5969 Letture

Due gravi vulnerabilità minacciano gli utenti di IE

Il 2010 è stato un anno particolarmente impegnativo dal punto di vista della sicurezza. Nuovi e più pericolosi malware si sono affacciati sulla scena internazionale ponendo problematiche mai affrontate in passato. Basti pensare al polverone sollevato dall'exploit "Aurora" (ved. queste pagine), alle "inedite" varianti di rootkit MBR (ved. questo articolo), al terremoto provocato dal worm Stuxnet (che ha suggerito l'inizio di una vera e propria "cyberwar"; per maggiori informazioni, vi invitiamo a consultare questi servizi), al TDL rootkit ora in grado di bersagliare anche i sistemi Windows a 64 bit (maggiori dettagli qui), alle molte falle di sicurezza scoperte nel sistema operativo e sfruttate da componenti maligni prima della loro effettiva risoluzione.


A tal proposito, Microsoft ha concluso l'anno con un "patch day" davvero pingue: il colosso di Redmond, infatti, ha pubblicato ben 17 bollettini di sicurezza sanando qualcosa come circa una quarantina di vulnerabilità. Come ricorda Marco Giuliani, Malware Technology Specialist per Prevx, tuttavia, ci sono ancora due exploit 0day ancora irrisolti. Tra l'altro, delle due lacune di sicurezza insanate, si conoscono già i dettagli tecnici online. "Combinate assieme", osserva Giuliani "le vulnerabilità possono provocare l'acquisizione di privilegi più elevati e l'esecuzione di codice dannoso".

Gli utenti delle versioni 6.0, 7.0 e 8.0 di Internet Explorer sono interessati da un problema di sicurezza che può causare l'esecuzione di codice potenzialmente nocivo visitando una pagina web allestita da un aggressore. La falla risiede nel file mscorie.dll e può essere presa di mira da un malintenzionato semplicemente elaborando un file CSS (foglio di stile) con determinate caratteristiche. Il codice exploit è stato già pubblicato su uno dei più famosi framework per il lancio di attacchi ed è quindi disponibile a chiunque ne volesse fare uso.
Windows Vista e Windows 7 integrano le funzionalità di protezione ASLR ("Address Space Layout Randomization") e DEP ("Data Execution Prevention") che, in teoria, dovrebbero difendere il sistema dell'utente da aggressioni simili a quella descritta e che interessa Internet Explorer. "Questa volta, però, potrebbero esserci delle spiacevoli sorprese", ha aggiunto Giuliani. Il codice exploit è infatti capace di "bypassare" ASLR facendo leva su una libreria parte integrante del .Net framework 2.0 di Microsoft. La seconda versione del pacchetto è installata in modo predefinito sia su Vista che su Windows 7 e, grazie al fatto che la libreria mshtml.dll viene caricata nello stesso indirizzo di memoria, entro il processo utilizzato da Internet Explorer, l'aggressore può "dribblare" ASLR ed eseguire il "payload" dannoso.


"Ad ogni modo", continua Giuliani "essendo stato eseguito nella cosiddetta Protected Mode, l'exploit non dovrebbe riuscire a compiere modifiche sul sistema operativo". In pratica, il codice nocivo non dovrebbe comunque riuscire ad acquisire i privilegi necessari per compiere le operazioni più dannose. "Questo mese, però, un gruppo di ricercatori ha pubblicato un documento che illustra una metodologia per liberarsi dei paletti fissati dalla Protected Mode. (...) Alcune delle tecniche sfruttate erano già note seppur non dettagliate pubblicamente".
Internet Explorer gestisce i siti web via a via visitati impiegando quattro differenti aree o zone: Internet, Intranet locale, Siti attendibili e Siti con restrizioni. Tutti i siti web ospitati su server remoti vengono elaborati in Protected Mode (così come quelli "con restrizioni"). Gli altri (ad esempio quelli richiamati dalla rete locale o Intranet) non vengono gestiti all'interno di tale modalità.

Giuliani fa un esempio pratico: "il primo exploit potrebbe essere eseguito da remoto quindi lo stesso payload potrebbe impostare un semplice web server locale indirizzando le richieste operate tramite Internet Explorer a tale web server. Sarà così utilizzato, di nuovo, il primo exploit che permetterà di eseguire codice nocivo sul sistema, all'infuori della Protected Mode".

Ma com'è possibile difendersi da questo pericoloso attacco? Le possibilità sono essenzialmente due: la prima consiste nell'installazione del tool di sicurezza EMET 2.0. Sviluppato da Microsoft stessa, EMET (presentato in questo nostro articolo) consentirà di "imbrigliare" anche la libreria mscorie.dll attivando ASLR su tutti i componenti richiamati dal browser del gigante di Redmond.
In alternativa - ed è questo il suggerimento destinato agli utenti di Internet Explorer meno esperti -, è possibile accedere alla finestra delle opzioni del browser (menù Strumenti, Opzioni Internet), cliccare sulla scheda Sicurezza, selezionare tutte le aree (compresa Intranet locale) ed attivare la casella "Attiva modalità protetta".

