Il 2010 è stato un anno particolarmente impegnativo dal punto di vista della sicurezza. Nuovi e più pericolosi malware si sono affacciati sulla scena internazionale ponendo problematiche mai affrontate in passato. Basti pensare al polverone sollevato dall’exploit “Aurora” (ved. queste pagine), alle “inedite” varianti di rootkit MBR (ved. questo articolo), al terremoto provocato dal worm Stuxnet (che ha suggerito l’inizio di una vera e propria “cyberwar“; per maggiori informazioni, vi invitiamo a consultare questi servizi), al TDL rootkit ora in grado di bersagliare anche i sistemi Windows a 64 bit (maggiori dettagli qui), alle molte falle di sicurezza scoperte nel sistema operativo e sfruttate da componenti maligni prima della loro effettiva risoluzione.
A tal proposito, Microsoft ha concluso l’anno con un “patch day” davvero pingue: il colosso di Redmond, infatti, ha pubblicato ben 17 bollettini di sicurezza sanando qualcosa come circa una quarantina di vulnerabilità. Come ricorda Marco Giuliani, Malware Technology Specialist per Prevx, tuttavia, ci sono ancora due exploit 0day ancora irrisolti. Tra l’altro, delle due lacune di sicurezza insanate, si conoscono già i dettagli tecnici online. “Combinate assieme“, osserva Giuliani “le vulnerabilità possono provocare l’acquisizione di privilegi più elevati e l’esecuzione di codice dannoso“.
Gli utenti delle versioni 6.0, 7.0 e 8.0 di Internet Explorer sono interessati da un problema di sicurezza che può causare l’esecuzione di codice potenzialmente nocivo visitando una pagina web allestita da un aggressore. La falla risiede nel file mscorie.dll
e può essere presa di mira da un malintenzionato semplicemente elaborando un file CSS (foglio di stile) con determinate caratteristiche. Il codice exploit è stato già pubblicato su uno dei più famosi framework per il lancio di attacchi ed è quindi disponibile a chiunque ne volesse fare uso.
Windows Vista e Windows 7 integrano le funzionalità di protezione ASLR (“Address Space Layout Randomization“) e DEP (“Data Execution Prevention“) che, in teoria, dovrebbero difendere il sistema dell’utente da aggressioni simili a quella descritta e che interessa Internet Explorer. “Questa volta, però, potrebbero esserci delle spiacevoli sorprese“, ha aggiunto Giuliani. Il codice exploit è infatti capace di “bypassare” ASLR facendo leva su una libreria parte integrante del .Net framework 2.0 di Microsoft. La seconda versione del pacchetto è installata in modo predefinito sia su Vista che su Windows 7 e, grazie al fatto che la libreria mshtml.dll
viene caricata nello stesso indirizzo di memoria, entro il processo utilizzato da Internet Explorer, l’aggressore può “dribblare” ASLR ed eseguire il “payload” dannoso.
“Ad ogni modo“, continua Giuliani “essendo stato eseguito nella cosiddetta Protected Mode, l’exploit non dovrebbe riuscire a compiere modifiche sul sistema operativo“. In pratica, il codice nocivo non dovrebbe comunque riuscire ad acquisire i privilegi necessari per compiere le operazioni più dannose. “Questo mese, però, un gruppo di ricercatori ha pubblicato un documento che illustra una metodologia per liberarsi dei paletti fissati dalla Protected Mode. (…) Alcune delle tecniche sfruttate erano già note seppur non dettagliate pubblicamente“.
Internet Explorer gestisce i siti web via a via visitati impiegando quattro differenti aree o zone: Internet, Intranet locale, Siti attendibili e Siti con restrizioni. Tutti i siti web ospitati su server remoti vengono elaborati in Protected Mode (così come quelli “con restrizioni“). Gli altri (ad esempio quelli richiamati dalla rete locale o Intranet) non vengono gestiti all’interno di tale modalità.
Giuliani fa un esempio pratico: “il primo exploit potrebbe essere eseguito da remoto quindi lo stesso payload potrebbe impostare un semplice web server locale indirizzando le richieste operate tramite Internet Explorer a tale web server. Sarà così utilizzato, di nuovo, il primo exploit che permetterà di eseguire codice nocivo sul sistema, all’infuori della Protected Mode“.
Ma com’è possibile difendersi da questo pericoloso attacco? Le possibilità sono essenzialmente due: la prima consiste nell’installazione del tool di sicurezza EMET 2.0. Sviluppato da Microsoft stessa, EMET (presentato in questo nostro articolo) consentirà di “imbrigliare” anche la libreria mscorie.dll
attivando ASLR su tutti i componenti richiamati dal browser del gigante di Redmond.
In alternativa – ed è questo il suggerimento destinato agli utenti di Internet Explorer meno esperti -, è possibile accedere alla finestra delle opzioni del browser (menù Strumenti, Opzioni Internet), cliccare sulla scheda Sicurezza, selezionare tutte le aree (compresa Intranet locale) ed attivare la casella “Attiva modalità protetta“.