Sicurezza a rischio per una pericolosa vulnerabilità di Word

Brutta vulnerabilità di sicurezza per Microsoft Word. Subito bollata da Secunia come “estremamente critica” (il massimo grado di pericolosità possibile) dato che aggressori remoti possono sfruttare il problema per condurre attacchi che portino all’esecuzione di codice nocivo, si sono subito registrate in Rete numerose segnalazioni, soprattutto da parte di aziende, prese di mira da questa nuova minaccia, battezzata da diversi produttori antivirus con il nome di Ginwui.
Si tratta essenzialmente di una backdoor con funzionalità di rootkit. La backdoor, distribuita utilizzando come mezzo un documento Word appositamente sviluppato per sfruttare il problema di sicurezza che lo caratterizza e che ancora non è stato risolto, viene memorizzata in una cartella temporanea sul disco fisso non appena il file Word viene aperto da parte dell’utente. A questo punto, una volta in esecuzione, il componente maligno installa un nuovo file sul sistema (una libreria, chiamata winguis.dll, il componente principale della backdoor) e nasconde i processi ad essa collegati (ecco perché si parla di funzionalità rootkit).
Una volta attiva, la backdoor si collega ad un indirizzo Internet specifico in modo da ricevere comandi da parte dell’aggressore remoto che adesso può condurre qualunque tipo di operazione sul sistema infetto: creare, leggere, scrivere, cancellare e ricercare qualunque tipo di file o di cartella; accedere e modificare il registro di Windows; manipolare la configurazione dei servizi; avviare e fermare processi; catturare schermate; ottenere informazioni dettagliate sulle finestre correntemente aperte, sul computer “vittima” e sulla configurazione della rete; riavviare o chiudere Windows; avviare una shell di comando da remoto e così via.
Il file Word utilizzato come veicolo per l’infezione, inoltre, viene modificato così da apparire assolutamente “pulito”.
Questo tipo di comportamento ha fatto parlare qualcuno di una minaccia sviluppata a fini di spionaggio, assai probabilmente rivolto all’ambiente business.
L’attacco sembra sia partito da Cina e Taiwan.
Symantec consiglia, per il momento, di provvedere temporaneamente a disattivare la ricezione di file in formato Word attraverso firewall di rete e comunque a non aprire questo tipo di file provenienti da fonti non fidate fintanto che non saranno rilasciate patch per la risoluzione della vulnerabilità.
Una correzione ufficiale per il problema che affligge Word dovrebbe essere rilasciata il prossimo 13 Giugno in occasione del “patch day” mensile anche se non si esclude venga proposto il download in anticipo.
Stephen Toulouse, program manager del Microsoft Security Response Center, getta comunque acqua sul fuoco. Pur non negando la gravità del problema ne ridimensiona la portata facendo notare come l’attacco possa aver luogo se e solo se l’utente apre un documento Word “infetto”. Inoltre, Toulouse, sembra voler ancora una volta ricordare come l’adozione di adeguate politiche di sicurezza a livello di ogni singolo sistema si riveli una scelta cruciale: la minaccia è in grado di far grossi danni solo se si sta utilizzando in Windows un account di tipo amministratore.
Gran parte dei produttori antivirus stanno aggiornando i rispettivi prodotti per rendere possibile il riconoscimento delle nuove minacce che usano documenti Word come veicolo per l’infezione.