Windows vittima delle immagini killer

Windows vittima delle immagini killer

Su Internet stanno circolando delle immagini in formato WMF che, sfruttando una vulnerabilità senza patch, installano in Windows XP cavalli di Troia e altri tipi di malware - UPDATED
Su Internet stanno circolando delle immagini in formato WMF che, sfruttando una vulnerabilità senza patch, installano in Windows XP cavalli di Troia e altri tipi di malware - UPDATED


Roma – Nella comunità internazionale di esperti di sicurezza è allarme rosso. Ieri, sulla celebre mailing-list di sicurezza Bugtraq , è infatti apparso un advisory che descrive una vulnerabilità di Windows XP zero-day : ciò significa che sebbene il bug sia appena stato scoperto, su Internet già circola un exploit in grado di sfruttarlo.

Il problema è causato da una non corretta gestione, da parte del motore di rendering di Windows, di certi file grafici in formato Windows Metafile ( WMF ): un file WMF malformato può eseguire, una volta aperto, del codice dannoso con i massimi privilegi di sistema.

Va posta attenzione sul fatto che, seppure fra loro molto simili, quella di cui si parla non è la stessa vulnerabilità corretta da Microsoft lo scorso novembre .

A rendere la situazione piuttosto critica c’è il fatto che almeno un paio di siti web stanno già sfruttando la vulnerabilità per diffondere cavalli di Troia e altri tipi di malware. A correre i rischi maggiori sono gli utilizzatori di Internet Explorer, che possono infettarsi semplicemente aprendo una pagina web contenente un file WMF nocivo. Chi usa altri browser, come Firefox e Opera, può infettare il PC solo nel caso in cui autorizzi il proprio browser a scaricare ed eseguire l’immagine WMF: in tale evenienza il file viene aperto con il viewer d’immagini integrato in Windows. Pare tuttavia che le più recenti versioni di Firefox, inclusa la 1.5, associno erroneamente i file WMF al Windows Media Player: dato che questo programma non è in grado di gestire tali file, il codice maligno in essi incluso non viene eseguito.

L’exploit funziona su tutte le versioni di Windows XP e Windows Server 2003, incluse quelle a cui siano state applicate tutte le patch e i service pack (v. update a fine pagina).

È interessante notare come la tecnologia DEP (Data Execution Prevention), introdotta da Microsoft con gli ultimi service pack per Windows XP e Server 2003, sembra in grado di bloccare l’esecuzione del codice dannoso: stando a quanto riportato nel blog dell’Internet Storm Center (ISC), la DEP ha dimostrato la sua efficacia in presenza di un Athlon 64. Il meccanismo di sicurezza dovrebbe tuttavia funzionare con tutte le CPU di AMD e di Intel dotate del famoso ” bit NX “.

Data la gravità del problema, che Secunia non ha esitato a classificare come “extremely critical”, è certo che in Microsoft qualcuno passerà il Capodanno a sviluppare una patch. Nell’attesa, gli esperti raccomandano agli utenti di non aprire file WMF provenienti da fonti non attendibili e di impostare, in IE, il livello di protezione massimo ( Strumenti -> Opzioni Internet -> Protezione -> Livello predefinito -> Alta ).

Update (ore 12,30) – In questa pagina l’ISC fornisce nuove informazioni aggiornate sulla minaccia e su alcune soluzioni temporanee. L’ISC precisa anche che la tecnologia DEP funziona solo se si imposta il livello massimo di protezione e, anche in questo caso, non risulta sempre efficace. Nelle scorse ore anche Microsoft ha pubblicato un advisory in cui spiega, fra le altre cose, come la vulnerabilità interessi potenzialmente tutte le versioni di Windows (dalla 98 in poi). Il big di Redmond afferma tuttavia che in Windows Server 2003 il problema è mitigato dalle restrizioni applicate di default a IE.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
29 dic 2005
Link copiato negli appunti