Microsoft ha pubblicato un advisory di sicurezza per avvertire gli utenti su una nuova vulnerabilità zero-day in Windows Graphics Rendering Engine che potrebbe consentire a malintenzionati di eseguire codice arbitrario da remoto. Il problema deriva da un errore nel modo in cui il Graphics Rendering Engine elabora le immagini in miniatura e può innescare un overflow dello stack.
Il vettore di attacco è simile alla vulnerabilità dell'LNK (CVE-2010-2568) sfruttata da Stuxnet, e richiede alla vittima di aprire un sito che contiene la miniatura di un'immagine (anteprima o thumbnail). Questa può essere una cartella locale, una condivisione di rete o una risorsa remota WebDAV. Ma la falla può essere anche sfrutta aprendo una pagina Web appositamente predisposta o un documento Microsoft Word di PowerPoint contenente la miniatura. La vulnerabilità interessa tutte le versioni supportate di Windows tranne Windows 7 (32 e 64 bit) e Windows Server 2008 R2 (x64 e Itanium). Dal momento che lo sfruttamento del successo consente l'esecuzione di codice con i permessi di utente connesso, in esecuzione su un account non amministrativo è possibile limitare il suo impatto. La vulnerabilità, identificata come CVE-2010-3970, è stata descritta come "zero-day dai ricercatori di sicurezza Joseph Moti e Xu Hao della comunità POC, alla conferenza sulla sicurezza a metà dicembre 2010. Una soluzione descritta nel Microsoft Security Response Center è quella di limitare l'Access Control List (ACL) per la shimgvw.dll, ma questo farà sì che alcuni file media non potranno essere visualizzati correttamente. Una firma di corrispondenza dell'exploit per questa vulnerabilità è stata aggiunta al database malware di Microsoft in modo che i suoi prodotti di sicurezza, come Forefront o Microsoft Security Essentials, possano individuarla. In un advisory pubblicato Martedì, Microsoft ha detto che stava indagando su "nuove vulnerabilità pubbliche" nel Server 2003, Vista, Server 2008 e versioni XP, di Windows.
Infatti, la prima relazione del bug nel modo in cui questi sistemi operativi vengono colpiti attraverso le anteprima delle immagini, è stata pubblicata il 15 dicembre in una conferenza sulla sicurezza in Sud Corea . Martedì, il codice di exploit è stato aggiunto al quadro software Metasploit per gli hacker. "Si tratta di una vulnerabilità legata all'esecuzione di codice", ha dicharato il consulente di Microsoft. "Un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato". La falla può essere sfruttata quando le vittime aprono una miniatura appositamente manipolata, nel momento in cui gli utenti aprono un e-mail e visualizzano l'anteprima con Microsoft Word o PowerPoint. "La vulnerabilità è sfruttata impostando il numero di indici di colore nella tabella dei colori con un numero negativo", ha scritto Johannes Ullrich, chief officer di ricerca presso l'Istituto Sans, sul suo blog. Non è del tutto certo se la correzione sarà pronta entro il prossimo patch day di Martedì, che è a meno di una settimana di distanza. La società si sta già occupando di una vulnerabilità zero-day confermata in Internet Explorer e divulgata qualche giorno fa. Microsoft ha confermato nel rapporto che varie versioni di Windows sono vulnerabili agli exploit che permettono ad aggressori remoti di prendere il pieno controllo dei computer degli utenti utilizzando e-mail-trappola e siti web. Angela Gunn, senior marketing manager per le comunicazioni del Microsoft Trustworthy Computing Group, ha preso atto che attualmente non esistono attacchi rivolti alla vulnerabilità, il che significa che per il momento, una patch di sicurezza out-of-band non viene presa in considerazione.
Nessun commento:
Posta un commento