www.MegaLab.it

Microsoft ha rilasciato nei giorni scorsi l'advisory "Vulnerability in Internet Explorer Could Allow Remote Code Execution" nel quale viene confermata l'esistenza di una vulnerabilità gravissima nel programma. Il baco potrebbe essere sfruttato da un utente ostile per eseguire codice da remoto sul computer delle proprie vittime, prendendone così pieno controllo.

Il difetto risiede nel modo in cui l'applicazione gestisce un puntatore ad un determinato oggetto in memoria: in determinate circostanze, un cracker potrebbe riuscire ad utilizzare tale puntatore anche dopo la de-allocazione dell'area di memoria a cui si riferisce. In tal caso, l'aggressore potrebbe riuscire a sovrascrivere le celle contigue e, di conseguenza, modificarne il contenuto con codice malevolo.

Le modalità con cui è possibile condurre un attacco, come spesso succede quando si tratta di problemi legati al browser web, sono semplicissime: è infatti sufficiente che il cracker induca la propria vittima a visitare una pagina web malformata per far scattare la trappola.

Il colosso sostiene che sono esposte tutte le versioni del navigatore Microsoft attualmente in circolazione, ad eccezione dell'antidiluviano Internet Explorer 5.01 SP4 che accompagna Windows 2000.

Il gruppo spiega di aver rintracciato in rete un exploit realmente funzionante, in grado però di compromettere solamente Internet Explorer 6. Le versioni più recenti potrebbero essere intrinsecamente più difficile da violare anche grazie a tecnologie a protezione della memoria come Protected Mode (Windows Vista e successivi) e Data Execution Prevention (attivo di default solamente su Internet Explorer 8).

Il baco sarebbe attivamente sfruttato solamente per portare attacchi mirati, e non ancora su larga scala. Non è comunque da escludere che la situazione possa cambiare già nel corso dei prossigimi giorni, proprio a causa della diffusione della notizia e dell'exploit.

L'azienda sta attualmente analizzando la questione e, con tutta probabilità, rilascerà presto una patch: un messaggio apparso su Microsoft Security Response Center (MSRC) conferma la possibilità che il gruppo scelga di rilasciare l'aggiornamento prima del consueto ciclo di aggiornamento mensile. Considerando la gravità del problema, tale eventualità appare altamente probabile.

Nel frattempo, Microsoft consiglia di correre ai ripari impostando ad Alto il livello di sicurezza dell'area Internet da Pannello di controllo -> Opzioni Internet -> Sicurezza: tale espediente dovrebbe essere sufficiente a contenere il difetto. È comunque importante ricordare che, così facendo, qualsiasi tentativo di utilizzare il web al di là del mero HTML statico risulterà impossibile

In alternativa, l'advisory raccomanda di configurare Internet Explorer di modo da chiedere esplicita conferma prima di eseguire ogni script oppure abilitare Data Execution Prevention anche per Internet Explorer 6 e 7.

I tedeschi sono preoccupati

L'Ufficio Federale per la Sicurezza Informatica tedesco (BSI) ha invitato la cittadinanza a non sottovalutare il problema: "BSI raccomanda di sostituire Internet Explorer con un browser alternativo almeno fino a quando non verrà rilasciata una patch", si può desumere interpretando la traduzione automatica fornita da Google.

Sempre nel corso dello stesso annuncio, l'Ufficio conferma conferma le previsioni degli esperti "BSI si aspetta che questa vulnerabilità verrà utilizzata in breve tempo per gli attacchi su Internet".

Un exploit già usato contro Google e Yahoo!

Con un post piuttosto dettagliato, McAfee ha spiegato che la stessa vulnerabilità è stata sfruttata nel corso del dicembre scorso in quella che il gruppo ha battezzato "Operazione Aurora", ovvero una serie di attacchi tesi a compromettere i server di aziende quali Google e Yahoo!.

A quanto pare, gli astuti cyber-criminali avrebbero usato la debolezza di Internet Explorer per assaltare i calcolatori di alcune figure di rilievo all'interno di queste aziende, con lo scopo di installare backdoor tramite le quali guadagnare accesso ad informazioni riservate.

Google ha confermato di essere stata oggetto di un attacco di questo tipo, mediante il quale gli aggressori hanno tentato di intrufolarsi nelle mailbox Gmail di alcuni dissidenti e attivisti cinesi allo scopo di sottrarre prove e materiale compromettente. L'aggressione non sarebbe però andata a buon fine, ed i cracker sono quindi riusciti a leggere solamente le informazioni di due account e gli oggetti delle e-mail contenutevi, ma non il testo vero e proprio dei messaggi o i relativi allegati.

Nel corso dell'indagine però, l'azienda ha notato che numerosi account appartenenti a sostenitori dei diritti umani e contestatori della politica cinese di tutto il mondo sono spesso visualizzati da soggetti terzi: in questo caso però, sarebbero gli utenti stessi ad essere stati compromessi, e non il servizio offerto da Google.

In tutta risposta, il colosso del search ha minacciato la possibilità di chiudere i propri uffici locali ed abbandonare del tutto il Paese se il partito non si dimostrerà quantomeno disponibile ad abolire il pesante sistema di filtraggio dei risultati a cui è soggetto Google.cn, dimostrazione di apertura a una direzione maggiormente trasparente e rispettosa dei diritti umani.

C'è davvero il governo cinese dietro a tutto?

Il sospetto è quindi che dietro alle aggressioni possa esservi il governo cinese stesso, impegnato in una manovra di spionaggio su larga scala.

A confermare tale possibilità è anche un nuovo studio pubblicato da iDefence e ripreso in un articolo di Ars Technica: l'azienda ha infatti tracciato i server dai quali sono stati coordinati gli attacchi, arrivando ad identificare una serie di calcolatori che fanno riferimento al Partito comunista cinese.

Da Pechino non pare essere arrivato ancora alcun commento ufficiale in merito ma, se quanto scoperto da iDefence fosse confermato, si tratterebbe sicuramente di una delle più importanti azioni di cyber-guerriglia dell'Internet moderna.