Con un advisory , Microsoft ha reso noto di essere a conoscenza della vulnerabilità DLL descritta la scorsa settimana da due differenti team di analisti di sicurezza. Redmond precisa che la vulnerabilità non riguarda specificamente un proprio prodotto, ma che l’advisory è stato diramato per portare a conoscenza del maggior numero di utenti e admin possibili del nuovo vettore d’attacco individuato e ora divulgato da quelli di Metasploit/Rapid7.
Secondo i tecnici di BigM , il problema del “binary planting” (ovvero del caricamento di librerie al volo, in questo caso DLL, contenenti payload pericolosi) è comune a molte piattaforme – viene citato UNIX. La differenza rispetto alla modalità classica, e meno pericolosa, di attacco in questo caso risiede nel metodo: in luogo del caricamento della DLL dalla memoria locale, l’utente può essere indotto a eseguire delle operazioni del tutto lecite avviando però il caricamento della libreria da una memoria condivisa e/o remota . Anche gli antivirus, in queste circostanze, potrebbero rivelarsi inefficaci.
La soluzione proposta, che Microsoft descrive come best practices , è quella di specificare in fase di programmazione il percorso preciso e non generico dove trovare la libreria: in questo modo, a meno di una sostituzione fisica di un file sul disco della vittima, non dovrebbe essere possibile far scambiare a un’applicazione una DLL illegittima per una legittima. In più, come suggerito da HD Moore e altri la scorsa settimana, viene caldeggiata l’ipotesi di disabilitare temporaneamente certi tipi di attività di rete (SMB, WebDAV) per impedire che il vettore di attacco resti attivo. Microsoft mette a disposizione un tool per semplificare il processo , ma si tratta evidentemente di una soluzione tampone che non risolve definitivamente il problema.
Da parte loro, quelli di Metasploit non sono stati con le mani in mano. Hanno contattato Microsoft per fornirgli le informazioni di cui disponevano, e hanno rilasciato un tool di audit (da caricare come modulo nella loro suite per i Pen Test ) in grado di effettuare verifiche su qualunque applicativo potenzialmente affetto dalla vulnerabilità . Come detto, difficilmente questo tipo di attacco potrà essere vanificato da un aggiornamento di sistema: saranno i singoli vendor a dover pubblicare, se lo desiderano, un update del proprio software che risulti immune a questa minaccia.
Luca Annunziata