La scorsa settimana è stata settimana di update per Microsoft, che ha rilasciato otto aggiornamenti di sicurezza per i propri prodotti. Ciò non è però bastato per evitare un attacco 0day ad Internet Explorer, che è stato isolato il giorno seguente gli aggiornamenti.
L’attacco è tutt’ora utilizzato e non esiste al momento un aggiornamento risolutivo del problema, la vulnerabilità è ancora in fase di analisi.
L’exploit sfrutta un errore di Internet Explorer nella gestione del DCOM Data Binding e non, come erroneamente dichiarato da alcuni siti online, un errato comportamento del parser XML.
L’errore è stato identificato in uno use-after-free, cioè l’utilizzo di una o più determinate zone di memoria dopo che queste siano state deallocate e non più utilizzate. Solitamente questo errore consiste nel lasciar puntare ad uno o più puntatori – che inizialmente puntano ad determinata una zona di memoria allocata – ancora la stessa zona di memoria dopo che questa sia stata liberata. Di conseguenza, si rischia la sovrascrittura di dati importanti – se la zona di memoria in questione è stata già riutilizzata – con la conseguenza di possibili crash, sino anche alla possibile esecuzione di codice malevolo.
Alcune pagine web, volutamente malformate, permettono così di istruire Internet Explorer a scaricare e ad eseguire codice nocivo.
Al momento gli exploit pubblici colpiscono esclusivamente Internet Explorer 7, ma Microsoft ha specificato che tutte le versioni di Internet Explorer sono vulnerabili.
Se non esistono patch al momento – sia Windows Vista SP1 che Windows XP SP3 totalmente aggiornati sono vulnerabili – esistono però alcuni workaround che permettono di limitare il problema.
Il primo è l’utilizzo della tecnologia DEP per limitare il problema. Nel caso di Vista, Internet Explorer 7 di default ha la funzionalità DEP disattivata, mentre la versione la versione a 64 bit di Vista ha attivato il DEP su tutti i processi. Per attivare il DEP nella versione a 32 bit di Vista è necessario eseguire Internet Explorer come amministratore, andare dunque su Strumenti – Opzioni Internet – Avanzate – Attiva la protezione della memoria per contrastare gli attacchi da Internet.
Il DEP deve chiaramente essere supportato da un processore che gestisca la tecnologia NX Bit (o XD Bit).
Un’alternativa può essere l’utilizzo di software che prevengono gli attacchi causati dall’esecuzione di codice da zone di memoria adibite ai dati. Un esempio è il programma free Comodo Memory Firewall.
Un altro workaround è la configurazione in Internet Explorer dell’area di navigazione Internet e Intranet su Alta, così da richiedere l’autorizzazione per l’esecuzione dell’Active Scripting. Altrimenti, se si utilizza una configurazione manuale di Internet Explorer, configurare l’Active Scripting in modo tale da chiedere l’autorizzazione prima di eseguire script.
Un altro workaround è la disabilitazione della funzionalità XML Data Island, eliminando la seguente chiave di registro: HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}.
Su Windows Vista e Windows Server 2008 è necessario eseguire Regedit come amministratore prima di effettuare i seguenti cambi ed assegnare i diritti della chiave di registro. Eseguito Regedit, andare alla chiave di registro HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}, tasto destro sulla chiave, poi cliccare su Autorizzazioni – Avanzate – Proprietario – cambia proprietario all’amministratore. Fatto questo, eliminare la chiave in oggetto.
Un altro – seppur drastico – workaround è la disabilitazione della dll oledb32.dll attraverso il comando:
Regsvr32.exe /u “%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll”
Per i sistemi a 64 bit, i comandi sono invece:
Regsvr32.exe /u “%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll”
Regsvr32.exe /u “%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll”
Chiaramente quest’ultimo workaround è particolarmente drastico, perché tutti i programmi che utilizzano le funzionalità della libreria oledb32.dll non funzioneranno più correttamente.
Al momento tutti i malware individuati che sono stati utilizzati in attacchi web con questo exploit sono stati euristicamente bloccati da Prevx Edge senza alcun problema. Inoltre, in Windows Vista con UAC attivato e Internet Explorer 7 in modalità protetti, i danni sono comunque limitati grazie alla protezione dell’account utente e al livello di integrità, che riescono a prevenire gravi danni al sistema.
Microsoft ha rilasciato il bollettino identificato come 961051.
-------------
Post correlati:
Io attivo su tutti i PC il DEP ed abilito la protezione anche da Internet Explorer, dovrebbe essere almeno un inizio per evitare grossi problemi. Ad ogni modo utilizzo Internet Explorer solo per gli aggiornamenti di Windows XP (su Windows Vista non serve neppure), per il resto utilizzo Firefox quindi questo problema mi tocca minimamente.
Consiglio di attivare su Vista anche quest’altra protezione: http://support.microsoft.com/kb/956607/en-us/
Segnalo una curiosità.
Andando ad effettuare il download di Comodo Memory Firewall si arriva a questa pagina:
http://www.memoryfirewall.comodo.com/download.html
Il link “Click here to download”, sia per la versione 32bit che quella 64, punta a “http://backup.comodo.com/”.
Non è cioè possibile scaricare il Memory Firewall.
ma non e’ meglio non usarlo inrnet explorer
e’ meglio browser alternativi
e’ molto piu’ semplice
ciao max
ma non e’ meglio non usarlo internet explorer
e’ meglio browser alternativi(firefox ,opera)
ciao max
@Marco
Se non ho capito male, l’attacco sembra sfruttare gli IFrame per essere portato a termine.
Il plugin NoScript offre una protezione contro il clickjacking.
Quindi se per portare a temine l’attacco si nasconde del codice in un IFrame, o si ridirige il click dell’utente a sua insaputa, NoScript dovrebbe essere in grado di proteggere da questa eventualità.
Non trovo però ne’ conferme ne’ smentite a questa ipotesi.
Che tu sappia, è così?
Inoltre, mi chiedo se è un problema esclusivamente di Internet Explorer oppure se questo tipo di attacco può essere portato anche sfruttando altri browser.
Scusa, mi son scordato di specificare che il plugin NoScript è per Firefox
senza farvi seghe mentali come devo fare per disabilitare la proteziione della memoria per contrastaregli attacchi internet visto che non posso togliere la spunta tra le impostazioni avanzate di internet explorer?
comunque ho windows vista e internet explorer 8.