Mentre Microsoft è ancora impegnata nello sviluppo di una patch per Internet Explorer che risolva la falla recentemente utilizzata negli attacchi a Google, un esperto di sicurezza ha divulgato i dettagli di una vulnerabilità apparentemente celata in Windows dalla “notte dei tempi”, ovvero dall’anno 1993. Ad esserne interessate sarebbero tutte le versioni a 32 bit di Windows a partire da NT, inclusi XP, Server 2003, Vista, Server 2009 e 7.
Tavis Ormandy , scopritore della falla e information security engineer presso Google, spiega in questo advisory che il problema è legato alla Virtual DOS Machine , e può essere sfruttato per iniettare del codice direttamente nel kernel di Windows: questo potrebbe consentire a un aggressore o a un malware di prendere il controllo delle aree più “sensibili” e protette del sistema, e installare ad esempio key logger o rootkit.
The Register riporta che la società Immunity di Miami ha già aggiunto l’exploit della vulnerabilità al proprio software di auditing indirizzato ai professionisti della sicurezza. La società afferma che l’exploit è stato testato con successo su tutte le versioni di Windows ad eccezione della 3.1.
In attesa che Microsoft rilasci una patch, Ormandy afferma che è possibile proteggersi della debolezza disattivando i sottosistemi MSDOS e WOWEXEC di Windows: per farlo è necessario modificare alcune voci di registro così come spiegato in questo articolo del supporto tecnico di Microsoft. Va rimarcato che disattivando questi due componenti si perde la compatibilità con i vecchi programmi a 16 bit (quelli per DOS e Windows 3.1), ma per la stragrande maggioranza degli utenti questo non dovrebbe essere un problema.
Ormandy sostiene di aver segnalato il bug a Microsoft nel giugno del 2009, tenendone nel frattempo segreti i dettagli: non avendo ricevuto da BigM alcuna risposta, e avendo constatato che il baco è ancora aperto, negli scorsi giorni si è deciso a rendere il problema di pubblico dominio insieme a un exploit dimostrativo.
Contattata da The Register , Microsoft ha fatto sapere, per bocca di un suo portavoce, di stare vagliando l’advisory di Ormandy e di non essere a conoscenza di attacchi che sfruttino questa vulnerabilità.
Ieri il big di Redmond ha anche annunciato che la recente falla di Internet Explorer verrà corretta appena possibile, e al di fuori del suo ordinario ciclo di pubblicazione dei bollettini di sicurezza. Sui rischi e la portata di tale vulnerabilità Microsoft Italia ha recentemente minimizzato .
“Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità – praticamente tutte – e quella seriamente impattate da eventuali attacchi intrusivi – solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB)” ha scritto ieri Feliciano Intini, chief security advisor di Microsoft Italia, sul suo blog.
Alessandro Del Rosso