Tom's Hardware Italia
Sicurezza

Email: adesso i virus ti infettano senza neanche lanciarli!

Non aprite la porta agli sconosciuti e non cliccate su quello che trovate nelle mail, ci insegna la mamma... ma adesso neanche questo basta più.

Come sappiamo le e-mail possono contenere allegati con virus o trojan, che se aperti inavvertitamente hanno conseguenze nefaste per i nostri computer e i nostri dati. La maggior parte degli utenti è ormai avvezza a questo tipo di spam, così come praticamente tutti gli antivirus sono in grado di avvertire della presenza di allegati malevoli ed eliminarli qualora usiate un client per la posta. Nella migliore delle ipotesi, è direttamente il provider di posta che si preoccupa di segnalarvi e di cestinare i messaggi pericolosi.

Ma cosa succede se l'infezione da malware avviene semplicemente aprendo il corpo e quindi leggendo il testo della mail oppure se potessimo essere infettati da un virus con la sola ricezione della messaggio? Niente di buono, ovviamente, ma la nostra non era una domanda retorica. Alcune falle in famosi sistemi di gestione di posta elettronica, infatti, rendono possibili questi scenari quantomeno pericolosi.

IBM Notes è molto più diffuso di quanto non si pensi, soprattutto in ambiti aziendali, dove i pirati vanno a caccia di segreti e progetti da rivendere.

Il primo caso scoperto è stato usando IBM Notes (conosciuto anche come Lotus Notes); questo client accetta codice JavaScript e applet Java anche all'interno di e-mail in formato HTML. Java ed i relativi script sono ovviamente diffusi, ma non dovrebbero trovarsi in mail HTML, né un client dovrebbe permetterne l'esecuzione, proprio per via della facilità di sfruttare le falle di Java. 

Purtroppo Notes lo fa e IBM ha dichiarato di essere al lavoro su un fix per ovviare il problema, nel frattempo chi fa uso di questo client, soprattutto al lavoro, dovrebbe andare nelle opzioni e disabilitare quelle riguardanti l'esecuzione di Java. Un grado di vulnerabilità anche peggiore è stato scoperto su Dovecot ed Exim. Quest'ultimo è un popolare gestore di  e-mail (un MTA, in realtà) usato soprattutto su sistemi Unix, mentre Dovecot è un server IMAP/POP3 che offre un file di configurazione per essere usato proprio su Exim e non è raro, infatti, trovarli installati insieme.

L'exploit è piuttosto grave e si basa sull'esecuzione remota di codice che può essere eseguito sui sistemi colpiti senza nemmeno richiedere l'apertura della mail, infetta, basta solo riceverla! Il malintenzionato può infatti inserire comandi nell'SMTP envelope, che poi sarebbero eseguiti dal server che usa Exim. Finora non ci sono prove o dati in merito a un eventuale uso di queste falle, ma è grave che sia data la possibilità ad un malintenzionato di poter avere un simile controllo semplicemente tramite l'invio di una e-mail. Tenete quindi gli occhi aperti e ricordate che un comportamento “saggio” ci tiene al riparo dalla stragrande maggioranza delle minacce, ma se peschiamo il jolly di una vulnerabilità grave come questa, solo un antivirus molto aggiornato può aiutarci.