Non si ferma la febbrile attività di Tavis Ormandy, “bug hunter” del Project Zero di Google. Il lavoro del cacciatore di vulnerabilità ha portato alla scoperta di tre nuove falle in altrettanti prodotti software di vari vendor, dopo aver fatto notizia a metà gennaio con un bug presente nell’antivirus di Trend Micro. Le aziende coinvolte sono sempre impegnate nello sviluppo di soluzioni di sicurezza: Avast, Comodo e Malwarebytes. Va detto subito che delle tre vulnerabilità scoperte, le prime due sono state già risolte tramite patch. Al momento rimane ancora scoperta quella del prodotto anti-malware di Malwarebytes. Purtroppo, la società ha comunicato che la chiusura della falla potrebbe richiedere anche quattro settimane di lavori. Un tempo decisamente lunghissimo, contando che Ormandy ha comunicato al vendor il bug già a novembre 2015. Procediamo però con ordine.
La vulnerabilità di Avast, risolta il 3 febbraio ma scoperta lo scorso dicembre, in sintesi consente a un cybercriminale di leggere tutti i file presenti nel filesystem semplicemente cliccando un link. Tramite il browser Avastium, una costola del progetto Chromium di Google da cui il vendor ha sviluppato poi il programma per navigare Safezone, gli hacker possono iniettare nel sistema da colpire una pagina Web creata ad hoc con Javascript, in grado di evitare i controlli e di leggere anche cookie ed email.
Project Zero ha pubblicato un proof-of-concept per dimostrare come un eventuale attaccante possa dirottare il browser utilizzato dall’utente anche quando il programma di Avast risulti disattivato. “Non è nemmeno necessario conoscere il nome o l’indirizzo del file, perché è sempre possibile recuperare la lista delle directory tramite questo attacco”, ha scritto a dicembre Ormandy in un post nell’archivio di Project Zero dedicato alle discussioni sulle nuove vulnerabilità scoperte.
Fonte: Comodo
Discorso analogo per la soluzione Internet Security di Comodo. Una volta installato, questo pacchetto imposta come predefinito il browser Chromodo, anch’esso derivato dal progetto Chromium di Big G, modificando tutte le scorciatoie, le impostazioni, i cookie e così via importandoli direttamente da Chrome. Tra gli altri cambiamenti, da Ormandy definiti senza mezzi termini “loschi”, si trova anche l’intervento sulle impostazioni Dns. “Chromodo è descritto come (una soluzione che garantisce, ndr) ‘i più alti livelli di velocità, sicurezza e privacy’, ma in realtà disattiva tutta la sicurezza Web”, ha sottolineato Ormandy in un secondo intervento pubblicato online.
E non solo. Chromodo disabilita di default anche le “same origin policy”, previste in tutti i principali browser da anni, che consentono soltanto ai diversi script presenti nella stessa pagina di comunicare e di accedere l’un l’altro. Di conseguenza, con questo livello di protezione evaporato, è possibile che alcuni dati privati degli utenti vengano intercettati da pagine Web corrotte. Secondo Charles Zinkowski, direttore di Comodo, il bug non è presente però nel browser in sé, ma in un add-on, la cui debolezza è stata risolta con la patch rilasciata il 3 febbraio.
Infine la tegola attualmente più pesante, in quanto come detto non si è ancora trovata una soluzione. Secondo Ormandy, gli aggiornamenti distribuiti da Malwarebytes per i propri prodotti non verrebbero “consegnati” su canali sicuri. La vulnerabilità lato server dell’azienda consentirebbe a un hacker di effettuare un attacco di tipo man in the middle, interponendosi quindi tra il computer della vittima e i server di Malwarebytes per intercettare dati sensibili. “Il protocollo (di aggiornamento, ndr) include il download di file Yaml via http. Sebbene i file Yaml includano un checksum Md5, un attaccante potrebbe semplicemente rimpiazzarlo sfruttando la connessione non protetta”, ha spiegato Ormandy.
Fonte: Malwarebytes
“La ricerca indica che un hacker potrebbe inserire del proprio codice in una macchina target”, ha scritto Marcin Kleczynski, Ceo di Malwarebytes. “Secondo quanto scoperto, crediamo che la procedura possa essere portata avanti colpendo solo un computer alla volta. Comunque, la situazione rimane preoccupante e stiamo cercando di porvi rimedio. Chi possiede una licenza Premium del programma Anti-Malware dovrebbe attivare la voce ‘self-protection’ nelle impostazioni per ridurre il rischio”. Il vendor, inoltre, ha annunciato un programma di bug bounty con l’obiettivo di scoprire altre falle, premiando con mille dollari chi riuscirà a rintracciare nuove vulnerabilità.