Nelle scorse ore è emersa una pericolosa vulnerabilità, scoperta in tutte le versioni di Windows (fatta eccezione per Windows Server 2003). Ancora una volta, la lacuna è correlata alla tecnologia OLE (Object Linking and Embedding) che Microsoft sviluppò, nella primissima versione, addirittura nel 1991.
OLE consente di integrare, in uno stesso documento, risorse e riferimenti ad altre tipologie di documenti: così, un documento di testo Word può contenere un foglio di calcolo incorporato oppure un grafico proveniente da PowerPoint. I documenti incorporati mantengono tutte le proprietà originali: non si tratta, quindi, di un semplice “copia&incolla”.
Spesso, tuttavia, gli aggressori utilizzano lacune nella gestione OLE per provocare il caricamento e l’esecuzione di codice nocivo, semplicemente persuadendo l’utente ad aprire un documento malevolo.
Le vulnerabilità OLE si dimostrano spesso come la “testa di ponte” utilizzata dai criminali informatici per impiantare codice dannoso all’interno dell’infrastruttura informatica di un’azienda. Di solito gli attacchi partono da un sistema client di un dipendente perché è proprio dalle workstation che è di solito più facile iniziare un’aggressione in grande stile.
Microsoft, nel confermare la criticità della nuova vulnerabilità OLE, ha confermato che sono già in corso numerosi attacchi verso obiettivi selezionati. Di solito tutto comincia con l’arrivo di un’e-mail contenente un documento PowerPoint allegato.
Tale documento è stato precedentemente preparato dagli aggressori con lo scopo di sfruttare la vulnerabilità OLE ed eseguire codice arbitrario.
La questione è stata affrontata dai tecnici Microsoft, nel dettaglio, in questo bollettino.
Al momento una soluzione definitiva non esiste e Microsoft sta valutando, vista la gravità del problema, se rilasciare un aggiornamento ben prima dell’11 novembre, data fissata per il prossimo “patch day”.
Per adesso la società consiglia l’installazione del “Fix it” scaricabile a questo indirizzo (ne suggeriamo la disinstallazione prima dell’applicazione della patch ufficiale, non appena questa sarà rilasciata).
Proprio questo mese Microsoft aveva rilasciato un aggiornamento (MS14-060) per risolvere una vulnerabilità insita nel meccanismo OLE. Come spiegano anche gli esperti di McAfee, però, tale aggiornamento non si è rivelato completamente risolutivo ed, anzi, ha lasciato ampio margine per continuare a sferrare attacchi.