Falla in Windows: file WMF maligni causano grossi danni

Tutti i principali produttori di software antivirus e le aziende attive nel campo della sicurezza informatica hanno appena lanciato l’allarme per la scoperta di una pericolosa vulnerabilità confermata su sistemi Windows XP e Windows Server 2003 (anche se aggiornati con l’ultimo Service Pack). Il problema di sicurezza riguarda la libreria SHIMGVW.DLL, utilizzata dal sistema operativo per la gestione dei file grafici WMF (Windows Metafile). Un aggressore remoto, dopo essere riuscito ad invitare un utente all’apertura di un file WMF appositamente strutturato per sfruttare la falla di sicurezza, può essere in grado di eseguire codice potenzialmente pericoloso e di accedere al sistema “vittima”.
La questione risulta particolarmente grave perché stanno già nascendo decine di siti web “maligni”, contenenti file WMF ostili, in grado di causare danni e poiché ancora non è disponibile alcuna patch risolutiva.
Gli utenti maggiormente esposti al rischio sono tutti coloro che utilizzano Internet Explorer: semplicemente visitando un sito web “maligno” ci si può ritrovare immediatamente infetti. Ma non sono esclusi dal problema nemmeno gli utenti di Mozilla Firefox, di Opera o di altri browser “alternativi”. In questi casi, infatti, una volta scaricato in locale un file WMF dannoso, se si tenterà di aprirlo o di visualizzarne l’anteprima (i.e. da “Risorse del computer”), il codice nocivo andrà comunque in esecuzione rendendo il personal computer facile preda di attacchi provenienti dalla Rete.
Lo stesso Internet Storm Center di SANS (isc.sans.org) ha elevato il suo livello di attenzione a “giallo”, lo stesso usato all’epoca della diffusione dei virus Blaster, Sasser e SQL Slammer. Microsoft, da parte sua, ha per ora rilasciato un bollettino che illustra l’incidente (ved. questa pagina).
In attesa che il problema sia risolto col rilascio di una patch, il consiglio più ovvio consiste nell’evitare di aprire file WMF e di portare il livello di protezione per l’area Internet in Internet Explorer ad “Alto”.
Un’ulteriore temporanea soluzione consiste nell’annullare la registrazione della libreria “incriminata” utilizzando il comando REGSVR32 /U %WINDIR%/SYSTEM32/SHIMGVW.DLL. Si tenga presente che così facendo, però, il “Visualizzatore immagini e fax” di Windows non funzionerà più correttamente né verrà proposta l’anteprima per i file WMF. Non appena la vulnerabilità verrà risolta, sarà possibile usare il comando REGSVR32 %WINDIR%/SYSTEM32/SHIMGVW.DLL per riportare il tutto allo stato iniziale.