La vulnerabilità degli URI (Uniform Resource Identifier), venuta alla ribalta lo scorso luglio con Firefox, si è presto rivelata una vera e propria piaga per la sicurezza di Windows XP. Nel giro di pochi mesi, infatti, sono decine le applicazioni rivelatesi vulnerabili al problema , e tra queste si contano Acrobat e Adobe Reader, FoxIT Reader, Skype (patchato di recente), Netscape, Miranda IM, Outlook Express e Outlook 2000.
Il problema nasce dal fatto che Windows XP e Windows 2003, dopo l’installazione di Internet Explorer 7, gestiscono gli indirizzi URI in modo leggermente diverso da quanto succedeva con IE6 : ciò fa sì che la stragrande maggioranza delle applicazioni che passa degli URI o degli URL (come un link http:// o mailto:// ) a Windows utilizzando la funzione ShellExecute() , e manca di filtrare gli indirizzi da caratteri non validi, può consentire l’esecuzione di comandi e programmi senza l’autorizzazione dell’utente . Sebbene tali applicazioni abbiano la colpa di non validare gli URI – a suo tempo si è a lungo discusso su quale, tra Firefox e Windows, fosse maggiormente responsabile del problema – è indubbio che la vulnerabilità è frutto di una modifica di cui Microsoft non ha previsto gli effetti collaterali .
E così, dopo essere stata per mesi sulla difensiva, Microsoft ha infine ammesso l’esistenza del problema e le responsabilità di Windows. “IE7 aggiorna un componente di Windows, modificando l’interazione tra Internet Explorer e Windows Shell quando gestiscono URL o URI”, si legge in un articolo tecnico appena pubblicato da BigM. “Un aggressore può tentare di sfruttare questa vulnerabilità iniettando degli URI o URL fatti in un certo modo all’interno di un’applicazione e inducendo un utente a compiere un’azione che inneschi la vulnerabilità. Ad esempio, un aggressore potrebbe convincere un utente a seguire il link contenuto in un messaggio di posta elettronica che, una volta cliccato, esegue del codice a sua scelta con gli stessi privilegi dell’utente loggato nel sistema”.
Tutto ciò in Windows Vista non si verifica , perché qui la funzione ShellExecute funziona in modo corretto, scartando automaticamente gli URI non validi. Microsoft ha detto che l’imminente patch renderà la gestione degli URI più sicura anche sotto Windows XP, ciò nonostante l’azienda ha invitato le terze parti a filtrare gli URI anche lato applicazione : due occhi – sembra pensare il colosso – sono meglio di uno.
Come si è detto, tra i software vulnerabili si trovano applicazioni diffusissime come Skype e Adobe Reader. Nel primo il problema è stato corretto alcuni giorni fa, mentre nel secondo sarà sistemato nelle prossime settimane.
Confermando quanto divulgato un paio di settimane fa dall’hacker polacco Petko D. Petkov sul suo blog GNUcitizen.org , Adobe ha infatti pubblicato un advisory di sicurezza che descrive il problema degli URI in Acrobat e Adobe Reader 8.1 e versioni precedenti.
Mentre Petkov non ha mai rivelato i dettagli della vulnerabilità, giustificando la decisione con il desiderio di proteggere gli utenti da un problema potenzialmente molto grave, Adobe è stata costretta a rivelare la natura della falla dopo che, lo scorso venerdì, heise-security.co.uk ha pubblicato un exploit proof of concept capace di lanciare la calcolatrice di Windows.
Come spiegato qui da FrSIRT, la debolezza è causata da una non corretta validazione degli URI di tipo mailto:// . “Un aggressore – si legge nell’avviso – potrebbe sfruttare questa falla per creare dei documenti PDF che, una volta aperti, eseguono dei comandi a sua scelta e gli consentono di prendere il pieno controllo del sistema remoto”.
Nel proprio advisory Adobe fornisce agli utenti le istruzioni su come applicare un workaround temporaneo che prevede la modifica di alcune voci nel registro di Windows.
Maggiori informazioni sul problema degli URI si possono trovare in questo advisory di heise-security.co.uk e in questo articolo di BetaNews.com .