Un ricercatore di sicurezza che lavora per Google ha identificato una vulnerabilità potenzialmente grave nel componente Windows Help and Support Center (Guida in linea e supporto tecnico, helpctr.exe ) di Windows XP e Windows Server 2003. Più nel dettaglio, il problema è legato ad un bug di tipo cross-site scripting nella gestione degli URI (Universal Resource Identifier) hcp:// : questa debolezza potrebbe essere sfruttata da un malintenzionato per aggirare i controlli di sicurezza di helpctr.exe e, per mezzo di un link maligno, eseguire uno script o un programma con gli stessi privilegi dell’utente.
Microsoft ha confermato l’esistenza della falla nell’advisory 2219475 , dove precisa di non essere a conoscenza di attacchi in atto. Ma potrebbe essere solo questione di tempo: Tavis Ormandy, lo scopritore della falla, ha infatti divulgato tutti i dettagli del bug, compreso il codice di un exploit dimostrativo. Il ricercatore britannico ha corredato il proprio advisory di un fix temporaneo, ma come spiegato da Microsoft, e come poi ammesso dallo stesso Ormandy, questo workaround manca di risolvere il problema all’origine: di conseguenza può essere facilmente bypassato.
In attesa che venga rilasciata una patch ufficiale, Microsoft suggerisce ai propri utenti di applicare il workaround descritto nel suo advisory e in questo post : il suo scopo è quello di disattivare il protocol handler hcp:// così che i link di questo tipo non vengano più gestiti dal sistema. Così facendo, avverte BigM, si compromette però la funzionalità dell’Help di Windows.
Microsoft ha spiegato che l’exploit proof-of-concept scritto da Ormandy funziona esclusivamente con Windows XP, mentre è inefficace con Windows Server 2003: al momento l’azienda sostiene di non essere ancora riuscita a trovare un modo per sfruttare con successo la falla sotto questo sistema operativo.
Microsoft ha criticato Ormandy per averle segnalato il problema con soli cinque giorni di anticipo rispetto alla sua divulgazione pubblica. Il gigante di Redmond ha poi aggiunto che il fix non ufficiale rilasciato dal ricercatore di Google può fornire agli utenti un falso senso di sicurezza, aggravando la situazione. “(…) Lascio a voi commentare come si possa giudicare l’operato di Google al riguardo” ha chiosato Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, in questo post .
Per altri approfondimenti sulla vulnerabilità si rimanda ai post pubblicati da Microsoft sui blog MSRC e SR&D , e a questo post di Secunia.
Alessandro Del Rosso