Cerca nel blog

2006/01/05

Falla WMF, lo spiegone di Microsoft

Questo articolo vi arriva grazie alle gentili donazioni di "lucky962it", "m.varie" e "amotta".

Microsoft ha pubblicato una pagina in italiano di spiegazione della falla WMF già descritta in altri articoli di questo blog. La prima parte è un esercizio di arrampicamento sugli specchi per cercare di far credere che la falla non sia poi così grave:

"un utente malintenzionato che sfrutti questa vulnerabilità non ha alcun modo per obbligare gli utenti a visitare un sito Web dannoso. L'utente malintenzionato dovrebbe indurre le vittime a visitare il sito, in genere persuadendole a fare clic su un collegamento che le indirizzi al sito Web di origine dell'attacco."

Come se questo fosse difficile... In pratica, siccome non c'è modo di distinguere un link malintenzionato da uno onesto (perché chiunque può pubblicare, anche su un sito onesto come eBay o Flickr o un blog, un link che porta a un "sito Web dannoso"), questo paragrafo significa ammettere che non bisogna cliccare su nessun link, in assoluto, in nessuna pagina Web. Che bello. Tanto vale smettere di usare Internet. E' come dire "certo, la nostra automobile s'incendia se la accendi e la usi normalmente, ma basta non accenderla e non si corre alcun pericolo... non è un problema grave".

Giusto per dare un'idea di quanto sia difficile distinguere un sito ostile da uno onesto, date un'occhiata a questa serie di schermate di siti infetti pubblicata da ZdNet.

Microsoft minimizza ulteriormente dicendo che

In un attacco basato sulla posta elettronica, i clienti dovrebbero essere persuasi a selezionare un collegamento all'interno di un messaggio e-mail dannoso o ad aprire un allegato in grado di sfruttare tale vulnerabilità.

Anche questo, come dimostrano i tantissimi attacchi di phishing, non è particolarmente difficile, e signica che non si deve più cliccare su nessun link presente in un e-mail (anche in quelli provenienti da persone fidate, perché l'indirizzo del mittente potrebbe essere stato falsificato) e non bisogna aprire nessun allegato. Non poter fare queste due cose rende praticamente inutile la posta, ma a parte questo, va tutto bene, madama la marchesa.

Finito il pistolotto, zio Bill dice finalmente qualcosa di utile:

Sia nel caso di attacchi basati sulla posta elettronica che in quelli basati sul Web, il codice verrebbe eseguito nel contesto di protezione dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo è effettivamente un buon consiglio. Bisognerebbe fare quello che fanno gli utenti Mac e Linux, ossia creare sul proprio computer due utenti: uno privilegiato e onnipotente (l'amministratore del sistema), da usare esclusivamente per la manutenzione e l'intervento tecnico; e uno con privilegi minimi, da usare per l'attività normale. In questo modo, se si viene attaccati, il danno è limitato ai dati dell'utente non privilegiato e non intacca il sistema operativo.

Il problema è che molti programmi per Windows non funzionano correttamente se usati da un utente non privilegiato, grazie al diffuso malcostume (diffuso grazie al modo in cui Microsoft preinstalla Windows) di usare Windows con privilegi massimi sempre e comunque, per cui molte società di software non si prendono la briga di confezionare correttamente i propri programmi.

Lo spiegone di Microsoft prosegue dando istruzioni in italiano su come disattivare (e poi riattivare, quando sarà pronta la correzione definitiva) il componente fallato e sulle conseguenze di questa disattivazione.

Nelle domande più frequenti c'è inoltre un utile elenco di società antivirali che offrono protezione contro questa falla. Aggiungo che Future Time, che distribuisce in Italia il noto software antivirus Nod32, ha preparato una patch non ufficiale alternativa a quella segnalata nel mio articolo precedente.

Infine, una nota tecnica poco confortante: secondo Microsoft, l'attivazione della funzione DEP, consigliata da molti siti di sicurezza, funziona soltanto se attivata a livello hardware:

La funzionalità Protezione esecuzione programmi basata sul software non riduce la vulnerabilità mentre, se applicata a livello di hardware, potrebbe avere esito positivo quando è abilitata. Rivolgersi al produttore dell'hardware per ottenere ulteriori informazioni su come abilitare questa funzionalità e per sapere se è in grado di ridurre la possibilità di attacchi.

Ciao da Paolo.

Nessun commento: