Verso la fine della scorsa settimana Microsoft ha stuccato la recente vulnerabilità zero-day di Internet Explorer, ma la questione – benché tecnicamente risolta – è tornata ad essere di scottante attualità. Il motivo è dato dalla diffusione su Internet di documenti Word capaci di dirottare l’utente verso siti che contengono exploit della falla.
David Marcus, dirigente degli Avert Labs di McAfee, ha spiegato in questo post che gli autori dei malware hanno ideato “meccanismi innovativi” per sfruttare la vulnerabilità di IE. Tra questi c’è l’inclusione, in un documento Word, di un controllo ActiveX capace di collegarsi ad un sito web contenente l’exploit del bug di IE. “Con questo approccio l’exploit viene scaricato ed eseguito nel sistema senza l’autorizzazione dell’utente, e senza dunque che quest’ultimo sia al corrente di quanto sta avvenendo”.
Marcus afferma che i documenti maligni appaiono come un qualunque altro documento Word, ed oltre che sui siti Web possono essere diffusi dai cracker anche attraverso le email o le reti P2P. Sebbene il ricercatore non lo precisi, va detto che un personal firewall è generalmente in grado di proteggere gli utenti da questo genere di attacchi, perché impedisce a Word di comunicare con Internet (a meno che l’utente non dia la sua espressa autorizzazione).
L’exploit scaricato da file “.doc” maligni funziona esclusivamente con IE7, ed è soggetto agli stessi limiti già discussi in passato: in altre parole, in presenza di Windows Vista o Windows Server i rischi che il sistema venga compromesso sono assai inferiori rispetto a quelli che corrono gli utenti di Windows XP.