Come preannunciato , nella serata di martedì Microsoft ha divulgato i dettagli di una grave vulnerabilità di sicurezza che interessa un numero potenzialmente elevato di applicazioni.
Dal bollettino MS09-035 si apprende che il componente vulnerabile è l’ Active Template Library ( ATL ), una libreria di classi C++ sviluppata da Microsoft e distribuita insieme a Visual Studio. Tale libreria semplifica la programmazione di oggetti Component Object Model (COM) e controlli ActiveX, e si trova linkata (in modo statico o dinamico) in un imprecisato numero di applicazioni per Windows, sia Microsoft che di terze parti. Lo scenario di attacco è classico : una pagina web o un documento HTML che, una volta aperti in Internet Explorer, eseguono del codice maligno con gli stessi privilegi dell’utente locale.
Una chiara esposizione della vulnerabilità e dei fattori di rischio ad essa collegata è stata fornita in questo post da Feliciano Intini , chief security advisor di Microsoft Italia, che ha spiegato come “non è possibile sapere a priori quali ActiveX presenti in circolazione siano vulnerabili o meno, dal momento che possono esserlo tutti quelli realizzati usando la libreria ATL”.
Intini ha però tranquillizzato gli utenti affermando che gli unici attacchi attualmente noti che sfruttano questa tipologia di problema sono quelli già “schermati” dal bollettino MS09-032 : tale bollettino, pubblicato lo scorso 14 luglio, risolveva una debolezza nel Microsoft Video ActiveX Control.
Per mettersi al sicuro da imminenti nuovi attacchi , il consulente di sicurezza afferma sia sufficiente applicare quanto prima le patch contenute nel bollettino MS09-034, pensate per impedire che Internet Explorer venga utilizzato dai cracker come vettore di attacco per la falla di ATL. Per chi non lo avesse ancora fatto, la raccomandazione è dunque quella di attivare la funzione Aggiornamenti automatici , così da ricevere gli update non appena questi saranno disponibili, e di migrare ad Internet Explorer 8, che fornisce meccanismi di protezione più sofisticati.
Va detto che gli aggiornamenti contenuti nel bollettino MS09-034, tre dei quali non correlati alla debolezza di ATL, interessano tutte le versioni ancora supportate di IE : dalla 5.x alla 8. L’unica versione di Windows immune al problema è Seven .
Per gli sviluppatori è altresì di primaria importanza installare le patch per Visual Studio linkate nel bollettino MS09-35, “e valutare – continua Intini – se i componenti e i controlli realizzati tramite l’uso della libreria ATL siano interessati da questo problema”. Le applicazioni che contengono la libreria incriminata necessitano di essere ricompilate utilizzando la versione aggiornata di ATL: per tale motivo Microsoft raccomanda alle aziende e ai professionisti IT di controllare se le applicazioni di terze parti da loro utilizzate contengono ATL, e in caso affermativo installarne gli aggiornamenti non appena disponibili (eventualmente sollecitando i relativi sviluppatori affinché rilascino tali update).
Per semplificare e velocizzare l’identificazione degli ActiveX vulnerabili, sul sito di ICASI è stato messo a disposizione degli sviluppatori uno scanner gratuito sviluppato da Verizon Business .
Per ogni altro approfondimento sulla vulnerabilità si rimanda al succitato post di Intini e a questa pagina (in inglese) appositamente approntata da Microsoft. ( A.D.R. )