www.MegaLab.it

Un ricercatore impiegato presso Google ha segnalato ieri sulla mailinglist Full Disclosure un nuovo, potenzialmente gravissimo problema di sicurezza che interessa Windows XP e Windows Server 2003 (le versioni successive sono immuni, così come Windows 2000).

Il messaggio scende in una serie di interessanti dettagli tecnici inerenti il difetto. In linea di massima comunque, l'esperto spiega di aver scoperto che il protocollo hcp://, studiato per invocare da qualsiasi programma (fra cui i browser web) specifici documenti della guida in linea, può essere utilizzato in modo malizioso per eseguire codice a piacimento sul PC della vittima e, di conseguenza, prenderne pieno controllo attraverso Internet.

Sfruttare il difetto parrebbe estremamente semplice: stando a quanto si legge nel messaggio, l'aggressore non dovrebbe far altro che indurre i propri obbiettivi a cliccare su un semplice link creato ad hoc all'interno di pagine web oppure di e-mail o altri documenti off-line. Questo farebbe scattare la trappola in maniera del tutto automatica e, grazie ad un abile perfezionamento della tecnica, senza mostrare alcuna schermata di conferma o avviso.

Al momento non sono ancora state segnalate aggressioni perpetrate facendo leva su questo specifico bug, ma l'avviso originale è corredato da codice dimostrativo funzionante che, benechè sia indirizzato principalmente ad amministratori di sistema interessati a valutare la gravità del problema, finirà ben presto anche nelle mani dei cyber-criminali.

Microsoft Security Response Center ha confermato il tutto con un post ben poco soddisfatto, a causa delle modalità con le quali l'esperto ha gestito la situazione. Invece di segnalare pubblicamente il baco, spiega Microsoft, una comunicazione privata con l'azienda avrebbe consentito di preparare una patch con più calma, a tutto vantaggio degli utenti.

Ad ogni modo, la replica di MSRC tranquillizza i clienti: il gruppo rilascerà un advisory formale già nelle prossime ore e, frattanto, è già al lavoro per preparare una patch in grado di chiudere la voragine.

L'advisory è stato pubblicato: si veda "Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution".

È senz'altro possibile che, considerata la gravità del baco, Microsoft scelga di pubblicare l'aggiornamento prima del consueto appuntamento mensile. In caso contrario, ricordando che il bollettino di giugno è uscito appena martedì scorso, sarebbe necessario attendere il secondo martedì di luglio.

I più cauti e tutti gli amministratori che si trovino a lavorare in ambienti in cui la sicurezza sia considerata una priorità possono applicare un semplice rimedio temporaneo per arginare il difetto: aprire l'editor del registro di configurazione (Start -> Esegui -> regedit), portarsi al ramo HKEY_CLASSES_ROOT ed eliminare la chiave HCP. Tale manovra, pur rendendo il sistema immune dalla falla, finisce però anche per inibire il corretto funzionamento dei link leciti alle pagine della guida, come quelli presenti nel Pannello di Controllo.