www.MegaLab.it

Vista la gravità del problema, Microsoft ha rilasciato da poche ore una patch ufficiale fuori dal consueto ciclo di aggiornamenti mensili. L'hotfix, da considerare di primaria importanza, può essere scaricato mediante Windows Update oppure partendo da qui.

È altissimo il livello di preoccupazione negli ambienti security internazionali. A tener svegli gli esperti è una nuova falla dal potenziale davvero enorme che affligge Windows 2000, Windows Server 2003, Windows XP ed anche Windows Vista.

Questa è una di quelle grosse...

Il problema

Un baco nel file incaricato di renderizzare i puntatori del mouse in formato .ani (un formato reso popolare da Plus! per Windows 95 che consente di realizzare cursori animati) potrebbe consentire ad un utente ostile di realizzare un file malformato, in grado di causare problemi a pericolosità variabile fra il blocco totale del sistema e l'esecuzione di codice da remoto.

Tre sono attualmente le metodologie di attacco mediante le quali sfruttare il problema.

La prima, consiste nel trasmettere il file malformato: grazie alla funzionalità di anteprima integrata in Windows, la vittima non dovrà nemmeno aprire il file, ma rimarrà immediatamente compromesso. Un video edito da McAfee offre una dimostrazione pratica del problema: come si vede, il file salvato sul desktop manda in crash continuo il sistema, costringendo ad un reset forzato, dopo il quale comunque il processo di crash riprende. Uscire da una situazione del genere richiede una padronanza nell'uso del personal non indifferente.

La seconda modalità invece consiste nel veicolare il puntatore malformato attraverso una pagina web oppure una e-mail in formato HTML, convincendo la vittima a visualizzare la pagina utilizzando Internet Explorer oppure un mailer quale Outlook Express, Windows Vista Mail oppure Microsoft Office Outlook. The Register sostiene comunque che utilizzando un navigatore differente, quale Firefox oppure Opera, l'utente sia al sicuro da questo secondo tipo di attacco. Nel capitolo Mitigating Factors del Security Adivsor prontamente rilasciato, Microsoft precisa comunque che la versione di Internet Explorer 7 presente in Windows Vista non è afflitta dal problema, poiché tipicamente in esecuzione in "protected mode" (a patto, è importante precisarlo, che la tanto discussa funzionalità User Account Protection (UAC) sia mantenuta attiva).

Il terzo modo con cui il file potrebbe raggiungere il sistema è invece all'interno di un documento che consenta di incorporare file esterni, come ad esempio i vari formati di Microsoft Office. Questo terzo scenario è comunque meno pericoloso, poiché sarebbe necessario che l'utente aprisse volontariamente il documento infetto per innescare il meccanismo malevolo.

Quali rischi?

Secunia ha classificato il problema come Extremely Critical, una etichetta attribuita solo in casi davvero gravi.

Il rischio infatti è che un cracker sfrutti il baco per eseguire codice da remoto in modo pressoché automatico. Nessun allegato da aprire, nessuna azione da compiere se non visualizzare una e-mail o una pagina web malevola, e ci si può ritrovare con una backdoor installata, in grado di consentire all'aggressore di prendere pieno controllo del sistema.

Stiamo parlando quindi di problemi quali la sottrazione di informazioni riservate (le credenziali di accesso al servizio di e-banking, tanto per dirne una..), la cancellazione di file (magari a scopo di estorsione), o anche cose più stravaganti come l'accensione della webcam o del microfono in modo da spiare la propria vittima.

Ancora, il cracker potrebbe scegliere di installare un proxy nascosto, di fatto utilizzando il sistema bersagliato per navigare in modo anonimo su siti illegali (si pensi solo a materiale pedopornografico), oppure portare attacchi verso terze parti.

Come arginare

Il rischio è ben più che teorico: un exploit funzionante infatti è già in circolazione. Microsoft si è detta già al lavoro per realizzare una patch, ma il processo potrebbe richiedere ancora tempo.

In attesa, le raccomandazioni sono di utilizzare un browser non vulnerabile per navigare il web ed evitare l'uso dei mailer menzionati, magari preferendo la lettura della posta via web mail almeno fino a quando l'allarme non sarà rientrato.

Ben più difficile arginare la possibilità di sfruttare il problema ricevendo il file. Il consiglio migliore potrebbe essere quello di non accettare documenti da fonti non sicure (cosa comunque più facile a dirsi che a farsi in ambiente aziendale...), e comunque mantenere super-aggiornato l'anti virus: già da lunedì i principali produttori rilasceranno definizioni aggiornate in grado, si spera, di rilevare tempestivamente il file malformato.