Sicurezza

Gli hacker sfruttano bug critico di IE; Microsoft promette di patch

"Ci sono solo segnalazioni di un numero limitato di attacchi mirati che hanno interessato Internet Explorer 8 e 9, anche se il problema potrebbe potenzialmente interessare tutte le versioni ". Questo è quanto dichiarato da Dustin Childs, un manager nel gruppo Trustworthy Computing, in un post sul proprio blog martedì mattina. "Stiamo lavorando attivamente per sviluppare un aggiornamento di sicurezza per risolvere questo problema", ha aggiunto Childs. Secondo Childs e il Security Advisory di Microsoft pubblicato mercoledì, la vulnerabilità interessa tutte le versioni supportate di IE, dal vecchio IE6 a IE11 non ancora ufficialmente rilasciato e che accompagnerà Windows 8.1 quando sarà presentato il prossimo 18 ottobre.

Un bug presente fin dalla versione sei di IE che viene scoperto (o meglio, che viene usato) solo ora… Considerato in quanti tengono sott'occhio IE ogni giorno, scovare questi bug non dev'essere poi così facile.

 

Sebbene l’avviso di Microsoft non l’abbia messa in questi termini, la vulnerabilità può essere sfruttata utilizzando tattiche classiche di attacco conosciute come “drive-by". Ciò significa che gli hacker hanno bisogno solo di attirare le vittime che utilizzano IE verso siti dannosi o siti legittimi che siano stati precedentemente compromessi e caricati con un codice malevole che dirotta il browser e scarica un malware sul proprio PC Windows. Fino a quando Microsoft non produrrà una patch, l'azienda ha offerto ai clienti diverse opzioni per evitar problemi, compresa la consulenza sulla configurazione di EMET 4.0 e con il rilascio di un "Fixit",un tools automatizzato per "shim" la DLL che contiene il motore di rendering di IE. EMET è uno strumento progettato per gli utenti avanzati, professionisti IT, che rende più complesso sfruttare le vulnerabilità note su di un sistema, efficace ma un po' macchinoso. L’utilizzo del tool “Fixit” è molto più semplice da utilizzare per i singoli utenti: Microsoft ha pubblicato un link per il “Fixit” sul suo sito di supporto, e i clienti devono solo fare clic sul simbolo "Attiva".  Sulla base delle esperienze passate, le soluzione “Fixit” di Microsoft probabilmente usano l'Application Compatibility Toolkit per modificare la libreria di base di IE e una DLL (Dynamic Link Library) denominata "Mshtml.dll" che contiene in memoria il rendering del motore del browser ogni volta che viene eseguito. Il “Fixit” non chiude questo bug, ma rende il browser immune agli attacchi. Non è ancora chiaro quando tale patch verrà rilasciata, visto che il prossimo regolare rilascio di aggiornamenti mensili è previsto tra tre settimane. È possibile però che a Redmond, il Security Team dell'azienda consegnerà un cosiddetto update "out-of-band" prima del 9 ottobre. Gli aggiornamenti “out-of-band” di Microsoft sono rari: l'ultimo è stato il “MS13-008”, una patch di emergenza emessa il 14 gennaio di quest’anno che risolveva un bug in IE6, IE7 e IE8 e che era stata sfruttata dagli hacker dall'inizio di dicembre del 2012.