venerdì 2 maggio 2014

Microsoft chiude vulnerabilità 0-day in Internet Explorer anche su XP


Microsoft rilascerà a breve un aggiornamento di sicurezza out-of-band per affrontare il difetto che interessa Internet Explorer (IE) che è stato primo discussa nel Security Advisory 2963983. Questo aggiornamento è completamente testato e pronto per il rilascio di tutte le versioni interessate di il browser. Lo comunica la società in una nota sul blog del Microsoft Security Response Center (MSRC). La vulnerabilità consente ai cyber criminali di eseguire da remoto il codice arbitrario sul computer target dal momento in cui l'utente visita un sito Web malevolo.

Questa vulnerabilità è stata identificata come CVE-2014-1776. Microsoft è a conoscenza di attacchi limitati e mirati che tentano di sfruttare questa vulnerabilità in Internet Explorer. La vulnerabilità - spiegano i Websense Security Labs - risiede nel modo in cui Internet Explorer gestisce Vector Markup Language e la grafica vettoriale dei rendering quando Internet Explorer accede ad un oggetto correlato nella memoria che è stato cancellato o allocato non correttamente. Questo consente agli hacker di eseguire il codice arbitrario all'interno del contesto dell'utente.   

La vulnerabilità, legata a un errore di tipo use-after-free, bypassa sia l'Address Space Layout Randomization (ASLR) che il Data Execution Prevention (DEP), i due sistemi di sicurezza messi in atto da Microsoft per evitare attacchi non autorizzati, come questo. Come per qualsiasi altra vulnerabilità è sempre meglio applicare le patch del vendor per garantire una protezione completa dai tentativi di exploit. In questo caso Microsoft renderà disponibile a breve una patch di protezione. Nel frattempo, sarebbe meglio proteggersi dai sistemi e dai meccanismi di consegna utilizzati dai criminali. 

Quando emergono segnalazioni di attacchi mirati a basso volume non passa molto tempo prima che si diffondano maggiormente visto che il codice che mira alla vulnerabilità è integrato nei kit di exploit. Quando è stato redatto questo alert, i tentativi di attacco erano ancora scarsi e per questo stiamo analizzando i dati di telemetria all'interno della ThreatSeeker Intelligence Cloud alla ricerca di esempi e indicatori di compromissione. Websense garantisce la protezione attraverso l'intero ciclo di vita di un attacco, utilizzando il modello delle 7 Fasi di un Attacco Avanzato

Tipicamente Websense assiste a scenari con questa istanza: un utente visiterà un sito Internet (molto probabilmente un sito Web legittimo che è stato compromesso, piuttosto che un sito specificatamente registrato da un hacker), così viene avviato il download di un file Flash che pone le basi per un'ulteriore call al payload JavaScript. Questo a sua volta innesca la nota vulnerabilità in Internet Explorer. I cyber criminali potrebbero sfruttare l'esecuzione di un codice remoto per lanciare componenti aggiuntivi durante un attacco di ricognizione o per il furto dei dati. 

La maggior parte degli utenti che hanno gli aggiornamenti automatici abilitati non dovranno intraprendere alcuna azione, perché le protezioni verranno scaricate e installate automaticamente. Se non si è sicuri di disporre degli aggiornamenti automatici, o non si hanno attivato gli aggiornamenti automatici, adesso è il momento spiega Microsoft nel comunicato. Per coloro che effettuano l'aggiornamento manualmente, la società di Redmond consiglia fortemente di applicare questo aggiornamento il più presto possibile seguendo le indicazioni del bollettino sulla sicurezza che ha rilasciato.


Sebbene Windows XP non è più supportato da Microsoft, i tecnici del Microsoft Security Response Center hanno deciso di rilasciare un aggiornamento di sicurezza anche per gli utenti del vecchio OS. La società continua a incoraggiare gli utenti a migrare verso un sistema operativo moderno, come Windows 7 o 8.1. Inoltre, Microsoft invita gli ad aggiornare all'ultima versione di Internet Explorer, IE 11. Questo aggiornamento - si legge nel bollettino di sicurezza - per la protezione risolve una vulnerabilità divulgata pubblicamente relative a Internet Explorer. 

La vulnerabilità che coinvolge tutte le versioni del browser targato Microsoft (dalla 6 alla 11), può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con una versione interessata di Internet Explorer. Come accade in questi casi, un utente malintenzionato che sfrutti questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

L'exploit utilizzato negli attacchi di destinazione utilizza la vulnerabilità, insieme a una nota tecnica di sfruttamento Flash. La pagina exploit carica un file Flash SWF per manipolare il layout heap con la comune tecnica denominata "heap feng shui". Ci sono alcuni fattori attenuanti e alcune tecniche di mitigazione che possono influenzare l'utilità dell'exploit. La cosa più importante è non utilizzare un account amministratore per le attività generali come la navigazione Internet, perchè gli hacker ereditano i diritti dell'utente ed è quindi altamente consigliato utilizzare un account senza privilegi di amministrazione. 

Considerare l'implementazione dell'Enhanced Mitigation Experience Toolkit (EMET v4.1) di Microsoft, progettato per rendere più difficile lo sfruttamento da parte cyber criminali. Lo strumento EMET 4.1 Update 1 è stato comunque rilasciato principalmente per affrontare correzioni di bug minori. Attivare l'Enhanced Protected Mode (EPM) di Internet Explorer, disponibile per IE 10 e 11. Disabilitare il plugin Flash di Internet Explorer permetterà all'exploit di non funzionare. Disabilitare il Vector Markup Language, (vgx.dll non registrato) disattiverà la libreria vulnerabile. 

VML non è nativamente supportato dalla maggior parte dei browser web di oggi, quindi questa opzione di bonifica può avere il minimo impatto sulla compatibilità di Web app. Tuttavia, Microsft sottolinea che Vgx.dll non contiene il codice vulnerabile sfruttato in questo exploit. La disabilitazione Vgx.dll è una soluzione specifica per l'exploit che fornisce una immediata soluzione efficace per aiutare a bloccare gli attacchi noti. Maggiori informazioni sul prossimo bollettino sulla sicurezza possono essere trovate all'indirizzo http://bit.ly/1mjoHVY del Microsoft Advance Notification Service (ANS).




Nessun commento:

Posta un commento