IE inciampa su un ActiveX fallato

IE inciampa su un ActiveX fallato

Una vulnerabilità zero-day contenuta in un controllo, componente di Windows, è già stata sfruttata. A rischio gli utenti di Windows XP. Microsoft ha pronte le prime contromisure
Una vulnerabilità zero-day contenuta in un controllo, componente di Windows, è già stata sfruttata. A rischio gli utenti di Windows XP. Microsoft ha pronte le prime contromisure

In queste ore l’attenzione della comunità degli esperti di sicurezza è stata catalizzata da una nuova vulnerabilità zero-day contenuta in un vecchio e ormai obsoleto controllo ActiveX chiamato msVidCtl , e in particolare nell’oggetto MPEG2TuneRequest . Il motivo di tanta allerta è che la debolezza non solo è priva di patch, ma un suo exploit è già stato scoperto su centinaia di siti web cinesi.

Il problema, inizialmente segnalato da SANS Internet Storm Center, è stato confermato in questo post dal Microsoft Security Response Center (MSRC) (di cui è possibile leggere una sintesi user-friendly qui ).

La falla è causata da un errore di buffer overflow nella libreria msvidctl.dll del Video ActiveX Control, un componente di DirectShow che implementa un decoder per flussi video in formato MPEG2. Tale controllo ActiveX non viene più usato da anni, sostituito dal plugin di Windows Media Player o da quelli di terze parti, come ad esempio QuickTime. La vulnerabilità può essere sfruttata da un malintenzionato che, inducendo un utente a visitare una certa pagina web, può ottenere gli stessi privilegi dell’utente locale. Trattandosi di una debolezza relativa ad ActiveX, il relativo exploit funziona esclusivamente con Internet Explorer e Outlook.

Microsoft afferma che le protezioni di sicurezza integrate in Windows Vista e Windows Server 2008 rendono tali sistemi operativi immuni agli attacchi basati su tale falla. A rischio vi sono invece gli utenti di Windows XP e, in maniera minore, quelli di Windows Server 2003. Qualunque sia la propria versione di Windows, ma a maggior ragione se è XP o 2003, Microsoft raccomanda agli utenti di applicare il workaround contenuto in questo articolo della Knowledge Base o, più semplicemente, cliccare sul pulsante Fix it contenuto alla fine di questo post per disattivare il controllo ActiveX incriminato.

McAfee spiega in questo post che sarebbero oltre un centinaio i siti cinesi in cui è stato trovato l’exploit MSDirectShow.b , capace di innescare la succitata falla DirectShow. I cracker utilizzano questo e altri exploit meno recenti per tentare di bucare le difese dei sistemi remoti e installarvi un trojan capace di installare nel sistema un cocktail di malware.

“Una particolarità interessante che ci ha colpito durante l’attività di ricerca è stata che il toolkit per lo sfruttamento dei siti controllava in modo esplicito che l’origine dell’hyperlink non provenisse da domini .gov.cn e .edu.cn , che sono utilizzati dal governo cinese e dai siti educativi per l’istruzione”, ha commentato Geok Meng Ong, ricercatore per il malware dei McAfee Avert Labs. “Se i siti non provenivano da nessuno dei suddetti domini, veniva subito spedito un cocktail di exploit”.

Microsoft, che come si è detto ha già pubblicato una soluzione temporanea al problema, afferma di essere al lavoro per sviluppare una patch da distribuire “non appena avrà raggiunto un adeguato livello di qualità”.

Alessandro Del Rosso

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
8 lug 2009
Link copiato negli appunti