  1. Avatar
    gu
    05/01/2011 18:49:34
    perfettamente d'accordo con mikronimo, in passato la microsoft ha avuto il grande merito di dare una forte spinta all' informatizzazione delle masse (con metodi piu o meno leciti tra acquisti copie e diffamazioni) ed è riusicta a portare un oggetto che nessuno conosceva e di cui pochi sapevano di cosa fare nelle nostre case, deve solo rendersi conto che quello che ha fatto in passato ora le si ritorce contro xche lentamente gli utenti di un computer cominciano ad avere bisogno di un computer ed è necessario che questo funzioni con il minor numero possibile di problemi e di rischi, senza contare che tutti gli utenti a cui ha dato un computer possono ora navigare in internet ed avere notizie riguardo a sistemi operativi non microsoft che possono dare sicuramente meno problemi di stabilità e di sicurezza del suo prodotto. effettivamente è imbarazzante che una grande casa di software come la microsoft continui ad avere delle così grosse falle di sicurezza nonostante la lunga esperienza nel campo, ed è ancora più imbarazzante pensare che software di case piu recenti non ne hanno altro motivo di imbarazzo per la microsoft dovrebbe essere quello di avere bisogno del triplo delle risorse per tenere acceso in modo instabile un computer che con un terzo di ram occupata gira stabilmente che è una meraviglia, fanno presto a dire tanto di ram ormai nei pc ce ne è da vendere ma preferisco che tutta la ram che ho comprato serva all'applicazione piuttosto che al sistema operativo! il grosso del problema comunque sta nell'ignoranza: se chiedi a qualcuno di linux hai due opzioni: o ti risponde "chi ? quello della radio?" oppure ''linu....che?'' o infine liquideranno l'argomento dicendo che è da cevelloni difficile da usare e non supporta nulla; se provi a parlare di mac la situazione forse un po migliora ma il giudizio finale sara praticamente sempre che è difficile da usare, la realtà dei fatti è che vedendo win da tutte le parti sono portati a pensare che sia la soluzione più efficace se è scelta da tutti ma nessuno gli ha mai spiegato come siano le cose in realtà!!, inoltre ci sono poi le voci dei finti intenditori che non lo hanno mai provato ma avendo saputo che ci sono pochi gioci (che aime è vero ma la cosa potrebbe di molto migliorare) lo bollano come un sistema innutile, tempo fa girava addirittura una prova comparativa tra vista mac linux e win7: tutta la prova era stata condotta con dei giochi!!!!(tra l'altro i risultati si misuravano i differenze di 4-5 fps e su linux e mac parte dei giochi dovevano per forza girare su una macchina virutale...) Come ultima testimonianza del mio passaggio dico solo che ho vissuto di win dal 95 ad oggi, nel 2007 stanco di aspettare i porci comodi del computer che continuava ogni giorno a rallentare sempre piu ho sondato il campo dei sistemi linux... li ho scoperto in prima battuta che hanno una (o per meglio dire molte) interfaccia grafica stile win... quindi funziona pure il mouse... esiste openoffice per linux... esiste firefox per linux ..... mano a mano che andavo avanti a spulciare materiale su linux in rete continuavo a vedere che il mio riflesso nella barretta argentata a fianco della webcam assomigliava sempre più a un asino... quindi spulcia di qua e spulcia di la ho trovato una distribuzione chiamata Ubuntu (non è la sola ma sono inciampato in questa)... ho scaricato il cd, l'ho masterizzato, spento il pc, riacceso il pc e l'ho un pò provata dal cd, chiaramente tutto molto ovattato dal supporto utilizzato ma ho visto che stava funzionando, al che ho preso il coraggio a 2 mani, ho fatto la mia piccola patizione da 10G +1G di swap e l'ho installato..... ...... dal 2007 uso solo la partizione da 10G del computer(udite udite in 10G c'è TUTTO: il sistema operativo (circa 3G) +applicazioni varie come openoffice (sostituto di TUTTO il pacchetto ms office),gimp(sostituto di photoshop),blender(grafica 3d simile a 3Dstudio),e altri ancora piu 3.5G di dati personali e 1G buono di spazio libero,non ho alcun problema ad accedere alle partizioni usate con windows (che uso per i file piu grossi) ne ad usare la stampante (che viene riconosciuta al volo senza neanche installazione), scanner (vedi stampante),chiavette varie; il tempo di avvio quando ho aggiornato tutto alla versione 9.04 più di un anno fa era di 1min:20 e oggi è ancora tale, senza contare l'assenza di antivirus non xche non sia disponibile ma xche non serve essendo i virus per linux molto meno in quantità ed usando software libero una