Con il lancio di Internet Explorer 7 e di Windows Vista, Microsoft introdusse – nel suo browser web – la cosiddetta “Protected mode“. Si tratta di una funzionalità di sicurezza che è stata poi ereditata da Internet Explorer 8 e che si occupa di proteggere il sistema dagli attacchi che sfruttano vulnerabilità presenti nelle estensioni di Internet Explorer o nel browser stesso evitando l’insediamento, sul personal computer, di software dannoso.
I ricercatori di Verizon Business hanno descritto un approccio (documentato in questo articolo) che consente di eludere la protezione offerta da “Protected mode” e guadagnare l’accesso agli account degli utenti. La tecnica illustrata prevede, come requisito indispensabile, lo sfruttamento di una vulnerabilità di sicurezza presente nel browser oppure in un’estensione che permetta di eseguire codice arbitrario. Sebbene il malware possa inizialmente operare soltanto nella cosiddetta “low integrity mode” (un livello di funzionamento che limita l’accesso al sistema sottostante), esso può configurare sul sistema dell’utente una sorta di web server capace di rispondere alla richieste in ingresso in arrivo su qualunque porta dell’interfaccia di loopback. Invocando la funzione IELaunchURL()
, un aggressore può indurre Internet Explorer a visualizzare un file che ospita codice exploit (ad esempio, http://localhost/exploit.html
). Dal momento che, per impostazione predefinita, l’interfaccia di loopback è parte del profilo di sicurezza “Intranet locale“, Internet Explorer non utilizza – in tale contesto – la “Protected mode“.
Fintanto che Microsoft non prenderà in carico il problema arrivando al rilascio di una patch, gli esperti di Verizon Business suggeriscono di elevare il livello di sicurezza impostato per tutte le aree elencate nella finestra Opzioni Internet, Sicurezza del browser Microsoft.