Gli attacchi nei confronti della vulnerabilità, ancora irrisolta, presente in Windows XP (oltre che in Windows Server 2003) ed insita nella "Guida in linea e supporto tecnico", applicazione in grado di gestire l'URI hcp://, stanno aumentando in modo piuttosto preoccupante. Lo conferma Microsoft stessa che spiega: "inizialmente avevamo monitorato solo una serie di indagini legittimamente svolte da alcuni ricercatori. Da metà giugno, invece, sono cominciati a comparire pubblicamente i primi codici exploit realmente funzionanti".
A partire dalla scorsa settimana i tecnici di Microsoft hanno individuato la pubblicazione, che appare semi-automatizzata, di pagine html e script PHP contenenti il codice nocivo in grado di sfruttare la falla insita in Windows XP. Sfruttare il difetto parrebbe estremamente semplice: stando a quanto si legge nel messaggio, l'aggressore non dovrebbe far altro che indurre i propri obbiettivi a cliccare su un semplice link creato ad hoc all'interno di pagine web oppure di e-mail o altri documenti off-line.
Questo farebbe scattare la trappola in maniera del tutto automatica e, grazie ad un abile perfezionamento della tecnica, senza mostrare alcuna schermata di conferma o avviso. Dal momento che non è ancora disponibile una patch risolutiva (dovrebbe essere rilasciata, a questo punto, il prossimo 13 luglio), agli utenti di Windows XP viene consigliato di applicare una soluzione temporanea che consiste nel collegarsi con questa pagina quindi scaricare ed installare il "fix 50459".
In alternativa, gli utenti più smaliziati possono accedere al registro di sistema (Start, Esegui, REGEDIT) e portarsi in corrispondenza della chiave HKEY_CLASSES_ROOT\HCP. A questo punto, è bene cliccarvi con il tasto destro del mouse, scegliere il comando Esporta e salvare il contenuto della chiave HKEY_CLASSES_ROOT\HCP all'interno di un file .REG, sul disco fisso. Ad esempio, HCP.REG.
Il passo successivo, per mettersi al riparo da qualunque rischio, consiste nell'eliminare la chiave HKEY_CLASSES_ROOT\HCP (per evitare di danneggiare il contenuto del registro di Windows, ci si accerti più volte di aver selezionato unicamente la sottochiave HCP).
Anche in questo caso, prima di installare la patch Microsoft - non appena sarà distribuita - suggeriamo di fare doppio clic sul file HCP.REG per ripristinare la situazione iniziale. Qualora un utente dovesse trovarsi a visitare una pagina web contenente il codice nocivo, potrebbe verificarsi il download automatico di programmi dannosi che verrebbero poi automaticamente installati. Cluley ha spiegato che trattasi di un classico esempio di attacco "drive-by download".
Via: Il Sole 24 Ore
Nessun commento:
Posta un commento