Nuova falla che colpisce i file .ani che gestiscono i cursori animati di Windows. Ma c'è uuna patch
Microsoft ha reso noto tramite il Security Advisory 935423 di star investigando su nuove segnalazioni pubbliche relative ad attacchi che sfruttano una vulnerabilità nel modo in cui Windows gestisce i file cursore animati (.ani).
Secondo quanto riporta Symantec sul blog del Security Response "
La vulnerabilità è causata da una verifica di formato non adeguata, prima del rendering di cursori, cursori animati ed icone. Se sfruttata con successo, la falla permette ad un attacker di eseguire codice da remoto sulla macchina vittima … Pur essendo simile alla vulnerabilità descritta nel Bollettino di Sicurezza MS05-002, si tratta di una falla totalmente nuova … il Security Response ha ricevuto solo una manciata di submission dell'exploit. Attualmente tutti i campioni di codice sono rilevati come Downloader o Trojan.Anicmoo. Si tratta generalmente di file .ani rinominati con l'estensione .jpg".
Anche Sophos ha pubblicato un articolo dedicato al nuovo problema di sicurezza, e ha classificato il codice nocivo coinvolto negli attacchi alla falla come Troj/Animoo-U.
Anche Trend Micro ha classificato il codice exploit come Troj_Anicmoo.ax.
Secondo l'advisory dedicato di Secunia, nota azienda di security monitoring, la vulnerabilità affligge Windows 2000, Windows Server 2003, Windows Storage Server 2003, Windows Vista e Windows XP.
Dal Security Advisory 935423 di Microsoft: "Perché questo tipo di attacco possa essere condotto con successo un utente deve visitare un sito web che contiene una pagina usata per sfruttare la vulnerabilità, oppure deve visualizzare un messaggio di posta modificato ad arte o un allegato e-mail inviatogli da un attacker.
È buona norma essere molto cauti nell'aprire allegati non richiesti o di dubbia provenienza. Microsoft ha aggiunto informazioni sul rilevamento nel Windows Live OneCare Safety Scanner per la rimozione di malware che tentano di sfruttare questa vulnerabilità.
Microsoft inoltre intende condividere le informazioni in suo possesso con i partner Microsoft Security Response Alliance in modo da poter rilevare e risolvere più prontamente eventuali attacchi. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft.".
Secondo Microsoft, gli attacchi sembrano per ora molto limitati e mirati e non diffusi.
L'azienda sta monitorando la problematica ed aggiornerà l'Advisory e il blog del team MSRC con nuove informazioni a riguardo, appena disponibili.
Il colosso ha anche fornito alcune informazioni addizionali per i clienti riguardo le componenti vulnerabili, un workaround che attenua il rischio derivante dal problema di sicurezza ed i fattori attenuanti che vanno a limitare il livello di rischio per gli utenti di Windows.
Microsoft suggerisce di leggere i messaggi di posta in formato testo normale in Outlook 2002 e successivi, o Outlook Express 6 SP1 e successivi, per evitare il vettore di attacco nell'anteprima HTML delle e-mail. Il colosso evidenzia che:
1. Se sta usando Outlook 2007 l'utente risulta protetto dalla vulnerabilità indipendentemente dalla modalità di consultazione della posta, come testo normale o no.
2. Se sta usando Windows Mail di Vista per leggere la posta l'utente risulta protetto fintanto che non esegue un forward o un reply della mail inviata dagli attacker.
3. Outlook Express risulta in ogni caso vulnerabile, indipendentemente dalla modalità di consultazione della posta, come testo normale o no.
Secondo l'alert dell'US-CERT: "Una vulnerabilità di stack buffer overflow esiste in nel modo in cui Windows processa file malformati di cursori animati. Windows non convalida correttamente le dimensioni specificate nell'header ANI. Bisogna notare che Windows Explorer processa i file ANI con diverse estensioni file, come .ani, .cur, o .ico. Inoltre i file di cursore animati vengono processati quando la cartella che li contiene viene aperta o viene usata come un cursore. Infine Internet Explorer è in grado di processare file ANI nei documenti HTML, quindi anche pagine web e messaggi di posta in HTML possono sfruttare la falla".
Infine segnaliamo che eEye Digital Security Research Team ha reso disponibile una patch temporanea che impedisce ai file cursore di essere caricati esternamente alla cartella %SystemRoot%.
La patch impedisce ai siti web di caricare le proprie icone animate, eventualmente nocive. eEye evidenzia che le aziende che sono interessate ad installare la patch third-party dovranno anche procedere alla sua rimozione una volta che Microsoft avrà reso disponibile un aggiornamento di protezione ufficiale.
Link alla patch:
http://research.eeye.com/html/alerts/zeroday/20070328.html
- Articolo precedente Youtube di documenti, presentazioni e powepoint: si chiama Scribd
- Articolo successivo Video: Disegnare con Microsoft Paint la Gioconda in poco più di due ore