no! Scommettiamo che c'è un bel
            mazzo

            di cretini e cretine ben disposte a

            farlo?

            Ti piace vincere facile?

            http://bologna.repubblica.it/cronaca/2017/11/08/neNo panda, non è che mi piace vincere facile. E che conosco troppo bene l'animale umano, al contrario di quanti possano pensare il contrario qui.
          • ... scrive:
            Re: Per non pubblicare manda sul cloud
            - Scritto da: Wallestain
            No panda, non è che mi piace vincere facile. E
            che conosco troppo bene l'animale umanoPerché tu invece conosca l'ortografia dobbiamo aspettare ancora. Prenditela comoda, mi raccomando.
          • Wallestain scrive:
            Re: Per non pubblicare manda sul cloud
            - Scritto da: ...
            - Scritto da: Wallestain


            No panda, non è che mi piace vincere facile.
            E

            che conosco troppo bene l'animale umano

            Perché tu invece conosca l'ortografia dobbiamo
            aspettare ancora. Prenditela comoda, mi
            raccomando.Quarda se tu ominide grammaticato, sano di mente, acculturato, e niente di meno che geniale sei disposto(io lo sarei , così almeno dopo mi levo dalle palle)a dare il consenso a PI, nel rendere pubblici chi e quale genio sei, allora ti darei il pulizer della scrittura e la finiremmo.Ma si c'è un ma. Tu e molti altri paladini del io non ho nulla da nascondere e intanto mi 'identifico' come ... tanto e bello avere la coperta 'calda' del dire sono io quando ritengo di...., e non sono io quando ti si riconoscono figure di palta.(che temete più del diavolo a quanto pare) e già.Mi faresti pure un piacere, perché una volta finito il ''gioco'', mi toglierei da sto sito di rinXXXXXXXXti che credete di essere DIO.Si un esempio per tutti. Il mio cosino e molto meglio del tuo(macachi), e gli abitanti della Luna,(gli androidiani), che credono che stanno messi meglio degli altri(beh, non ci vuole poi tanto ad stare messo meglio di un apple fan, mi basta guardare te.). Mentre avete, e idolatrate entrambi lo stesso device che vi sXXXXXXX allo stesso modo, tutti voi e tutti i santi giorni.Così poi vediamo quando vi schiaffeggerete da soli, nel vedere che pensate di conoscere chi avete dall'altra parte del monitor e invece non ci azzeccate un bel XXXXX di nulla.Visto che pensi di essere un sapientone, fatti una ricerca sul quando è comparso il fuddaro, e tu sai invece che i tuoi ... puntini ci 'girano' su PI da DECENNI come minimo oramai, uominicchio impotente di mezza età. Trovati un hobby più costruttivo invece di passare gli anni su PI.ps. non mi va di scrivere un altro post per il macaco in carrozza. che non sa nemmeno i detti, non è chi e vecchio che non lo dice mai, ma il pazzo che nella sua psicosi non potrà mai dirlo di se stesso, sei XXXXXXXXtto pure tu bertuccia. Uomo con tanti peli sul petto, abbi le palle di dare il permesso a PI di rendere pubblici le 'nostre' maschere, non credo che tu ai le palle per farlo, ti piace nasconderti facile. BAU BAU, continua ad abbaiare altrimenti.
      • Mao scrive:
        Re: Per non pubblicare manda sul cloud
        n realtà, nota Sean Sullivan di F-Secure e scrive la ABC australiana il 2/11, cè una collaborazione fra Facebook e una piccola agenzia governativa australiana per la sicurezza online, lufficio delle-Safety Commissioner. In Australia, una persona che è vittima di abuso delle proprie immagini può contattare questo ufficio e segnalare il problema; lufficio può sì invitare la vittima a inviare le immagini via Facebook Messenger, ma a se stessa, e poi etichettare queste foto come immagini intime non consensuali, secondo Motherboard. (dal sito di Attivissimo)
        • panda rossa scrive:
          Re: Per non pubblicare manda sul cloud
          - Scritto da: Mao
          n realtà, nota Sean Sullivan di F-Secure e scrive
          la ABC australiana il 2/11, cè una
          collaborazione fra Facebook e una piccola agenzia
          governativa australiana per la sicurezza online,
          lufficio delle-Safety Commissioner. In
          Australia, una persona che è vittima di abuso
          delle proprie immagini può contattare questo
          ufficio e segnalare il problema; lufficio può sì
          invitare la vittima a inviare le immagini via
          Facebook Messenger, ma a se stessa, e poi
          etichettare queste foto come immagini intime non
          consensuali, secondo Motherboard. (dal sito di
          Attivissimo)Peccato pero' che l'eula di fessbuk sia chiarissima sotto questo aspetto:"Ogni contenuto che l'utente posta su fessbuk, anche inviandolo a se stesso, diventa proprieta' intellettuale di fessbuk e l'utente perde ogni diritto sull'immagine."
          • Wallestain scrive:
            Re: Per non pubblicare manda sul cloud
            - Scritto da: panda rossa
            - Scritto da: Mao

            n realtà, nota Sean Sullivan di F-Secure e
            scrive

            la ABC australiana il 2/11, cè una

            collaborazione fra Facebook e una piccola
            agenzia

            governativa australiana per la sicurezza
            online,

            lufficio delle-Safety Commissioner. In

            Australia, una persona che è vittima di abuso

            delle proprie immagini può contattare questo

            ufficio e segnalare il problema; lufficio
            può


            invitare la vittima a inviare le immagini via

            Facebook Messenger, ma a se stessa, e poi

            etichettare queste foto come immagini
            intime
            non

            consensuali, secondo Motherboard. (dal sito
            di

            Attivissimo)

