Nuova Falla di VML
Un nuovo codice exploit che sfrutta la vulnerabilità ad alto rischio nell’implementazione VML di Windows, corretta pochi giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato rilasciato pubblicamente in rete su milw0rm, ampio sito/database di codici exploit. Cinque giorni era stato segnalato un altro codice exploit per la stessa falla, reso disponibile privatamente da Immunity nell’ambito del programma dedicato ai partner tramite il quale l’azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection) e di penetrating testing. Con la disponibilità pubblica del nuovo exploit cresce ulteriormente quindi il livello di urgenza per l’applicazione della patch da parte degli utenti finali e delle aziende. Il codice exploit reso disponibile riguarda un bug “critico” nell’implementazione di VML (Vector Markup Language) in Windows. Il bug preso di mira risiede nella componente Windows chiamata “vgx.dll” che gestisce i documenti VML. Dal bollettino MS07-004: “Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l’esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato”.
Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di “responsible disclosure”, ma una nota nel suo advisory conferma l’esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Finora tuttavia il codice exploit non era disponibile pubblicamente in rete. Un portavoce del colosso commenta: “Microsoft è a conoscenza che un codice exploit dettagliato è stato pubblicato su Internet, in grado di sfruttare un vulnerabilità corretta con il bollettino MS07-004 … L’azienda incoraggia tutti i clienti ad applicare gli aggiornamenti di sicurezza più recenti”.
La funzionalità dell’exploit pubblico appare comunque limitata, secondo quanto riporta Symantec in un alert emesso per gli utenti del suo servizio di security intelligence DeepSight. Symantec non è stata in grado di eseguire con successo l’attacco sulle versioni in lingua inglese di Windows XP e Windows 2000. L’exploit pubblico è infatti stato testato su XP SP2 versione coreana (fully patched eccetto kb929969) e IE 6.0. L’exploit potrebbe ad ogni modo rappresentare un “starting point” per altri cybercriminali, afferma Symantec: “L’autore ha pubblicato l’esatta location della falla, mostrata in uno screenshot di un binary analyzer, e questo aumenta la probabilità che altri exploit vengano realizzati in futuro”. Tutte le più recenti versioni di Windows sono vulnerabili al problema di sicurezza VML, sfruttando come vettore qualsiasi versione di IE, incluso IE 7. Windows Vista invece non è affetto dal bug.
Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali avevano attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE. Bisogna notare che il nuovo codice exploit sfrutta parte del codice di attacco pubblico rilasciato per MS06-055.
