Da due settimane sono cominciati a comparire pubblicamente i primi codici exploit realmente funzionanti.
Gli attacchi nei confronti della vulnerabilità, ancora irrisolta, presente in Windows XP (oltre che in Windows Server 2003) ed insita nella “Guida in linea e supporto tecnico“, applicazione in grado di gestire l’URI hcp://, stanno aumentando in modo piuttosto preoccupante. Lo conferma Microsoft stessa che spiega: “inizialmente avevamo monitorato solo una serie di indagini legittimamente svolte da alcuni ricercatori. Da metà giugno, invece, sono cominciati a comparire pubblicamente i primi codici exploit realmente funzionanti“. Come si spiega in questa nota, i tecnici del colosso di Redmond hanno rilevato come i tentativi di aggressioni non siano più limitati ad aree geografiche ben specifiche ma tendano ad ampliarsi su una più vasta scala.
Per il momento le aggressioni sono più frequenti in Portogallo e Russia ma sembrano diffondersi anche in molte altre nazioni europee.
A partire dalla scorsa settimana i tecnici di Microsoft hanno individuato la pubblicazione, che appare semi-automatizzata, di pagine html e script PHP contenenti il codice nocivo in grado di sfruttare la falla insita in Windows XP.
Dal momento che non è ancora disponibile una patch risolutiva (dovrebbe essere rilasciata, a questo punto, il prossimo 13 luglio), agli utenti di Windows XP viene consigliato di applicare una soluzione temporanea che consiste nel collegarsi con questa pagina quindi scaricare ed installare il “fix 50459“. Prima di installare la patch ufficiale, non appena questa sarà resa disponibile, suggeriamo di disattivare la correzione temporanea utilizzando il “fix 50460“, offerto attraverso la medesima pagina web.
In alternativa, gli utenti più smaliziati possono accedere al registro di sistema (Start, Esegui, REGEDIT) e portarsi in corrispondenza della chiave HKEY_CLASSES_ROOT\HCP. A questo punto, è bene cliccarvi con il tasto destro del mouse, scegliere il comando Esporta e salvare il contenuto della chiave HKEY_CLASSES_ROOT\HCP all’interno di un file .REG, sul disco fisso. Ad esempio, HCP.REG.
Il passo successivo, per mettersi al riparo da qualunque rischio, consiste nell’eliminare la chiave HKEY_CLASSES_ROOT\HCP (per evitare di danneggiare il contenuto del registro di Windows, ci si accerti più volte di aver selezionato unicamente la sottochiave HCP).
Anche in questo caso, prima di installare la patch Microsoft – non appena sarà distribuita – suggeriamo di fare doppio clic sul file HCP.REG per ripristinare la situazione iniziale.
Il ricercatore che aveva scoperto la falla, Tavis Ormandy, è stato publicamente criticato da parte di Microsoft. La società guidata da Steve Ballmer ha criticato, insieme con altri osservatori, la decisione di Ormandy di rendere pubblici i dettagli tecnici della problematica rendendo altresì disponibile il codice “proof-of-concept” in grado di far leva sulla lacuna di sicurezza. Anche Graham Cluley di Sophos ha definito “irresponsabile” l’operato di Ormandy. Il ricercatore, che lavora anche per Google in qualità di ingegnere software, “ha lasciato a Microsoft solamente cinque giorni di tempo per risolvere il problema prima di pubblicare tutti i dettagli tecnici“, ha commentato Cluley. “Cinque giorni non sono sufficienti perché possa essere sviluppata una patch, che deve essere poi testata in modo approfondito affinché non causi più problemi di quanti possa risolverne“.
Ormandy si era difeso spiegando, in un post comparso su Twitter, che era “stanco di negoziare il rilascio di aggiornamenti nel giro di 60 giorni“. Jerry Bryant (Microsoft) ha confermato l’avvio di un colloquio con Ormandy: “ci trovavamo nella prima fase delle investigazioni relative alla falla segnalataci. Il 6/7 giugno abbiamo comunicato (ad Ormandy, n.d.r.) che non avremmo avuto modo di conoscere la programmazione del rilascio di una patch prima della fine del mese. Siamo rimasti colpiti quando abbiamo visto la pubblicazione dei dettagli sulla vulnerabilità, lo scorso 9 giugno“.
Qualora un utente dovesse trovarsi a visitare una pagina web contenente il codice nocivo, potrebbe verificarsi il download automatico di programmi dannosi che verrebbero poi automaticamente installati. Cluley ha spiegato che trattasi di un classico esempio di attacco “drive-by download“.