Roma – Negli scorsi giorni hanno fatto la loro apparizione su newsgroup, network di instant messaging e alcune pagine Web le prime immagini JPEG capaci di sfruttare la recente vulnerabilità MS04-028 di Windows.
Gli utenti che inavvertitamente scaricano le immagini “avvelenate” possono ritrovarsi nel PC alcuni ospiti indesiderati, come ad esempio cavalli di Troia capaci di dare ad un cracker il pieno controllo del sistema.
Le JPEG malevoli sono state introdotte in diversi gruppi di discussione in lingua inglese, soprattutto quelli della famiglia “binaries”: qui si trovano parecchi sottogruppi, primo fra tutti “alt.binaries.erotica”, contenenti migliaia di immagini. Chi ha pubblicato le immagini ha utilizzato l’indirizzo e-mail, ovviamente falso, Power-Poster@power-post.org.
Le JPEG “cattive” sono indistinguibili da quelle innocue, tuttavia al loro interno contengono una versione leggermente modificata dell’exploit di cui si è dato notizia pochi giorni fa . Il codice di questo exploit, noto come “JPEG of Death” (che richiama alla memoria il famoso “Screen of Death”), fa leva su di un bug di tipo buffer overflow che si trova all’interno del componente GDI+ di Windows. Più nel dettaglio, il file incriminato è “gdiplus.dll”, una libreria utilizzata, oltre che da Windows, da almeno un’altra dozzina di prodotti Microsoft e da decine di software sviluppati da terze parti: fra questi, ad esempio, vi è la suite di tool grafici che Sony distribuisce insieme alle proprie fotocamere digitali.
Le JPEG al veleno avvistate sui newsgroup contengono al loro interno una copia di Radmin o di VNC, due tool perfettamente legittimi che consentono di controllare un PC da remoto: in questo caso, però, questi programmi possono essere utilizzati da un aggressore come una sorta di trojan con cui prendere possesso del computer remoto. Secondo quanto riportato da alcuni esperti di sicurezza, le immagini malevole funzionano solo su alcune versioni di Windows XP.
Queste JPEG “con sorpresa” non possono definirsi dei virus o dei worm, visto che non hanno la capacità di diffondersi autonomamente, tuttavia possono contenere tali minacce. Alcune società antivirus ritengono inoltre che un worm capace di trarre vantaggio da questa vulnerabilità sia ormai dietro le porte: la raccomandazione è dunque quella di installare, se non lo si è ancora fatto, le patch rilasciate il 14 settembre da Microsoft.
In questo advisory il SANS Institute spiega come alcune JPEG velenose siano state distribuite anche attraverso il network di messaggistica istantanea di AOL, AIM, e come al momento si conoscano già due trojan contenenti l’exploit JPEG of Death.
Update – Per sapere se il proprio PC contiene una delle versioni vulnerabili della liberia GDI+ è possibile scaricare questo tool gratuito e consultare il relativo forum di supporto (in inglese). E’ possibile sostituire le DLL vulnerabili con questa versione aggiornata di Microsoft, tuttavia non è garantita la piena compatibilità con tutte le applicazioni, specie quelle di terze parti: per tale ragione si consiglia di fare un backup del vecchio file prima di sostituirlo con il nuovo.