Un link opportunamente preparato ed inserito all’interno di una e-mail potrebbe sfruttare una falla nella sicurezza di Windows Mail, programma che sostituisce Outlook Express in Windows Vista, e permettere l’esecuzione nei Pc di alcuni file eseguibili, il tutto senza generare alcun messaggio di avviso. Tale vulnerabilità è stata riportata venerdì scorso all’interno della popolare mailing list dedicata alla sicurezza informatica Full Disclosure.
Il meccanismo riportato, però, presenta una forte limitazione: il collegamento, una volta attivato, può lanciare un file eseguibile o uno script solamente se già presente nel computer che ospita Windows Mail e se inoltre nel sistema esiste già una cartella con lo stesso nome del file. Ad esempio, se nel computer della vittima è presente in C: una cartella chiamata “pippo” e in C: uno script chiamato “pippo.bat”, il link contenuto nella mail potrebbe avere come target “C:/pippo” e lanciare il file “pippo.bat”.
Come riportato da CNet, Microsoft sta indagando sul problema e un suo rappresentante ha confermato il tutto tramite e-mail: «come pratica raccomandata, gli utenti dovrebbero prestare sempre la massima attenzione quando attivano un link presente in un messaggio di posta inatteso ricevuto da un mittente conosciuto o sconosciuto». Microsoft sostiene comunque di non essere a conoscenza di attacchi compiuti utilizzando tale vulnerabilità e segnala che al termine delle indagini verrà rilasciato un aggiornamento di sicurezza.
Dave Marcus, security research e communications manager di McAfee, giudica il rischio a cui sono esposti gli utenti di Windows Mail decisamente significativo: «teoricamente gli attacker possono fare molte cose: saranno in grado di passare qualsiasi comando tramite tale [vulnerabilità]». Il rischio è comunque decisamente attenuato dal fatto che Windows Vista è un sistema operativo ancora poco diffuso, aggiunge Marcus, dicendosi inoltre molto fiducioso sul rilascio di una patch da parte di Microsoft.