Alessandro Del Rosso

Internet Explorer, minacce vecchie e nuove

Sono emerse nuove vulnerabilitÓ relative a Internet Explorer potenzialmente sfruttabili per leggere file su un PC remoto. Nel frattempo si intensificano gli attacchi che fanno leva sulla falla corretta la scorsa settimana

Roma - Mentre gli esperti di sicurezza avvertono che la recente falla di Internet Explorer, quella utilizzata negli attacchi contro Google e corretta da Microsoft la scorsa settimana, viene impiegata in attacchi di scala sempre più vasta, un altro ricercatore ha rivelato l'esistenza, in tutte le versioni ancora supportate del browser di Windows, di alcune debolezze sfruttabili per leggere i file archiviati su un PC remoto.

Jorge Luis Alvarez Medina, consulente di sicurezza della società Core Security Technologies, afferma di aver scoperto il problema due anni fa e di averlo prontamente segnalato a Microsoft. Quest'ultima non è rimasta passiva: il ricercatore spiega che tra il 2008 e il 2009 BigM ha apportato al proprio browser alcune modifiche atte ad arginare le falle da lui scoperte, ma a suo dire questo non ha risolto del tutto il problema. Medina sostiene che oggi è ancora possibile sfruttare alcune caratteristiche di IE per guadagnare l'accesso in lettura a file che si trovano sul PC della vittima.

Perché l'attacco abbia successo è necessario far leva su più di una debolezza, ma Medina ritiene che il fattore di rischio resti comunque elevato. Il maggior problema, secondo l'esperto, è che quelli da lui scoperti non sono veri e propri bug, ma comportamenti leciti di IE che possono essere utilizzati per scopi assai meno leciti. "Alcune di queste funzionalità sono praticamente impossibili da correggere", ha dichiarato Medina, che ha poi aggiunto di non sapere se tali debolezze siano mai state sfruttate dai cracker.
"Microsoft sta indagando su una vulnerabilità di Internet Explorer divulgata in modo responsabile", ha detto un portavoce di Microsoft. "Attualmente non siamo a conoscenza di attacchi che facciano leva sulla vulnerabilità, ma riteniamo che il rischio per i nostri utenti sia ridotto grazie al fatto che la vulnerabilità è stata divulgata in modo responsabile".

Microsoft ha fatto sapere che, se necessario, provvederà a rilasciate una correzione: questa potrebbe far parte delle patch programmate per il prossimo 9 febbraio o essere distribuita fuori dal normale ciclo dei bollettini di sicurezza.

Medina terrà una dimostrazione delle vulnerabilità da lui scoperte in occasione della conferenza Black Hat, che si terrà a Washington a partire dal 2 febbraio. Nel frattempo, il ricercatore sta collaborando con Microsoft per mettere a punto una soluzione che mitighi la pericolosità del problema.

Come si è detto, in queste settimane stanno aumentando anche gli attacchi che sfruttano la vulnerabilità CVE-2010-0249, divenuta famosa perché utilizzata da presunti cracker cinesi per lanciare attacchi contro Google e alcune decine di altre grandi aziende. Il bug connesso a questa falla è stato stuccato da Microsoft lo scorso venerdì, ma stando a Websense "questi attacchi mirati sono iniziati durante la settimana del 20 dicembre e sono ancora in corso nei confronti di agenzie governative, della difesa, settore energetico e altre aziende negli Stati Uniti e Regno Unito". A questo va aggiunto che l'exploit è ormai di pubblico dominio, e come tale alla facile portata di orde di lamer e criminali di bassa lega.

Websense spiega che la falla viene sfruttata soprattutto attraverso delle email contenenti il link ad un sito web maligno. "All'interno delle email malevole, l'indirizzo del mittente è stato falsificato in modo che corrisponda a quello del destinatario, rendendo così le email ancora più credibili. (...) Gli allegati in esse contenuti presentano le caratteristiche di un trojan per il furto di informazioni con funzionalità backdoor. Secondo questo report di Virustotal, attualmente solo il 25% dei vendor di antivirus è in grado di proteggere contro il payload".

