Microsoft ha segnalato tramite apposito
Security Advisory 2458511 la scoperta di una vulnerabilità nel browser Internet Explorer (dalla versione 6 all’ultima release ufficiale 8). Il problema è emerso in seguito all’insorgere di un exploit in grado di colpire il browser proponendo semplicemente all’utente la visita di un sito web appositamente sviluppato. Al momento Microsoft non ha ancora a disposizione particolari dettagli sul problema, sul quale si sta investigando, ma a breve il gruppo ha intenzione di mettere a disposizione una procedura automatica “
Fix it” che consenta, in anticipo sul rilascio di una patch risolutiva, di attivare un workaround temporaneo che eviti problemi ulteriori al sistema. Ancora una volta Internet Explorer viene utilizzato per colpire da remoto Windows e ottenere il controllo del sistema operativo. E' Symantec
a descrivere dettagliatamente la nuova falla del browser sfruttata da malintenzionati per infettare i sistemi vittima e avere piena gestione da remoto.
Nei giorni scorsi ci sarebbe stato un invio massiccio di email indirizzate verso alcuni dipendenti di grosse aziende. All’interno dei messaggi di posta sarebbe stato inserito un link verso un server contenente una pagina Web ospitante l’exploit, in grado di colpire indifferentemente IE 6, 7 e 8. Solo l’ultimo nato di Redmond, IE 9, risulta immune all’exploit. Con IE8 invece, grazie all’abilitazione di default della
Data Execution Prevention (DEP), l’exploit è in grado soltanto di mandare in crash il browser senza consentire l’esecuzione di codice da remoto. Microsoft spiega così la scoperta dell’exploit: «Il codice è stato scoperto su di un singolo sito web che al momento non ospita più l’exploit. Quando il sito è stato scoperto, abbiamo attivato i nostri legali per portare offline il sito». Quando possibile, sottolinea nel bollettino il gruppo, si tenta di reagire immediatamente, in modo tale da guadagnare tempo per sviluppare l’apposito correttivo da apportare al sistema vulnerabile.
Il link puntava a una pagina che conteneva uno script che analizzava quale versione del sistema operativo e browser il visitatore stava usando. Poiché il problema nella pagina funzionava solo quando qualcuno stava usando I.E. 6 e 7, lo script avrebbe trasferito il visitatore alla pagina che ospitava l'exploit quando questa condizione fosse stata soddisfatta. In altri casi, gli utenti non hanno visto niente, ma un sito web in bianco. I visitatori che sono stati serviti dall'exploit non se ne sono resi conto, ed hanno continuato a scaricare ed eseguire il malware sul proprio computer. La vulnerabilità ha consentito di prendere il comando di qualsiasi programma, eseguito senza alcun preavviso all'utente finale. Una volta infetto, il malware aveva acquisito i diritti per l'avvio del computer, insieme a un servizio denominato '
NetWare Workstation'. Il malware dunque apriva una backdoor sul computer e poi contattava i server remoti.
Si tentava di contattare un determinato server ospitato in Polonia per file di piccole dimensioni con un nome ed estensione '
. Gif'. Questi file di piccole dimensioni sono in realtà dei file criptati contenenti i comandi per il cavallo di Troia. Symantec ha informato della vulnerabilità Microsoft che sono stati in grado di confermarla, e sono stati anche in grado di confermare le conclusioni di Symantec circa la stessa vulnerabilità. Hanno anche confermato che la vulnerabilità sembra essere limitata a IE 6, 7 e 8. Microsoft ha
pubblicato un advisory su questo argomento. «Si ritiene difficile che si possano realizzare attacchi pericolosi verso IE8 grazie alla protezione offerta dal
DEP, abilitata in modo nativo su tutte le versioni di Windows»,
ha sottolineato Feliciano Intini sul proprio blog. A chi ancora utilizza IE 6 e IE7, Microsoft consiglia l’
installazione del Fix IT che consente l’abilitazione della DEP sui vecchi browser.
.png)
Nessun commento:
Posta un commento