Gli utenti di Windows 2000, XP e 2003 farebbero bene a non premere il tasto F1 se gli viene richiesto da un sito web. Come spiega Microsoft in questo advisory , c’è infatti il rischio che dietro a tale richiesta si celi un attacco mirato ad ottenere il controllo del PC.
La falla di cui dà avviso Microsoft è stata resa pubblica lo scorso venerdì da iSEC Security Research, che in questo advisory fornisce anche il link ad un exploit dimostrativo: l’exploit visualizza un messaggio popup nel browser che invita l’utente a premere il tasto F1. Se l’utente di una versione vulnerabile di Windows cade nel tranello, è possibile eseguire del codice maligno con gli stessi privilegi dell’utente locale.
Perché l’attacco funzioni, l’utente deve usare una versione di Internet Explorer compresa tra la 6 e la 8 con VBScript attivato. IE è però soltanto il vettore di attacco: la debolezza trae origine dal modo in cui VBScript interagisce con i file Windows Help (.hlp). “Passando un file HLP maligno a winhlp32.exe è possibile per un aggressore remoto di eseguire comandi a sua scelta”, si legge nell’advisory di iSEC.
Microsoft rimarca il fatto che le più recenti versioni di Windows – Vista, 2008 e 7 – non sono interessate dal problema. Inoltre l’azienda afferma di non essere a conoscenza di attacchi che sfruttino tale bug.
In attesa del rilascio di una patch, Microsoft raccomanda ai propri utenti di non premere il tasto F1 se richiesto da un messaggio popup e di disattivare controlli ActiveX e Active Scripting in IE. In alternativa è anche possibile cambiare i permessi di winhlp32.exe seguendo le istruzioni fornite nell’advisory ufficiale.
Per approfondimenti è possibile consultare i link forniti in questo post di Feliciano Intini, security and privacy initiative lead di Microsoft Italia.
Alessandro Del Rosso