Nei giorni scorsi ci sarebbe stato un invio massiccio di email indirizzate verso alcuni dipendenti di grosse aziende. All’interno dei messaggi di posta sarebbe stato inserito un link verso un server contenente una pagina Web ospitante l’exploit, in grado di colpire indifferentemente IE 6, 7 e 8. Solo l’ultimo nato di Redmond, IE 9, risulta immune all’exploit. Con IE8 invece, grazie all’abilitazione di default della Data Execution Prevention (DEP), l’exploit è in grado soltanto di mandare in crash il browser senza consentire l’esecuzione di codice da remoto. Microsoft spiega così la scoperta dell’exploit: «Il codice è stato scoperto su di un singolo sito web che al momento non ospita più l’exploit. Quando il sito è stato scoperto, abbiamo attivato i nostri legali per portare offline il sito». Quando possibile, sottolinea nel bollettino il gruppo, si tenta di reagire immediatamente, in modo tale da guadagnare tempo per sviluppare l’apposito correttivo da apportare al sistema vulnerabile. Il link puntava a una pagina che conteneva uno script che analizzava quale versione del sistema operativo e browser il visitatore stava usando.
.png) |
| http://www.symantec.com/ |
Poiché il problema nella pagina funzionava solo quando qualcuno stava usando I.E. 6 e 7, lo script avrebbe trasferito il visitatore alla pagina che ospitava l'exploit quando questa condizione fosse stata soddisfatta. In altri casi, gli utenti non hanno visto niente, ma un sito web in bianco. I visitatori che sono stati serviti dall'exploit non se ne sono resi conto, ed hanno continuato a scaricare ed eseguire il malware sul proprio computer. La vulnerabilità ha consentito di prendere il comando di qualsiasi programma, eseguito senza alcun preavviso all'utente finale. Una volta infetto, il malware aveva acquisito i diritti per l'avvio del computer, insieme a un servizio denominato 'NetWare Workstation'. Il malware dunque apriva una backdoor sul computer e poi contattava i server remoti. Microsoft ha pubblicato un advisory su questo argomento. Si ritiene difficile che si possano realizzare attacchi pericolosi verso IE8 grazie alla protezione offerta dal DEP. A chi ancora utilizza IE 6 e IE7, Microsoft consiglia l’installazione del Fix IT che consente l’abilitazione della DEP sui vecchi browser.
Nessun commento:
Posta un commento