Il 2008 della sicurezza Microsoft avrebbe dovuto finire con 8 patch, invece il bollettino di guerra sta trasformando questo dicembre in uno dei peggiori dell’intera annata. A pochi minuti dal rilascio delle ultime patch, infatti, è già stata scoperta una vulnerabilità in WordPad che va a mettere in pericolo tutti gli utenti Windows sprovvisti delle ultime versioni dei sistemi XP (SP3) o Vista. A poche ore, un ulteriore allarme va invece a minare la sicurezza di Internet Explorer 7, minacciando pertanto anche coloro i quali erano stati risparmiati dalla prima vulnerabilità.
Il problema nel browser Internet Explorer 7 viene giudicato da Secunia (SA33089) come «estremamente grave»: al pari della vulnerabilità di WordPad, insomma, Secunia usa eccezionalmente il massimo grado di pericolosità nella propria scala di giudizio a riprova del fatto che un exploit risulta essere già disponibile ed attivo in rete configurando uno stato di “zero-day” che implica una minaccia immediata per ogni navigatore utilizzante il browser di Redmond.
Il bug è stato identificato da KnowSec nel modo in cui vengono interpretati taluni tag XML e McAfee segnala come in Cina siano già molti gli utenti infettati da siti aventi pagine maligne appositamente formate. L’attacco avviene pertanto in modo del tutto silente e porta nei sistemi il Trojan Downloader-AZN. Il tutto saebbe già stato verificato da Secunia su Windows XP SP3, ma appare possibile il fatto che il problema possa estendersi ad ogni altra versione del sistema operativo.
Il problema è stato confermato anche dalla stessa Microsoft tramite Microsoft Security Advisory 961051), ove l’allarme viene ufficialmente esteso anche a Windows Vista SP1 e Windows Server 2008. La situazione sarebbe sotto monitoraggio tramite Microsoft Active Protections Program (MAPP) e Microsoft Security Response Alliance (MSRA), ma il gruppo al momento non può far altro che consigliare l’uso di antivirus, anti-spyware e firewall a protezione dei propri sistemi. Si segnalano inoltre alcune utili precauzioni per mitigare la pericolosità del momento: la “protected mode” di IE7, l’uso di un basso livello di privilegi sul sistema in uso e l’uso di un alto livello di sicurezza nella navigazione in Rete in linea con la Enhanced Security Configuration in uso su Windows Server 2003 e Windows Server 2008.
Tre i workaround praticamente suggeriti:
- impostare la sicurezza su Internet ed Intranet a livello “High” per prevenire l’esecuzione di ActiveX ed Active Scripting;
- configurare IE al fine di avere notifica delle esecuzioni di Active Scripting (o per la disattivazione preventiva degli stessi);
- abilitare la Data Execution Prevention (DEP) su IE7 (già attiva di default su IE8).
Microsoft notifica inoltre il fatto che l’exploit, al momento, non risulta essere veicolato via mail: il pericolo proverrebbe pertanto esclusivamente dalla navigazione sul web su siti non sicuri.
Allo stato dei fatti Microsoft ha due possibilità: se il problema diviene oltremodo importante, il gruppo potrebbe rilasciare una patch anticipata rispetto al tradizionale ritmo di aggiornamento mensile (il prossimo patch day è previsto per il 13 gennaio); se invece l’allarme non dovesse deflagrare rapidamente, allora il team propenderà per uno sviluppo tranquillo della patch, con tutte le verifiche del caso per evitare problemi collaterali, e distribuirà l’aggiornamento a tempo debito ed in linea con le scadenze abituali. L’ultima patch straordinariamente rilasciata fuori dai tradizionali patch day risale allo scorso ottobre.