Lo specialista della sicurezza Internet Security Systems (ISS) ha emesso un avviso per un attacco zero-day che ha preso di mira una vulnerabilità senza patch in tutte le versioni dei service pack di Windows 2000, XP e Server 2003.
Il problema è un overflow dello stack durante la gestione dei file Virtual Markup Language (VML), un'applicazione XML che include dati vettoriali e informazioni su come visualizzarli.
Lo sfruttamento riuscito della vulnerabilità consentirebbe a un utente malintenzionato di accedere al sistema di destinazione con il file stessi privilegi dell'utente, solitamente a livello di amministratore per gli utenti Windows, e include la possibilità di eseguire in remoto codice.
L'attacco potrebbe essere lanciato da una pagina HTML appositamente predisposta, ospitata su un sito Web o inviata tramite un'e-mail HTML.
L'ISS afferma di essere stata avvisata per la prima volta del problema il 12 settembre, quando i sistemi di rilevamento delle intrusioni utilizzati dai suoi clienti hanno iniziato ad emettere avvisi su un sito Web che ospitava exploit per questa vulnerabilità.
Successivamente, entro il 16 settembre, i servizi di filtraggio dei contenuti Web dell’ISS avevano identificato nuovi siti Web che ospitavano lo stesso codice di exploit.
James Rendell, Senior Technology Specialist presso l’ISS, ha dichiarato: “Questo è un classico caso di vulnerabilità zero day”.
Nonostante l’ampia gamma di sistemi potenzialmente a rischio a causa di questa vulnerabilità, Microsoft, informata del problema il 18 settembre, descrive gli attacchi come “mirati e molto limitati”. Riconosce, tuttavia, che “la vulnerabilità viene sfruttata attivamente”.
Anche così, Redmond non ha intenzione di rilasciare una patch pubblica per questo fino al prossimo ciclo di bollettini sulla sicurezza, previsto per il 10 ottobre.
Dice che sta già lavorando ad un aggiornamento. E nel caso in cui una tale vulnerabilità non fosse stata resa pubblica, e ancor meno si fosse rivelata preda di un codice exploit esistente, sarebbe è prassi normale dedicare del tempo ad assicurarsi che la patch rilasciata sia compatibile con le varie configurazioni della Microsoft interessata Software.
Ma con una finestra di quasi tre settimane con cui giocare, anche gli attaccanti hanno una lunga finestra di opportunità.
Microsoft lo è consigliare i clienti per disattivare il componente VML finché non viene rilasciata una patch, impostare Outlook in modo che visualizzi solo testo e, per IE 6 con Service Pack 2, disabilita i comportamenti binari e script nella sicurezza Internet e Intranet locale zona.
Tuttavia, parlando da un punto di vista personale, Rendell è rimasto incuriosito dalla reazione di Microsoft.
“È interessante confrontare questo con il recente lettore multimediale Hack DRM. Microsoft ha rilasciato una patch per questo problema entro tre giorni. C’è un chiaro incentivo economico. È interessante che possano reagire molto rapidamente in quello scenario”, ha detto.
Da marzo i clienti della ISS sono protetti dagli attacchi che sfruttano la falla, ha affermato Rendell.
