Mentre gli esperti di sicurezza avvertono che la recente falla di Internet Explorer, quella utilizzata negli attacchi contro Google e corretta da Microsoft la scorsa settimana, viene impiegata in attacchi di scala sempre più vasta, un altro ricercatore ha rivelato l’esistenza, in tutte le versioni ancora supportate del browser di Windows, di alcune debolezze sfruttabili per leggere i file archiviati su un PC remoto.
Jorge Luis Alvarez Medina, consulente di sicurezza della società Core Security Technologies , afferma di aver scoperto il problema due anni fa e di averlo prontamente segnalato a Microsoft. Quest’ultima non è rimasta passiva: il ricercatore spiega che tra il 2008 e il 2009 BigM ha apportato al proprio browser alcune modifiche atte ad arginare le falle da lui scoperte, ma a suo dire questo non ha risolto del tutto il problema. Medina sostiene che oggi è ancora possibile sfruttare alcune caratteristiche di IE per guadagnare l’accesso in lettura a file che si trovano sul PC della vittima.
Perché l’attacco abbia successo è necessario far leva su più di una debolezza, ma Medina ritiene che il fattore di rischio resti comunque elevato. Il maggior problema, secondo l’esperto, è che quelli da lui scoperti non sono veri e propri bug, ma comportamenti leciti di IE che possono essere utilizzati per scopi assai meno leciti. “Alcune di queste funzionalità sono praticamente impossibili da correggere”, ha dichiarato Medina, che ha poi aggiunto di non sapere se tali debolezze siano mai state sfruttate dai cracker.
“Microsoft sta indagando su una vulnerabilità di Internet Explorer divulgata in modo responsabile”, ha detto un portavoce di Microsoft. “Attualmente non siamo a conoscenza di attacchi che facciano leva sulla vulnerabilità, ma riteniamo che il rischio per i nostri utenti sia ridotto grazie al fatto che la vulnerabilità è stata divulgata in modo responsabile”.
Microsoft ha fatto sapere che, se necessario, provvederà a rilasciate una correzione: questa potrebbe far parte delle patch programmate per il prossimo 9 febbraio o essere distribuita fuori dal normale ciclo dei bollettini di sicurezza.
Medina terrà una dimostrazione delle vulnerabilità da lui scoperte in occasione della conferenza Black Hat , che si terrà a Washington a partire dal 2 febbraio. Nel frattempo, il ricercatore sta collaborando con Microsoft per mettere a punto una soluzione che mitighi la pericolosità del problema.
Come si è detto, in queste settimane stanno aumentando anche gli attacchi che sfruttano la vulnerabilità CVE-2010-0249, divenuta famosa perché utilizzata da presunti cracker cinesi per lanciare attacchi contro Google e alcune decine di altre grandi aziende. Il bug connesso a questa falla è stato stuccato da Microsoft lo scorso venerdì, ma stando a Websense “questi attacchi mirati sono iniziati durante la settimana del 20 dicembre e sono ancora in corso nei confronti di agenzie governative, della difesa, settore energetico e altre aziende negli Stati Uniti e Regno Unito”. A questo va aggiunto che l’exploit è ormai di pubblico dominio, e come tale alla facile portata di orde di lamer e criminali di bassa lega.
Websense spiega che la falla viene sfruttata soprattutto attraverso delle email contenenti il link ad un sito web maligno. “All’interno delle email malevole, l’indirizzo del mittente è stato falsificato in modo che corrisponda a quello del destinatario, rendendo così le email ancora più credibili. (…) Gli allegati in esse contenuti presentano le caratteristiche di un trojan per il furto di informazioni con funzionalità backdoor. Secondo questo report di Virustotal, attualmente solo il 25% dei vendor di antivirus è in grado di proteggere contro il payload”.
Va però sottolineato che a correre i rischi maggiori sono coloro che ancora utilizzano IE6, una versione del browser che la stessa Microsoft raccomanda di aggiornare quanto prima ad una release più recente, come la 7 o ancor meglio la 8. Certi consulenti di sicurezza sono più drastici, e suggeriscono ai propri clienti di migrare ad un browser differente.
Alessandro Del Rosso