All’inizio della settimana l’hacker italiano Andrea Micalizzi, anche noto con l’alias “rgod”, ha rivelato l’esistenza, nel “configuratore” di messaggistica istantanea Alice Messenger, di una vulnerabilità di sicurezza potenzialmente grave. Vulnerabilità che Telecom Italia ha provveduto a correggere con il rilascio di una versione aggiornata del proprio messenger.
La falla è contenuta nel file Hp.Revolution.RegistryManager.dll distribuito insieme al programma di configurazione ConfigAliceMesseger.exe , lo stesso che fino a pochi giorni fa poteva essere scaricato da qui ed era necessario per installare Alice Messenger. Come spiegato a Punto Informatico da Micalizzi, se richiamata da una pagina web con il proprio CLSID, la DLL può consentire ad un aggressore di modificare il registro di sistema in remoto “senza nemmeno verificare che la pagina provenga da un dominio Alice o chiedere la conferma dell’utente”.
“Per quanto ho verificato fino ad oggi, questo significa poter modificare l’esecuzione automatica e i servizi di qualsiasi computer con Microsoft Windows, e in definitiva installare un rootkit”, ha detto l’esperto di sicurezza. “Quindi suggerisco di scaricare e eseguire la versione 1.1 di Alice Messenger o di cancellare manualmente la DLL dal proprio sistema”.
La versione 1.1 di Alice Messenger, che rimuove la DLL incriminata, può essere scaricata da qui .
In questo advisory rgod ha pubblicato anche un exploit proof of concept che, se inserito all’interno di una pagina Web ed eseguito su di un sistema dove è installata una versione vulnerabile di Alice Messenger, apporta alcune modifiche al registro di sistema.