La scorsa settimana Microsoft aveva avvisato i propri clienti che la falla appena corretta in Internet Explorer 7, descritta nel bollettino MS09-002 , avrebbe potuto essere sfruttata dai cracker con una certa facilità. Detto e fatto: negli scorsi giorni diversi produttori di antivirus hanno avvistato il primo exploit del bug incluso in un file DOC.
Come spiegato
sul blog di TrendLabs, il documento Word maligno contiene un oggetto ActiveX che si collega automaticamente ad un server remoto e scarica un downloader di malware, ossia un programma capace di scaricare e installare nel sistema altri tipi di malware: tra questi c’è un file DLL capace di raccogliere informazioni personali e registrare screenshot, e di inviare poi il tutto a un server cinese utilizzando la porta TCP 443.
Gli esperti di sicurezza hanno spiegato che l’exploit potrebbe essere incluso anche in altri tipi di file, come quelli PDF, oppure inoculato all’interno di siti web compromessi.
Secondo l’ Internet Storm Center , è assai probabile che l’exploit sia stato creato facendo il reverse engineering della patch distribuita la scorsa settimana da Microsoft. Patch di cui gli esperti raccomandano ora l’immediata installazione su tutti i sistemi ancora vulnerabili.
Va precisato che l’attuale exploit funziona esclusivamente sotto Windows XP: i meccanismi di sicurezza inclusi in Vista ne impediscono infatti il funzionamento. Ciò tuttavia non significa che gli utenti di Vista possano considerarsi del tutto al sicuro da eventuali futuri attacchi.
Il file DOC maligno, chiamato da Trend Micro
XML_DLOADR.A è stato apparentemente creato in Cina, ed utilizza tecniche simili a quelle già viste in un noto malware diffusosi in concomitanza con i Giochi Olimpici di Pechino 2008.
Microsoft modifica lo UAC
È passata quasi sotto silenzio la notizia che, in risposta alle numerose richiese degli utenti, Microsoft ha modificato il famigerato User Account Control (UAC) di Windows 7.
Come si ricorderà, questo meccanismo di protezione – che ha fatto il suo debutto in Vista – era stato accusato di sacrificare la sicurezza a vantaggio della comodità d’uso, fornendo così agli utenti un falso senso di sicurezza. Il motivo, secondo quanto spiegato dal ricercatore di sicurezza Long Zheng, era che alcuni malware avrebbero potuto auto-elevare i propri privilegi (portandoli a livello di amministratore) o disabilitare addirittura lo UAC senza che l’utente se ne potesse accorgere.
Inizialmente alcuni manager di BigM avevano reagito a tali accuse sostenendo che l’implementazione dello UAC di Windows 7 andava bene così com’era, e che non sarebbe stato cambiato. In seguito, le posizioni del BigM si sono decisamente addolcite , lasciando intendere che la questione sarebbe stata discussa e analizzata a fondo.
Il risultato è stato lo sviluppo di una nuova implementazione dello UAC che farà parte della prossima release candidate di Windows 7. Secondo quanto spiegato in questo post , la nuova versione corregge il problema che era stato segnalato dagli esperti di sicurezza e fa sì che, quando un’applicazione eleva i propri privilegi, lo UAC avverta l’utente e chieda conferma dell’operazione.
“In questo post quasi quasi non riconosco la mia vecchia Microsoft, tante volte in passato ingessata dall’approccio PR: vedo invece con piacere una nuova Microsoft che riesce a mettersi in discussione e ad ascoltare una buona volta le richieste degli utenti quando sono ragionevolissime, come in questo caso”, ha scritto Feliciano Intini, chief security advisor di Microsoft Italia, nel suo blog.
Ti potrebbe interessare
19 feb 2009