Cerca nel blog

2010/06/17

Nuova falla in XP, è già usata dai criminali online

Dipendente di Google in Svizzera rivela falla in Windows XP; criminali la sfruttano subito


Questo articolo vi arriva grazie alle gentili donazioni di "p2o5" e "luca.p*".

Tavis Ormandy, uno degli esperti di sicurezza informatica di Google che lavora in Svizzera, ha scoperto una falla molto grave in Windows XP e ha dato a Microsoft solo cinque giorni di tempo per realizzare e distribuire il rattoppo prima di annunciarne pubblicamente i dettagli nella lista Full Disclosure.

La falla, classificata con il codice CVE 2010-1885, riguarda il Centro assistenza di Windows (l'Help and Support Center) e consente all'aggressore di eseguire comandi a proprio piacimento sul computer della vittima semplicemente inducendo la vittima stessa a visitare un sito Web appositamente confezionato o a cliccare su un link in un messaggio di posta. L'attacco funziona con tutti i principali browser, compreso Internet Explorer 8 e quelli alternativi come Firefox o Chrome, ed è ancora più semplice da realizzare se il computer bersaglio ha installato Windows Media Player (che è installato automaticamente in tutte le versioni principali di Windows). Brutto affare.

La cosa non è piaciuta ad altri ricercatori di sicurezza (Graham Cluley di Sophos, Robert Hansen di SecTheory e Andrew Storms di nCircle Security, sentiti da Computerworld), che hanno ritenuto poco prudente la divulgazione dei dettagli della vulnerabilità: solitamente in questi casi si contatta Microsoft informandola con discrezione della falla scoperta, eventualmente si collabora alla sua correzione, e solo allora – quando gli utenti sono protetti – si divulgano i dettagli. Secondo Ormandy, invece, l'annuncio della falla dopo soli cinque giorni è stato necessario proprio a causa della sua gravità e perché Microsoft, a suo dire, avrebbe ignorato l'avviso se non fosse stato accompagnato da una dimostrazione funzionante.

Alcuni di questi ricercatori pensano che si tratti di una schermaglia nella guerra in corso fra Microsoft e Google: una sorta di "Vedete? Ve l'avevo detto" per giustificare la criticata scelta di Google, segnalata a fine maggio dal Financial Times, di eliminare Windows dai computer dei propri dipendenti e sostituirlo con Linux o Mac OS X, adducendo problemi di sicurezza. Non va dimenticato che Google presenterà ufficialmente il proprio sistema operativo, concorrente di Windows, entro la fine di quest'anno.

Il risultato di tutto questo è che è già stato segnalato il primo sito innocente nel quale è stata inserita dai criminali una forma di attacco che sfrutta la vulnerabilità divulgata da Ormandy per depositare un cavallo di Troia nei computer delle vittime. Il sito attaccato è stato ripulito e nel frattempo Microsoft ha pubblicato uno strumento di correzione che risolve temporaneamente la falla in attesa di un rattoppo formale e definitivo. Questo strumento va usato dagli utenti di Windows Server 2003 e Windows XP; chi usa Windows Vista, Windows Server 2008, Windows 2000 e Windows 7 non è a rischio. Un rischio che forse si poteva gestire un po' meno avventatamente.

Maggiori informazioni sulla falla sono disponibili nel blog di sicurezza di Microsoft Technet.com e nell'avviso di sicurezza 2219475 della stessa Microsoft.

Nessun commento: