Roma – Con una patch sviluppata e testata a tempo di record, il giorno della Befana Microsoft ha corretto l’ormai famosa vulnerabilità legata ai file grafici WMF (Windows Meta File). Una vulnerabilità che molti esperti di sicurezza definiscono la più seria e importante dell’ultimo anno , non fosse altro per il fatto di essere stata sfruttata da alcuni siti Web prima ancora che il problema divenisse di pubblico dominio.
La gravità della situazione ha indotto Microsoft a rilasciare l’aggiornamento con alcuni giorni di anticipo rispetto al suo tradizionale ciclo di pubblicazione delle patch. Per l’occasione il gigante di Redmond ha persino organizzato webcast in varie lingue per informare i propri utenti sui rischi legati alla vulnerabilità e sulle relative misure di protezione.
La patch per il motore di rendering di Windows viene descritta nel primo bollettino di sicurezza Microsoft dell’anno, l’ MS06-001 : qui si spiega che la falla interessa praticamente tutte le versioni di Windows, tuttavia la patch è disponibile esclusivamente per gli utenti di Windows 2000, XP e Server 2003. Il big di Redmond ha giustificato la scelta di non rilasciare alcuna correzione per Windows 98 e Me con il fatto che in queste piattaforme “la vulnerabilità non è critica in quanto non è stato identificato un vettore di attacco sfruttabile con un livello di gravità critico”. A tal proposito va ricordato che Windows 98 e Me si trovano in quella fase del ciclo di supporto che prevede la correzione delle sole falle critiche.
Da sottolineare come la vulnerabilità venga considerata di importanza critica anche in Windows Server 2003 , una piattaforma generalmente meno esposta agli attacchi rispetto a Windows XP.
“Microsoft continuerà a tenere sotto osservazione eventuali dati sugli attacchi. Finora gli attacchi sferrati per sfruttare questa falla del sistema sono stati limitati dagli sforzi compiuti per bloccare i siti Web dannosi, nonché dalla diffusione di definizioni digitali aggiornate dei virus da parte dei fornitori di soluzioni antivirus”, ha dichiarato Microsoft in un recente comunicato. “Oltre a installare la patch MS06-001, gli utenti devono come sempre evitare di visitare siti Web ritenuti a rischio che potrebbero consentire l’esecuzione di codice potenzialmente nocivo”.
Microsoft fornisce ulteriori informazioni sul bug in questo advisory .
E’ difficile dire quanti siti Web, nelle ultime due settimane, abbiano sfruttato la falla del formato WMF, ma il loro numero potrebbe essere piuttosto elevato: attualmente l’exploit viene utilizzato, ad esempio, da diversi circuiti di siti porno e scommesse on-line . I file WMF nocivi potrebbero arrivare anche attraverso e-mail e messaggi di instant messaging.
L’ Internet Storm Center (ISC), che ha dedicato al problema un’approfondita FAQ (tradotta da volontari in varie lingue, tra cui l’italiano), sottolinea come il codice dannoso contenuto all’interno di un file WMF venga eseguito da Internet Explorer in modo automatico, senza alcuna interazione da parte dell’utente: altri browser, come ad esempio Firefox e Opera, chiedono invece l’autorizzazione dell’utente. Da notare che nel caso in cui un file WMF nocivo si trovi già sull’hard disk dell’utente, per innescare la vulnerabilità è sufficiente farne un’anteprima con il file manager di Windows (Explorer).
Nel corso della scorsa settimana FrSIRT ha pubblicato il codice dell’exploit di un’altra vulnerabilità di Windows corretta a dicembre con il bollettino MS05-055 . La falla interessa esclusivamente i kernel di Windows NT 4.0 e 2000 ed è stata valutata dal team francese di rischio moderato.