Grazie ad Infinitopiùuno per la gentile segnalazione [IxT]Sicurezza: guarda un'immagine sul Web e t'infetti
Questo articolo vi arriva grazie alle gentili donazioni di "riccardo.camp***", "Noris.Trave***" e "arkadyn". Se i link contenuti in questo articolo non funzionano o sono spezzati, leggete la versione Web cliccabile nel mio blog: http://tinyurl.com/dzrho F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente grave in Windows, che consente di infettare un computer Windows semplicemente visitando un sito Web appositamente confezionato e contenente un'immagine nel formato WMF: http://www.f-secure.com/weblog/archives/archive-122005.html#00000753 Al momento in cui scrivo, Microsoft non ha ancora distribuito un aggiornamento (patch) che corregga la falla, che colpisce Windows XP anche se dotato di tutti gli aggiornamenti di sicurezza finora rilasciati. L'avviso ufficiale di Microsoft è disponibile presso Microsoft Technet (in inglese): http://www.microsoft.com/technet/security/advisory/912840.mspx Numerosi siti (alcuni sono indicati nella pagina di F-Secure), specialmente quelli porno e dedicati ai programmi pirata, stanno già usando questa tecnica di attacco per infettare i computer Windows con ogni sorta di spyware e altro software ostile, compresi programmi per controllare da remoto i computer delle vittime e programmi che fingono di essere antispyware e chiedono soldi (tramite carta di credito) per eliminare l'infezione trovata nel computer: http://www.f-secure.com/v-descs/avgold_d.shtml Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla: http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=385 http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L'unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il sito trappola, chi usa i browser alternativi viene avvisato da un messaggio di allerta e s'infetta solo se risponde affermativamente al messaggio. Anche la semplice visualizzazione di una cartella contenente un file WMF infetto tramite Esplora Risorse o il Fax Viewer di Windows è sufficiente a infettare. A quanto mi risulta finora, gli utenti di altri sistemi operativi non sono colpiti da questa falla. Un altro aspetto di particolare interesse della falla è che chi ha Google Desktop è ancora più vulnerabile. Per infettarsi, in questo caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop, infatti, indicizza e legge subito il file scaricato e ne passa il contenuto infettante a Windows, che lo esegue automaticamente. Secondo F-Secure, l'infezione ha luogo persino se si scarica il file usando una finestra DOS (tramite per esempio Wget) e anche se il file infetto non ha l'estensione WMF nel nome ma è comunque scritto nel formato WMF. Il problema nasce dalla natura particolare del formato WMF, che fu introdotto da Microsoft in Windows 3.0: invece di rappresentare i singoli punti di un'immagine, contiene una serie di istruzioni di disegno che spetta al sistema operativo interpretare (grafica vettoriale, insomma). Purtroppo le istruzioni possono essere confezionate in modo maligno e Windows non è capace di bloccare queste istruzioni ostili. Per il momento, in attesa che Microsoft rilasci un aggiornamento che corregga la falla, è opportuno bloccare l'interpretazione delle immagini WMF. Sunbelt, per esempio, consiglia di disabilitare il componente fallato di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows: http://sunbeltblog.blogspot.com/2005/12/workaround-for-wmf-exploit.html La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è REGSVR32 SHIMGVW.DLL. Sunbelt avvisa che questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti). Sans suggerisce inoltre di applicare la funzione DEP del Service Pack 2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a un esperto di farlo per voi: http://isc.sans.org/diary.php?storyid=975
Fonte
|