Windows XP è in serio pericolo. Un nuovo bug è stato scoperto in seguito ad un exploit riscontrato online: centinaia di siti web compromessi sarebbero pronti a colpire, portando una commistione di attacchi basati sulla nuova falla zero-day unitamente ad altri bug già risolti da precedenti aggiornamenti. Il problema è stato scoperto in una componente di DirectShow: inizialmente circoscritta all’area cinese, l’infezione sembra già uscita al di fuori della Grande Muraglia andando a colpire anche il sito dell’ambasciata russa negli States. Secunia non sembra aver dubbi: il bug è immediatamente stato etichettato alla massima gravità della scala adottata dalle analisi del gruppo.
La matrice locale originaria dell’attacco appare chiara. I primi siti compromessi sono infatti tutti nel paese orientale ed i domini che l’attacco ha fin da subito tentato di colpire sono identificati da estensioni di tipo .gov.cn o .edu.cn. La situazione è però in costante evoluzione ed è pertanto difficile delineare con esattezza la portata dell’attacco. «Navigando su uno di questi siti (hijacked site #1), la vittima viene inviata su un altro sito (hijacked site #2) che sembra agire come un proxy. In questo caso, se qualcuno guarda il codice sorgente del primo sito (hijacked site #1), vedrà che è linkato ad un sito che appare legittimo. Il secondo sito (hijacked site #2), quindi, è linkato a un sito maligno che ospita un toolkit con l’exploit»: così i laboratori McAfee spiegano a grandi linee il funzionamento dell’attacco.
Il mix di exploit è composito e ne sono state identificate al momento le seguenti componenti:
- Exploit-MSDirectShow.b (0-day)
- Exploit-XMLhttp.d
- Exploit-RealPlay.a
- JS/Exploit-BBar
- Exploit-MS06-014
Ognuno di questi codici, spiega McAfee, colpisce diverse applicazioni alla ricerca di un sistema vulnerabile: Internet Explorer 6, Internet Explorer 7, DirectShow ActiveX, RealPlayer, Baidu Toolbar. La falla mette a rischio i sistemi Windows XP con browser IE6 o IE7. Al tempo stesso IE7 non è vulnerabile su Windows Vista, sistema in grado di annullare la portata dell’attacco zero-day. Secunia aggiunge però all’elenco dei sistemi vulnerabili anche Microsoft Windows Storage Server 2003 e le svariate release disponibili di Microsoft Windows Server 2003.
Secondo il CSIS Security Group la componente vulnerabile è nel file msvidctl.dll, utile per gli streaming video. Microsoft ha confermato l’attacco (primo indizio della gravità dello stesso) sottolineando come l’exploit possa essere mandato in esecuzione senza chiedere la benché minima interazione da parte dell’utente. È questa la caratteristica più pericolosa del bug: una volta avviato il processo di infezione, l’utente non ha possibilità alcuna di intervento. Chi propone l’exploit può pertanto avere accesso al sistema con pari privilegi rispetto all’utente colpito, con tutte le conseguenze del caso.
Il workaround proposto non è certo alla portata dell’utenza media, ma un tool automatico è stato immediatamente messo a disposizione per portare a compimento il giusto correttivo. Il tool è installabile cliccando sull’immagine sottostante ed è reversibile seguendo le apposite indicazioni del supporto Microsoft:
È a questo punto auspicabile un immediato intervento Microsoft a risoluzione definitiva del problema. Le prossime patch del gruppo, però, sono previste per il 14 Luglio ed i tecnici di Redmond hanno a disposizione soltanto pochi giorni per sviluppare la specifica patch e valutarne la bontà per il rilascio. In casi similari Microsoft è intervenuta anche al di fuori del ciclo tradizionale di aggiornamento, ma trattasi di eccezioni particolari dettate dalla gravità del momento. Potrebbe essere questo il caso: centinaia di siti sono già compromessi ed è presumibile il fatto che migliaia di utenti siano pertanto già stati colpiti.