Ad inizio Giugno Microsoft si è trovata costretta a diramare un bollettino di sicurezza (Security Advisory 2219475) per lanciare l’allarme relativo ad una nuova grave vulnerabilità scoperta in Windows XP. Un primo proof-of-concept dimostrava la serietà del problema, emersa pochi giorni più tardi in tutta la sua gravità a causa di un exploit pubblico registrato online.
Microsoft ha inizialmente sminuito la portata del rischio poichè l’exploit è rimasto per alcuni giorni limitato a pochissimi casi e non tale da indicare la necessità di un immediato intervento. Negli ultimi giorni, però, il problema sembra essersi esteso con grande rapidità ed oltre 10000 utenti sarebbero già stati colpiti. La vulnerabilità è stata identificata a livello di Windows Help and Support Center ed è tale da permettere l’esecuzione di codice forzando la visita su link di tipo “hcp://”.
La vulnerabilità, segnalata dal ricercatore Google Tavis Ormandy, non sembrava suggerire la necessità di una patch al di fuori del ciclo mensile di aggiornamento. Ora che l’appuntamento con il patch day si sta avvicinando, però, l’urgenza sale: gli attacchi sono oggi nell’ordine del migliaio ogni giorno e sono fortemente aumentati a partire dal 21 Giugno in poi. Il malware connesso all’attacco si è presto differenziato, indicando estrema applicazione sull’exploit in virtù dei risultati ottenibili. Due diversi codici offensivi sono già stati identificati (Exploit:Win32/CVE-2010-1885.A e Exploit:Win32/CVE-2010-1885.gen) e ad essi sono stati correlati i seguenti tipi di malware:
- Trojan:Win32/Swrort.A
- TrojanDownloader:Win32/Obitel.gen!A
- Spammer:Win32/Tedroo.AB
- Trojan:Win32/Oficla.M
- TrojanSpy:Win32/Neetro.A
- Virus:JS/Decdec.A
Microsoft consiglia di adottare il workaround indicato nell’apposito bollettino e suggerisce inoltre di utilizzare protezioni quali Microsoft Security Essentials, Microsoft Forefront Client Security o Windows Live OneCare per tenere il sistema al riparo da ogni pericolo. Al momento gli attacchi sono concentrati soprattutto in Portogallo e Russia, mentre l’Italia non compare al momento tra le statistiche di proliferazione diramate. Ma potrebbe essere soltanto questione di tempo.
Il prossimo patch day è previsto per martedì 13 Luglio, data entro la quale è facile presupporre lo sviluppo di una patch in grado di porre rimedio al problema prima che l’infezione si estenda senza controllo.