martedì 18 settembre 2012

Pericolosa falla 0-day in Internet Explorer colpisce tutti i sistemi Windows


Microsoft ha notificato attraverso un advisory di sicurezza l'esistenza di una falla zero-day in Internet Explorer. I tecnici di Redmond stanno lavorando a una patch correttiva, ma in attesa del rilascio è possibile ricorrere ad un workaround. La società ha invitato gli utenti di Internet Explorer 9 e precedenti versioni di adottare misure per proteggere i computer dagli attacchi pubblici sul buco di sicurezza recentemente scoperto da da Eric Romang, IT Security Advisor presso e-Business & Resilience Centre e Co-fondatore CTO di ZATAZ.com.

Secondo il ricercatore la falla sfrutta una vulnerabilità use-after-free in Internet Explorer 7, 8 e 9, su sistemi Windows XP, Vista e 7 che potrebbe consentire a un attaccante remoto di eseguire codice arbitrario sul sistema interessato. Romang ha individuato il nuovo exploit, analizzando alcuni dei server infetti utilizzati dalla Nitro Gang. Su uno dei server, ha scoperto una curiosa cartella che ospitatava 4 file. Mentre inizialmente sembrava essere un exploit per Adobe Flash, in seguito ha scoperto che in realtà era una falla del browser Microsoft.

L'analisi eseguita da Symantec ha rivelato che i quattro file sono in realtà componenti principali dell'exploit: un file html (exploit.html), che rappresenta il punto di partenza dell'exploit, un file Flash (Moh2010.swf) responsabile di "spruzzare il cumulo con il carico utile", protect.html che innesca la vulnerabilità, e il payload vero e proprio. Il carico utile per il download dei file eseguibili aggiuntivi viene identificato come il Trojan Dropper Backdoor.Darkmoon, che li esegue sul computer interessato, iniettato grazie ad una pagina malevola.

A quanto pare, gli sviluppatori dell'exploit delusi dal fatto che la loro creazione è stata scoperta hanno rimosso i file dal server due giorni dopo la scoperta di Romang. Gli esperti di Trend Micro hanno scoperto che il file .swf è in realtà una backdoor identificata come BKDR_POISON.BMN, che non è altro che il famigerato Trojan Poison Ivy. Microsoft ha rilasciato il Security Advisory 2757760 per informare i clienti che è a conoscenza del problema. La società nel frattempo sta lavorando su una patch correttiva per affrontare il difetto.

Attacco contro una macchina Windows 7 con Internet Explorer 9

"Abbiamo ricevuto segnalazioni solo di un piccolo numero di attacchi mirati e stiamo lavorando per sviluppare un aggiornamento della protezione per risolvere questo problema", ha dichiarato Microsoft in un post sul blog Technet. "Nel frattempo, i clienti che utilizzano Internet Explorer sono protetti in caso di distribuzione adottando le seguenti soluzioni alternative e mitigazioni incluse nella consulenza", si legge ancora. Di seguito alcuni consigli per ridurre al minimo i rischi di contagio:

uare l'Enhanced Mitigation Experience Toolkit (EMET), questo aiuterà a prevenire lo sfruttamento , fornendo attenuanti per aiutare a proteggere contro questo problema e non dovrebbe pregiudicare l'usabilità dei siti web; impostare il livello delle aeree protezione di Internet e Intranet locale su "alta" in modo da bloccare i controlli ActiveX e Active Scripting; configurare Internet Explorer affinchè venga richiesta conferma prima dell'esecuzione di script attivo o disattivare ​​tali script nelle aree di protezione Internet e Intranet locale.

Poche ore fa, i ricercatori di Rapid 7 hanno confermato che un codice exploit per una falla zero-day ha colpito Internet Explorer versioni 7, 8 e 9 in Windows XP, Vista e Seven, e lo ha aggiunto al Metasploit. Dal momento che Microsoft non ha rilasciato una patch per questa vulnerabilità ancora, gli esperti di Rapid 7 consigliano "vivamente agli utenti di Internet" di passare ad altri browser di navigazione, come Chrome o Firefox, fino a quando un aggiornamento per la protezione non sarà disponibile.

L'exploit è già stato utilizzato da utenti malintenzionati in natura prima che fosse pubblicato in Metasploit. La vulnerabilità mette a rischio circa il 41% degli utenti di Internet in Nord America e il 32% in tutto il mondo (fonte: StatCounter). Come sempre, incoraggiamo gli utenti ad attivare un firewall e installare un software antivirus, applicando tutti gli aggiornamenti software. Prestate attenzione durante la visita siti web ed evitate di fare clic su link sospetti, o di aprire messaggi e-mail provenienti da mittenti sconosciuti. Ecco un video in cui Romang illustra la 0-day in Internet Explorer:



[AGGIORNAMENTO] Microsoft distribuisce patch per tappare pericoloso bug in Internet Explorer

1 commento: