Già bersagliata la falla nella guida in linea di Windows

Microsoft ha aggiornato il bollettino di sicurezza col quale ha confermato l’esistenza di una pericolosa vulnerabilità in Windows XP SP3 ed in Windows Server 2003. Secondo i tecnici dell’azienda di Redmond, alcuni aggressori starebbero già sfruttando la lacuna di sicurezza per condurre attacchi che vengono definiti mirati seppur piuttosto limitati.
Ad essere sfruttata è la falla scoperta la scorsa settimana da Tavis Ormandy all’interno dell’applicazione Windows che consente l’accesso alla documentazione online del sistema operativo (“Guida in linea e supporto tecnico“).
In questa news abbiamo già illustrato i principali dettagli tecnici della vulnerabilità messa a nudo da Ormandy.

Secondo Graham Cluley (Sophos), la sua società avrebbe già identificato un sito web, evidentemente compromesso attraverso un attacco mirato, che sta già distribuendo ai suoi visitatori il codice exploit capace di far leva sulla falla scoperta pochi giorni fa nella “Guida in linea e supporto tecnico” di Windows. “Si tratta del classico attacco drive-by“, ha aggiunto Cluley riferendosi alla particolare tecnica che consente ad un aggressore di infettare immediatamente il sistema client non appena l’utente visita una pagina web “maligna”.

Secondo Jerry Bryant (Microsoft), purtroppo, è assai probabile che il codice exploit – in grado di sfruttare la vulnerabilità – possa presto diffondersi “a macchia d’olio”. La società guidata da Steve Ballmer ha criticato, insieme con altri osservatori, la decisione di Ormandy di rendere pubblici i dettagli tecnici della problematica rendendo altresì disponibile il codice “proof-of-concept” in grado di far leva sulla lacuna di sicurezza. In un post apparso sul blog aziendale di Sophos, lo stesso Cluley ha definito “irresponsabile” l’azione di Ormandy. Il ricercatore, che lavora anche per Google in qualità di ingegnere software, “ha lasciato a Microsoft solamente cinque giorni di tempo per risolvere il problema prima di pubblicare tutti i dettagli tecnici“, ha commentato Cluley. “Cinque giorni non sono sufficienti perché possa essere sviluppata una patch, che deve essere poi testata in modo approfondito affinché non causi più problemi di quanti possa risolverne“.

Ormandy si era difeso spiegando, in un post comparso su Twitter, che era “stanco di negoziare il rilascio di aggiornamenti nel giro di 60 giorni“. Jerry Bryant ha confermato l’avvio di un colloquio con Ormandy: “ci trovavamo nella prima fase delle investigazioni relative alla falla segnalataci. Il 6/7 giugno abbiamo comunicato (ad Ormandy, n.d.r.) che non avremmo avuto modo di conoscere la programmazione del rilascio di una patch prima della fine del mese. Siamo rimasti colpiti quando abbiamo visto la pubblicazione dei dettagli sulla vulnerabilità, lo scorso 9 giugno“.

Nell’attesa che Microsoft rilasci un aggiornamento ufficiale a correzione del problema, gli utenti di Windows XP e di Windows Server 2003, gli unici sistemi operativi affetti dalla vulnerabilità, possono collegarsi con questa pagina quindi scaricare ed installare il “fix 50459”. Prima di installare la patch ufficiale, non appena questa sarà resa disponibile, suggeriamo di disattivare la correzione temporanea utilizzando il “fix 50460”, offerto attraverso la medesima pagina web.

In alternativa, gli utenti più smaliziati possono accedere al registro di sistema (Start, Esegui, REGEDIT) e portarsi in corrispondenza della chiave HKEY_CLASSES_ROOT\HCP. A questo punto, è bene cliccarvi con il tasto destro del mouse, scegliere il comando Esporta e salvare il contenuto della chiave HKEY_CLASSES_ROOT\HCP all’interno di un file .REG, sul disco fisso. Ad esempio, HCP.REG.
Il passo successivo, per mettersi al riparo da qualunque rischio, consiste nell’eliminare la chiave HKEY_CLASSES_ROOT\HCP (per evitare di danneggiare il contenuto del registro di Windows, ci si accerti più volte di aver selezionato unicamente la sottochiave HCP).
Anche in questo caso, prima di installare la patch Microsoft – non appena sarà distribuita – suggeriamo di fare doppio clic sul file HCP.REG per ripristinare la situazione iniziale.