eventuale falla viene direttamente corretta con l'aggiornamento del programma stesso e non come in casa microsoft con patch e antivirus lasciando il sistema molto più leggero e performante ... Qualcuno potrebbe obiettare che io sono particolarmente dotato: potrebbe essere visto che la mia conoscenza di computer va oltre la normale conoscenza dell'utente medio (cio non toglie che non sono un esperto, diciamo un livello medio alto) ma dopo la mia esperienza positiva ho installato linux sul pc di mia sorella (in grado di prendere un virus anche da un cd vergine da masterizzare) e su quello di mio padre (che ha scoperto i computer a quasi 50 anni) ed entrambi non mi hanno ancora ricoperto di insulti ma solo di lodi... Spero solo che questo lungo commento sia letto da chi come me ha trovato assurdo il modo di gestire il proprio pc imposto da microsoft e sente che le potenzialità della macchina che ha sono molto maggiori...
  2. Avatar
    jacopo
    01/01/2011 21:43:57
    Citazione: I rallentamenti poi, non son mica imputabili al sistema operativo
    Non è proprio così, il rallentamento in parte dipende da scelte architetturali che riguardano appunto il sistema operativo: si pensi al file system e al registro di sistema...
  3. Avatar
    Lettore anonimo
    01/01/2011 20:03:49
    mikronimo, non sarei così esagerato. Un sistema Windows aggiornato è la miglior soluzione per evitare infezioni. I rallentamenti poi, non son mica imputabili al sistema operativo od al browser ma all'installazione di programmi non ben realizzati e procedure di uninstall altrettanto "superficiali".
  4. Avatar
    mikronimo
    01/01/2011 17:52:11
    Nell'articolo ci si domanda come fare a difendersi da questi continui attacchi malware ad IE; nella realtà ci sarebba un sistema molto semplice: smettere completamente di usare IE ed i sistemi operativi Win. Sono 30 (TRENTA!) anni che Microsoft sviluppa e produce software e ancora dobbiamo assistere ad eventi di questo genere, senza che una casa informatica di questo livello si decida a mettere un argine ad un sistema di gestione dei propri prodotti evidentemente obsoleto e gravemente dannoso, che obbliga ogni singolo utente del pianeta a continui aggiornamenti di sicurezza (lentissimi e pesanti in termini di tempo macchina e produttività) e molte ore settimanali di ripulitura da malware con lo scanning dell'intero sistema da parte del software antivirus di turno (senza considerare il tempo necessario alla riottimizzazione del sistema con i vari deframmentatori, riparatori di registro e ottimizzatori vari). Tutto a causa della pretesa da parte della casa madre di un controllo remoto dei sistemi degli utenti, con la giustificazione di tenere automaticamente aggiornato il sistema; ecco che ogni volta che sia avvia il sistema dovremo aspettare minuti, affinché tutti i programmi si carichino (solo con il tempo si impara a non permettere l'avvio al login di ogni singolo programma installato), decine di minuti per scaricare gli aggiornamenti di tutti i programmi (stesso discorso di cui sopra: solo con il tempo si impara a deselezionare l'aggiornamento automatico) ed il conseguente riavvio ed installazione degli stessi; è perfettamente chiaro che il concetto che sta alla base di questo tipo di gestione remota è ormai fuori luogo, come lo è la gestione della memoria che fa il S.O., ma piuttosto che creare un sistema operativo realmente nuovo, più leggero, stabile e sicuro (sull'esempio di un gratuito sistema Linux, Ubuntu in testa, qualsiasi), si seguita a aggiungere, appesantendo il tutto, funzionalità grafiche che magari abbelliscono il desktop ma che lasciano invariati i problemi di fondo; non entro nel merito di cosa riesce ad offrire, in termini di stabilità, funzionalità, produttività e sicurezza un sistema come Ubuntu, con risorse hardware nettamente inferiori a quelle richieste da un S.O. Windows, senza che sia richiesto l'esborso di un singolo Euro o Dollaro. Ongi singolo utilizzatore, professionale o casalingo che esso sia, dovrebbe dare un segnale ben preciso a MS, rifiuntando l'acquisto di un computer con già installato un Win qualsiasi e costringere a reinvestire una parte dei favolosi guadagni che MS ha realizzato in tutti quesi anni per creare, exnovo, dei prodotti degni di una casa che ha reso possibile la rivoluzione informatica, prima di acquistare, a parte e solo se sarà realmente giustificato dalla sua qualità, un futuro sistema integrato Windows X-Internet Esplorer Y.
Due gravi vulnerabilità minacciano gli utenti di IE - IlSoftware.it