Due 0day exploit usati insieme impensieriscono gli esperti di sicurezza

Il patch day di Microsoft è stato particolarmente ricco per il mese di dicembre: sono stati numerosi gli update rilasciati e significativi sul piano della sicurezza i problemi risolti. Un approfondimento dedicato è disponibile a questo indirizzo. Con queste premesse potremmo ipotizzare una fine 2010 in una situazione di sostanziale calma e senza grosse novità, ma PrevX non la pensa così e invita a alzare il livello di guardia proprio per il periodo festivo, e in particolar modo per le reti aziendali.

A destare preoccupazione sono due 0day exploit ancora non risolti da Microsoft e documentati online. Secondo gli esperti di PrevX, l'utilizzo di questi due exploit in modo congiunto potrebbe rivelarsi molto pericoloso. Andiamo per gradi e descriviamo il primo problema di sicurezza.

Il primo exploit riguarda l'esecuzione di codice da remoto su sistemi in cui sia presente Internet Explorer nelle versioni 6, 7 e 8. Utilizzando il browser web su pagine contenenti CSS appositamente creati e attraverso mshtml.dll il malware è in grado di aggirare la protezione ASLR (Address Space Layout Randomization) disponibile sui sistemi operativi Windows Vista e Windows 7. Di fatto viene richiamata mscorie.dll che non utilizza ASLR e offre quindi al malware un accesso per l'esecuzione della propria payload.

Salvo bizzarre configurazioni del sistema, quanto appena descritto non è ancora estremamente pericoloso, infatti di default i contenuti internet gestiti dal browser vengono gestiti nel cosiddetto "Protected Mode". Abbiamo sottolineato come i soli contenuti internet vengano gestiti attraverso il "Protected Mode", mentre quanto gestito in locale o attraverso la intranet aziendale non beneficia di questa opzione di sicurezza nel momento in cui un PC è aggiunto a un dominio di rete, poiché la zona Intranet di Internet Explorer in quel caso viene attivata con le impostazioni di default di sicurezza. Ora, ipotizziamo che venga eseguita una payload in grado di installare sul PC un piccolo webserver, il tutto reso possibile dall'exploit relativo a mscorie.dll. Ipotizziamo poi che tale web server, presente in locale sulla macchina e quindi utilizzato dal browser non in Protected Mode, metta a disposizione lo stesso codice malware.

Il fatto che tale codice venga eseguito in locale sul PC e non in Protectd Mode potrebbe esporre dati utente e dati sensibili a potenziali pericoli. Lo step successivo, certo più ambizioso ma non da escludere a priori, potrebbe prevedere l'accesso a privilegi di amministratore sul sistema, con tutte le ovvie conseguenze. Uno 0day exploit ancora irrisolto è documentato qui.

PrevX suggerisce l'installazione di un tool messo a disposizione da Microsoft stessa che di fatto forza l'utilizzo di ASLR anche per dll che non prevedevano tale opzione. In alternativa è possibile anche modificare le impostazioni del "Protected Mode" prevedendone l'uso anche nell'accesso a risorse locali o in Intranet.