Va però sottolineato che a correre i rischi maggiori sono coloro che ancora utilizzano IE6, una versione del browser che la stessa Microsoft raccomanda di aggiornare quanto prima ad una release più recente, come la 7 o ancor meglio la 8. Certi consulenti di sicurezza sono più drastici, e suggeriscono ai propri clienti di migrare ad un browser differente.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaMicrosoft stucca otto falle di IEPubblicato un bollettino di sicurezza straordinario che corregge otto vulnerabilitÓ di Internet Explorer, tra le quali quella utilizzata nei recenti attacchi a Google e altre aziende
  • SicurezzaVulnerabilità IE, Microsoft rassicura Secondo la filiale italiana, i rischi sarebbero limitati alle vecchie versioni di browser e sistema operativo. Suggerito l'upgrade a Internet Explorer 8
  • SicurezzaGoogle bucata via Internet ExplorerMicrosoft ha fatto sapere che i recenti attacchi di provenienza cinese rivolti contro Google e altre aziende avrebbero sfruttato una falla zero-day di IE. BigM ha anche dichiarato che intende restare sul mercato cinese
44 Commenti alla Notizia Internet Explorer, minacce vecchie e nuove
Ordina
  • 0DAY FIREFOX CROSS-PROTOCOL SCRIPTING VULNERABILITY,
    Firefox XPS IRC Attack
    http://encyclopediadramatica.com/Firefox_XPS_IRC_A...

    tiè!
    non+autenticato
  • Vai a postare sul blog dei tuoi padroni, certe stronz.. nascono solo da gente che lavora x ms, quindi spaventata a morte xche se ms fallisce l'unica strada possibile e di andare a vendere tappeti...
    Il vostro know-how non serve a niente, anche io so fare avanti..avanti..fine!!



    - Scritto da: Dovella
    > 0DAY FIREFOX CROSS-PROTOCOL SCRIPTING
    > VULNERABILITY,
    > Firefox XPS IRC Attack
    > http://encyclopediadramatica.com/Firefox_XPS_IRC_A
    >
    > tiè!
    non+autenticato
  • che brutta bestia l'invidia!
    non+autenticato
  • E' piuttosto sconcertante che la Microsoft abbia patchato il browser ma non abbia ancora inserito l'exploit nella lista dei malware intercettati dal suo antivirus...
    non+autenticato
  • - Scritto da: FridayChild
    > E' piuttosto sconcertante che la Microsoft abbia
    > patchato il browser ma non abbia ancora inserito
    > l'exploit nella lista dei malware intercettati
    > dal suo
    > antivirus...

    Poh! E da quando M$ fabbrica antivirus? Non erano i programmi senza "anti" la sua specialità?!?!?

    Muahahahahahahahaha !!!
    non+autenticato
  • Sembra incredibile, ma microsoft è in quel settore. Un pò vergognosa come cose.
    Sgabbio
    26177
  • "l'indirizzo del mittente è stato falsificato in modo che corrisponda a quello del destinatario, rendendo così le email ancora più credibili"

    ma più credibili per chi? quanta gente c'è che ritiene credibile un'email che risulta inviata da sè stesso?????
  • - Scritto da: p4bl0
    > "l'indirizzo del mittente è stato falsificato in
    > modo che corrisponda a quello del destinatario,
    > rendendo così le email ancora più
    > credibili"
    >
    > ma più credibili per chi? quanta gente c'è che
    > ritiene credibile un'email che risulta inviata da
    > sè
    > stesso?????


    Tutti quelli che bevono acqua di fogna, guidano contromano in autostrada, fanno body jumping senza aver prima misurato la lunghezza dell'elastico, navigano ancora con IE, credono agli oroscopi, ai maghi e ciarlatani...
  • se la metti così in effetti credere a una email che sembra auto-inviata non sembra una cosa così stupida... -.-
  • - Scritto da: p4bl0
    > "l'indirizzo del mittente è stato falsificato in
    > modo che corrisponda a quello del destinatario,
    > rendendo così le email ancora più
    > credibili"
    >
    > ma più credibili per chi? quanta gente c'è che
    > ritiene credibile un'email che risulta inviata da
    > sè
    > stesso?????

    Ho pensato la stessa cosa... è credibile una e-mail spedita a se stesso? Boh secondo me in redazione hanno fumato qualcosa....
    non+autenticato
  • - Scritto da: Rino
    > - Scritto da: p4bl0
    >
    > Ho pensato la stessa cosa... è credibile una
    > e-mail spedita a se stesso? Boh secondo me in
    > redazione hanno fumato
    > qualcosa....

