A rischio gli utenti delle versioni 6.0, 7.0 e 8.0 del browser. Già disponibile il codice Exploit. I rimedi per difendersi
Il 2010 è stato un anno particolarmente impegnativo dal punto di vista della
sicurezza. Nuovi e più pericolosi malware si sono affacciati sulla scena internazionale
ponendo problematiche mai affrontate in passato.
La stessa Microsoft ha concluso l’anno con un “patch
day” davvero pingue: il colosso di Redmond, infatti, ha pubblicato ben
17 bollettini di sicurezza sanando qualcosa come circa una quarantina di vulnerabilità.
Come ricorda Marco Giuliani, Malware Technology Specialist per Prevx, tuttavia,
ci sono ancora due exploit zero-day ancora irrisolti. Tra l’altro, delle due
lacune di sicurezza insanate, si conoscono già i dettagli tecnici online. “Combinate
assieme“, osserva Giuliani “le vulnerabilità possono provocare l’acquisizione
di privilegi più elevati e l’esecuzione di codice dannoso“.
Gli utenti delle versioni 6.0, 7.0 e 8.0 di Internet Explorer sono interessati
da un problema di sicurezza che può causare l’esecuzione di codice potenzialmente
nocivo visitando una pagina web allestita da un aggressore.
La falla risiede nel file mscorie.dll
e può essere presa di mira da un malintenzionato semplicemente elaborando un
file Css (foglio di stile) con determinate caratteristiche. Il codice exploit
è stato già pubblicato su uno dei più famosi framework per il lancio di attacchi
ed è quindi disponibile a chiunque ne volesse fare uso.
Windows Vista e Windows 7 integrano le funzionalità di protezione Aslr
(“Address Space Layout Randomization“) e Dep (“Data
Execution Prevention“) che, in teoria, dovrebbero difendere il sistema dell’utente
da aggressioni simili a quella descritta e che interessa Internet Explorer.
“Questa volta, però, potrebbero esserci delle spiacevoli sorprese“,
ha aggiunto Giuliani. Il codice exploit è infatti capace di “bypassare” Aslr
facendo leva su una libreria parte integrante del .Net framework 2.0 di Microsoft.
La seconda versione del pacchetto è installata in modo predefinito sia su
Vista che su Windows 7 e, grazie al fatto che la libreria mshtml.dll
viene caricata nello stesso indirizzo di memoria, entro il processo utilizzato
da Internet Explorer, l’aggressore può “dribblare” Aslr ed eseguire il “payload”
dannoso.
“Ad ogni modo“, continua Giuliani “essendo stato eseguito nella cosiddetta
Protected Mode, l’exploit non dovrebbe riuscire a compiere modifiche sul sistema
operativo“.
In pratica, il codice nocivo non dovrebbe comunque riuscire ad acquisire i
privilegi necessari per compiere le operazioni più dannose. “Questo mese,
però, un gruppo di ricercatori ha pubblicato un documento che illustra una metodologia
per liberarsi dei paletti fissati dalla Protected Mode. (…) Alcune delle tecniche
sfruttate erano già note seppur non dettagliate pubblicamente“.
Internet Explorer gestisce i siti web via a via visitati impiegando quattro
differenti aree o zone: Internet, Intranet locale, Siti attendibili e
Siti con restrizioni. Tutti i siti web ospitati su server remoti vengono
elaborati in Protected Mode (così come quelli “con restrizioni“). Gli
altri (ad esempio quelli richiamati dalla rete locale o Intranet) non
vengono gestiti all’interno di tale modalità.
Giuliani fa un esempio pratico: “il primo exploit potrebbe essere eseguito
da remoto quindi lo stesso payload potrebbe impostare un semplice web server
locale indirizzando le richieste operate tramite Internet Explorer a tale web
server. Sarà così utilizzato, di nuovo, il primo exploit che permetterà di eseguire
codice nocivo sul sistema, all’infuori della Protected Mode“.
Ma com’è possibile difendersi da questo pericoloso attacco? Le possibilità sono
essenzialmente due: la prima consiste nell’installazione del tool di sicurezza
Emet 2.0. Sviluppato da Microsoft stessa, Emet
consentirà di “imbrigliare” anche la libreria mscorie.dll
attivando Aslr su tutti i componenti richiamati dal browser del gigante di Redmond.
In alternativa – ed è questo il suggerimento destinato agli utenti di Internet
Explorer meno esperti -, è possibile accedere alla finestra delle opzioni del
browser (menù Strumenti, Opzioni Internet), cliccare sulla scheda Sicurezza,
selezionare tutte le aree (compresa Intranet locale) ed attivare la casella
“Attiva modalità protetta“.