Microsoft ha da poco pubblicato un bollettino nel quale illustra la scoperta di una nuova vulnerabilità nelle versioni a 64 bit dei sistemi Windows 7 e Windows Server 2008 R2. La falla è stata individuata all’interno dei driver video Canonical utilizzati da parte di Windows: essi legano l’interfaccia grafica primaria del sistema operativo (GDI) con le librerie DirectX in modo da migliorare la visualizzazione del desktop.
Secondo quanto dichiarato da Jerry Bryant, membro del “Security Response Center” di Microsoft (MSRC), la falla di sicurezza interesserebbe potenzialmente tutti i sistemi Windows 7 a 64 bit dal momento che l’interfaccia “Aero” risulta attivata per default mentre in Windows Server 2008 R2 può essere opzionalmente abilitata.
“Se sfruttata con successo, la vulnerabilità potrebbe causare il blocco del sistema ed il conseguente suo riavvio“, ha spiegato Bryant. “L’esecuzione di codice maligno, sebbene possibile in linea teorica, appare molto difficoltosa in forza delle misure adottate a livello kernel ed attraverso la funzionalità ASLR (Address Space Layout Randomization)“.
ASLR provvede infatti a caricare i dati in memoria utilizzando indirizzamenti casuali: gli aggressori sono così obbligati ad “indovinare” in quale locazione di memoria potrebbe essere la funzione da attaccare. La protezione offerta da ASLR è stata comunque più volte bersagliata: due ricercatori hanno ottenuto un premio di 10.000 dollari, in occasione dell’evento Pwn2Own per essere riusciti a “scassinarla”.
Microsoft, al momento, ha ridimensionato la pericolosità della vulnerabilità (illustrata in questa pagina) spiegando che è assai improbabile che possa essere sfruttata nel corso dei mesi a venire. Bryant ha comunque rimarcato che gli sviluppatori dell’azienda sono già al lavoro per sanare la lacuna di sicurezza sebbene non si sia espresso sulla data di rilascio della patch risolutiva.
Per mettersi al sicuro, si può pensare di disattivare temporaneamente l’interfaccia “Aero“, sulle versioni a 64 bit di Windows 7 e di Windows Server 2008 R2. Per disabilitare l’interfaccia “Aero” è sufficiente accedere al Pannello di controllo, cliccare su Personalizzazione ed optare per un “tema di base a contrasto elevato” (in fondo all’elenco).
Secondo Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, “l’attacco richiederebbe la possibilità di far aprire una immagine malformata ad-hoc ad una applicazione (sia di Microsoft che di terze parti) che utilizzi le GDI API. Per i sistemi Windows interessati” confermando come l’aggressione, affinché vada in porto, richieda l’abilitazione di un tema grafico Windows Aero. “E’ per questo che la sua disabilitazione viene indicata nei workarounds, in attesa del rilascio dell’aggiornamento correttivo“.
Intini conferma che non si ha notizia di attacchi attivi, giudicati “tecnicamente indicati come poco probabili – grazie al meccanismo ASLR di randomizzazione delle locazioni di caricamento delle DLL in memoria -, e che appaiono al momento non realizzabili da remoto“.