    Ecco appunto, del genere ti svegli una domenica mattina, nudo, in una casa che non è tua nel letto di una tipa che è un c3ss0 che in confronto avresti preferito svegliarti nel letto di Gollum del signore degli anelli, tutto intorno a te caos, biancheria intima nei posti piu inpensati, nell'aria fetore di liquidi corporei misto ad alcool... non ricordi come sei finito li, decidi di pensarci piu tardi, raccatti cio che è tuo e in silenzio ti vesti scappando da quel luogo, all'uscita ti ritrovi in una zona malfamata della città (aka S.Donato Milanese, Quarto Oggiaro, Cinisello Balsamo...) trovi la tua macchina nuova con una fiancata completamente tirata liscia... non ti importa, sali e corri a casa... arrivi a casa, apri l'email e trovi una mail mandata da te stesso la sera prima....
    COSA FAI ?
    non+autenticato
  • - Scritto da: FoxMulder
    > - Scritto da: Rino
    > > - Scritto da: p4bl0
    > >
    > > Ho pensato la stessa cosa... è credibile una
    > > e-mail spedita a se stesso? Boh secondo me in
    > > redazione hanno fumato
    > > qualcosa....
    >
    > Ecco appunto, del genere ti svegli una domenica
    > mattina, nudo, in una casa che non è tua nel
    > letto di una tipa che è un c3ss0 che in confronto
    > avresti preferito svegliarti nel letto di Gollum
    > del signore degli anelli, tutto intorno a te
    > caos, biancheria intima nei posti piu inpensati,
    > nell'aria fetore di liquidi corporei misto ad
    > alcool... non ricordi come sei finito li, decidi
    > di pensarci piu tardi, raccatti cio che è tuo e
    > in silenzio ti vesti scappando da quel luogo,
    > all'uscita ti ritrovi in una zona malfamata della
    > città (aka S.Donato Milanese, Quarto Oggiaro,
    > Cinisello Balsamo...) trovi la tua macchina nuova
    > con una fiancata completamente tirata liscia...
    > non ti importa, sali e corri a casa... arrivi a
    > casa, apri l'email e trovi una mail mandata da te
    > stesso la sera
    > prima....
    > COSA FAI ?


    E ca%%o io la leggo, magari mi sto autospiegando che diavolo è successo.
  • - Scritto da: FoxMulder
    > - Scritto da: Rino
    > > - Scritto da: p4bl0
    > >
    > > Ho pensato la stessa cosa... è credibile una
    > > e-mail spedita a se stesso? Boh secondo me in
    > > redazione hanno fumato
    > > qualcosa....
    >
    > Ecco appunto, del genere ti svegli una domenica
    > mattina, nudo, in una casa che non è tua nel
    > letto di una tipa che è un c3ss0 che in confronto
    > avresti preferito svegliarti nel letto di Gollum
    > del signore degli anelli, tutto intorno a te
    > caos, biancheria intima nei posti piu inpensati,
    > nell'aria fetore di liquidi corporei misto ad
    > alcool... non ricordi come sei finito li, decidi
    > di pensarci piu tardi, raccatti cio che è tuo e
    > in silenzio ti vesti scappando da quel luogo,
    > all'uscita ti ritrovi in una zona malfamata della
    > città (aka S.Donato Milanese, Quarto Oggiaro,
    > Cinisello Balsamo...) trovi la tua macchina nuova
    > con una fiancata completamente tirata liscia...
    > non ti importa, sali e corri a casa... arrivi a
    > casa, apri l'email e trovi una mail mandata da te
    > stesso la sera
    > prima....
    > COSA FAI ?

    Ma senza tutto questo casino incredibile, io ricevo tutti i giorni un paio di mail mandate da me stesso, che secondo loro e' un sistema per eludere i filtri antispam meno smaliziati.

    E io le apro senza problemi quando voglio farmi quattro risate.

    E quando voglio pure divertirmi, scarico pure il file.exe allegato e lo lancio sotto wine per vedere che cosa succede!
  • Forse fanno leva sul fatto che l'utente non legga il nome del mittente, ma solo il dominio (es. la propria azienda) e istintivamente ci faccia sopra clic.
  • A gennaio ci sono i saldi, ad agosto ci sono le code e fa caldo,
    a novembre si vota la finanziaria, e IE è buggato....
    G%2cG
    339
  • davvero non capisco, google c'ha messo un anno a fare un browser decente, bill non può copiare e chiudere il discorso ?

    guarda google che s'è preso linux è l'ha chiamato chrome os... bill prenditi chromium e chiamalo "internet browser"

    mah
    non+autenticato
  • ma tu pensa...
    tanto ci sono i fessi che lavorano per lui perché sforzarsi per innovare?
    non+autenticato
  • - Scritto da: ciaina
    > davvero non capisco, google c'ha messo un anno a
    > fare un browser decente, bill non può copiare e
    > chiudere il discorso
    > ?
    >

    Anche per copiare bisogna essere bravi... Almeno un pochino...
    non+autenticato
  • - Scritto da: ciaina
    > davvero non capisco, google c'ha messo un anno a
    > fare un browser decente, bill non può copiare e
    > chiudere il discorso?

    sono vittime del loro stesso gioco.

    gli altro browser fanno fatica in alcuni casi a soppiantare IE perchè ha imposto degli "standard" propietari.

    ora MS è prigioniera del suo stesso gioco, e per la retrocompatibilità non può ricominciare da zero.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)