BitDefender®, noto produttore di innovative
soluzioni di sicurezza anti‐malware,ha distribuito un aggiornamento di emergenza
per proteggere gli utenti da una vulnerabilità appena scoperta nella versione 6 e 7 di
Internet Explorer®. Microsoft® ha dato i dettagli delle possibilità di attacco nel
security advisor #981374, e ha annunciato che sta creando una patch per attenuare
la vulnerabilità.
Gli utenti che utilizzano le versioni 6 e 7 di Internet Explorer potrebbero contrarre il
virus visitando una pagina web creata ad hoc che utilizza un codice JavaScript
offuscato che crea un errore di tipo use‐after‐free, come l’accesso ad un comando
dopo che un oggetto è stato cancellato.
Anatomia dell’attacco
Inizialmente, l’utente è spinto a visitare un link speciale, pubblicizzato attraverso
messaggi spam o post su bacheche, social network etc. La pagina web a cui si collega
contiene un codice JavaScript che usa la funzione escape. Per evitare di essere
rilevato dai vari prodotti antivirus, lo script mette in funzione un JavaScript
secondario che sostituisce una variabile con lo string unescape.
Il risultato decodificato è in realtà il carico dannoso che scatenerà un attacco heap
spray e scriverà il codice dannoso nell’area User Data del browser, rendendolo
persistente: il codice dannoso verrà sempre eseguito all’avvio del browser senza
alcun intervento successivo (drive‐by download) e avvierà il download automatico di
un file chiamato notes.exe o svohost.exe (individuato da BitDefender come
Gen:Trojan.Heur.PT.cqW@aeUw@pbb).
Quest’approccio è simile a quello descritto nel Common Vulnerabilities and
Exposures CVE‐2010‐0249, utilizzato in attacchi mirati a 34 delle corporation
maggiori, tra cui anche Google™ and Adobe™.
Ridurre il rischio
Microsoft ha annunciato che l’exploit è già diffuso e che agli utenti sarà distribuita
una soluzione appena possibile. Probabilmente, la compagnia distribuirà una patch il
prossimo “patch Tuesday”, cioè il 13 aprile. Dato che Explorer® 8 non è vulnerabile
all’attacco, logicamente il passo successivo sarebbe quello di aggiornare la versione
immediatamente. Purtroppo, molte applicazioni fatte su misura per le aziende sono
strettamente collegate a IE 6 o IE 7 e potrebbero non funzionare correttamente con
Internet Explorer 8.
BitDefender al momento sta individuando l’exploit per bloccare il codice dannoso
prima che danneggi il computer. Inoltre, tutti i client BitDefender sono stati
immediatamente protetti contro i binari infetti che l’exploit cerca di installare sulla
macchina.
Per essere sempre protetti, BitDefender raccomanda di scaricare, installare e
aggiornare un antimalware completo con protezione antivirus, antispam,
antiphishing e firewall e di essere molto cauti quando si viene spinti ad aprire file
provenienti da link sconosciuti.