            Peccato pero' che l'eula di fessbuk sia
            chiarissima sotto questo
            aspetto:
            "Ogni contenuto che l'utente posta su fessbuk,
            anche inviandolo a se stesso, diventa proprieta'
            intellettuale di fessbuk e l'utente perde ogni
            diritto
            sull'immagine." E per SEMPRE! Va sottolineato!
        • ... scrive:
          Re: Per non pubblicare manda sul cloud
          Se invii le immagini non le "invii a te stesso", le <b
          mandi in transito sul loro server </b
          pertanto non sono più private ma a quel punto hai la CERTEZZA che non lo siano più. Ma davvero siamo ancora qui a discutere questi concetti di base?
    • bradipao scrive:
      Re: Per non pubblicare manda sul cloud
      - Scritto da: panda rossa
      Bella questa soluzione che prospettano: mandaci
      le tue foto nude, cosi' possiamo calcolare l'hash
      e cerchiamo in giro se c'e'.Senza contare che (apparentemente) puoi usare lo strumento per far bannare da tutto facebook qualsiasi foto tu voglia.
      • ... scrive:
        Re: Per non pubblicare manda sul cloud
        Pazzesco. Siamo veramente al delirio, la soluzione è molto peggiore del problema...
        • panda rossa scrive:
          Re: Per non pubblicare manda sul cloud
          - Scritto da: ...
          Pazzesco. Siamo veramente al delirio, la
          soluzione è molto peggiore del
          problema...Ma no, e' la solita replica di un vecchio film gia' visto.Con la scusa del pedoterrosatanismo vogliono far passare uno strumento di censura preventiva senza contraddittorio per qualcosa a beneficio degli utenti, e intanto oltre a tutti i dati che gia' profilano, ottengono pure le foto nude degli utenti.
      • ... scrive:
        Re: Per non pubblicare manda sul cloud
        - Scritto da: bradipao
        - Scritto da: panda rossa

        Bella questa soluzione che prospettano: mandaci

        le tue foto nude, cosi' possiamo calcolare
        l'hash

        e cerchiamo in giro se c'e'.

        Senza contare che (apparentemente) puoi usare lo
        strumento per far bannare da tutto facebook
        qualsiasi foto tu
        voglia.Non hai capito un XXXXX eh?!? Pensaci meglio.
    • Wallestain scrive:
      Re: Per non pubblicare manda sul cloud
      - Scritto da: panda rossa
      Bella questa soluzione che prospettano: mandaci
      le tue foto nude, cosi' possiamo calcolare l'hash
      e cerchiamo in giro se
      c'e'.

      E intanto le foto nude stanno su un cloud (che
      ricordiamo e' il computer di qualcun
      altro).


      La soluzione di dare gli strumenti di calcolo
      dell'hash alla persona che cosi' comunica solo
      l'hash senza divulgare la foto, evidentemente e'
      troppo difficile, oppure, piu' verosimilmente,
      davanti ad un elenco di hash non vengono bene le
      pippe.Si ma, la pecora e pecora e come tale va macellata.Mi spiego meglio, prendiamo la sorella di ... tre puntini(il più XXXXXXXX intendo)che gli piace farsi riprendere o fotografarsi con i cetrioli nella patata, comunque deve farlo, in quanto pecora femminile, che cerca il montone on-line.Bene, quale XXXXX di differenza fà se le .jpg e .avi, le manda al depravato amico di suo fratello, oppure a facebbok?Per lei non cambia nulla, a lei importa solo mostrasi come la XXXXX che è, quindi ben venga che qualcuno se le 'cucina' mentre decidono a quale macello affidarsi. O sbaglio? :) :$
  • dating online scrive:
    i rischi della XXXXXXXzione precoce
    Lei potrebbe rimanere incinta senza che tu la tocchi e dopo due anni la rivedi suonarti il campanello con in braccio tuo figlio....Meditate gente, meditate....
    • Wallestain scrive:
      Re: i rischi della XXXXXXXzione precoce
      - Scritto da: dating online
      Lei potrebbe rimanere incinta senza che tu la
      tocchi e dopo due anni la rivedi suonarti il
      campanello con in braccio tuo
      figlio....
      Meditate gente, meditate....Questa la berrebe solo un utente di PI indovinate quale? ... O_O
    • bubba scrive:
      Re: i rischi della XXXXXXXzione precoce
      - Scritto da: dating online
      Lei potrebbe rimanere incinta senza che tu la
      tocchi e dopo due anni la rivedi suonarti il
      campanello con in braccio tuo
      figlio....
      Meditate gente, meditate....se hai dato robba a una banca del seme, puo' essere :)
Chiudi i commenti