In questi giorni Microsoft si trova ad affrontare quella che, per molti esperti, è la più seria vulnerabilità zero-day finora scoperta nel giovane Windows Vista. Tale debolezza interessa però anche tutte le versioni ancora supportate di Windows, e viene già sfruttata da certi aggressori per lanciare attacchi via web o via email.
Resa pubblica da Avert Labs di McAfee, la falla consiste in un errore di buffer overflow nel codice di Windows che gestisce i file dei cursori animati (con estensione “.ani”). Più nel dettaglio, la libreria user32.dll di Windows non controlla in modo coerente la dimensione dell’header incluso in un file “.ani”: ciò permette ad un malintenzionato di creare un cursore animato che, una volta aperto, inneschi il bug ed esegua il codice dannoso.
Il file maligno può essere incluso in un qualsiasi documento HTML , come una pagina Web o un email HTML. Ciò significa che un aggressore può tentare di sfruttare la vulnerabilità creando una pagina web o un messaggio di email che, una volta aperti, causino l’apertura di un file “.ani” malformato da parte di Windows Explorer. Più semplicemente, un’email potrebbe contenere il file “.ani” come allegato. A rendere un attacco di questo genere ancor più subdolo interviene il fatto che il file maligno può anche avere un’estensione diversa da “.ani” : ad esempio, sono già stati segnalati exploit che utilizzano l’estensione “.jpg”, camuffando così un cursorse animato malevolo in innocua foto.
In questo video , pubblicato sul blog di Advert Labs, è possibile vedere come la copia di un file “.ani” malformato sul desktop di Vista causi il ripetuto crash di Windows Explorer. Exploit meno benigni potrebbero sfruttare la breccia per installare malware e backdoor .
In questo advisory Microsoft spiega che il vettore d’attacco può essere rappresentato da Internet Explorer, Outlook, Outlook Express e Windows Mail , ma con varie eccezioni e condizioni:
a) Outlook 2007 è immune al problema perché visualizza le email utilizzando il motore di Word;
b) la modalità protetta di Internet Explorer 7, attiva di default, è in grado di proteggere gli utenti dagli attuali exploit;
c) gli utenti di Outlook 2002 e Outlook 2003 possono difendersi dalla vulnerabilità leggendo le email HTML in puro testo. Questo accorgimento vale anche per Windows Mail, a patto che non si risponda (reply) al messaggio maligno né lo si inoltri (forward);
d) in generale, sotto Windows Vista la pericolosità delle falla è mitigata da vari meccanismi di sicurezza, primo fra i quali lo User Account Control (UAC). Ciò non toglie che il sistema operativo sia comunque vulnerabile a livello di shell, facendone il potenziale bersaglio di vari tipi di attacco.
Va sottolineato che Outlook Express e IE 5.x e 6 non offrono alcuna difesa per questo bug : per tale ragione gli esperti raccomandano agli utilizzatori di questi software di usare particolare cautela nell’aprire pagine web non affidabili o email provenienti da mittenti sconosciuti.
Un elenco dei workaround attualmente conosciuti per la vulnerabilità è stato pubblicato da US-CERT in questa pagina .
Sia FrSIRT che Secunia considerano il problema della massima pericolosità, mentre Internet Storm Center ha portato l’ INFOCon , l’indice che misura lo stato di allerta su Internet, da verde a giallo . Quest’ultima ha giustificato questa decisione con il fatto che su Internet circolano già diversi exploit pubblici sfruttati da un crescente numero di siti maligni . Ma, come accennato, non ci sono solo siti in ballo: nelle scorse ore sono stati segnalati anche worm e messaggi di spam , mentre iDefense ha scoperto l’esistenza di un toolkit che permette di creare, con pochi clic del mouse, attacchi web-based capaci di sfruttare la falla dei cursori animati.
Microsoft non ha detto quando rilascerà una patch , ma la data più probabile è il 10 aprile, giorno in cui saranno pubblicati i tradizionali bollettini mensili di sicurezza ( Update , ore 10,30: Microsoft ha fatto sapere che rilascerà una patch domani, 3 aprile). Per chi non desidera aspettare, eEye Digital Security ha già messo a disposizione una patch non ufficiale : a tal proposito va però ricordato che Microsoft disapprova l’applicazione di fix sviluppati da terze parti, perché potrebbero causare instabilità e altri effetti collaterali difficilmente diagnosticabili.
Sebbene la vulnerabilità sia stata resa pubblica da McAfee pochi giorni addietro, la paternità della scoperta va attribuita a Determina Security Research , la quale afferma di aver segnalato il problema a Microsoft lo scorso 20 dicembre. Un portavoce del big di Redmond ha confermato che “stiamo collaborando con Determina fin da quando quest’ultima ci ha avvisato del problema, lo scorso dicembre”. Interrogato sul perché in questo periodo non sia stato pubblicato un fix, il portavoce ha sottolineato come il processo di verifica e correzione dei bug sia complesso e laborioso.
Nel proprio advisory Determina afferma per altro che l’attuale vulnerabilità è correlata ad una scoperta di Eye che risale a due anni e mezzo fa: la società sostiene che la patch all’epoca rilasciata da Microsoft con il bollettino MS05-002 mancò di risolvere completamente il problema.
Determina ritiene inoltre che tra i vettori di attacco della debolezza potrebbe esserci anche Firefox , che al pari di altre applicazioni demanda la gestione dei cursori e delle icone alle API standard di Windows. Al momento, tuttavia, non si ha notizia di exploit che utilizzino il browser di Mozilla come testa di ponte.
Negli scorsi giorni FrSIRT ha segnalato anche un bug a basso rischio nell’ATI Radeon Kernel Mode Driver ( atikmdag.sys ) per Windows Vista.