Allarme WMF: si discute sull'aggiornamento

E' il caso di inizio anno per quanto riguarda il tema della sicurezza: una nuova ondata di attacchi su una falla nel modo in cui le versioni di Windows dalla 98 a XP gestiscono i file in formato WMF (Windows Metafile). Uno di questi attacchi si presenta in un messaggio di posta elettronica con soggetto 'happy new year' contenente un allegato chiamato 'HappyNewYear.jpg', che è un file WMF nascosto. Sebbene il file sia identificato a prima vista come JPEG, spiegano gli esperti, Windows ne riconosce il contenuto come WMF e cerca di eseguire il codice ivi contenuto. Il Chief Research Officer di F-Secure, Mikko Hypponen, ha spiegato nel suo blog che il file può essere avviato visualizzando semplicemente la cartella che lo contiene o anche consentendogli di essere indicizzato da utility di ricerca desktop, come ad esempio Google Desktop. Di fatto il codice sorgente per un nuovo exploit è già ampiamente disponibile su Internet, consentendo la creazione di nuovi attacchi con varie tipologie di payload. Il file 'HappyNewYear.jpg' ad esempio, cerca di scaricare la backdoor chiamata Bifrose.

Un caso, dicevamo, non solo per via del tipo di attacco ma anche per le opinioni sulla cura da attuare: c'è chi spinge per applicare da subito un patch non ufficiale e chi invece sostiene che sia necessario attendere il rilascio ufficiale da parte di Microsoft. Si parte con i ricercatori del SANS Institute Internet Storm Center (ISC) che, allarmati dalle dimensioni della minaccia, hanno lavorato per validare e migliorare una patch non ufficiale sviluppata dal ricercatore Ilfak Guilfanov per risolvere il problema WMF: “Abbiamo attentamente scrutinato questa patch. Non solo fa quanto pubblicizzato, ma è reversibile e, nella nostra opinione, è sia sicura che efficace”. Anche Hypponen di F-Secure ha dal canto suo parlato di tale soluzione facendo eco al consiglio dato da ISC di installarla: “Conosciamo questa persona. Abbiamo controllato il codice. Fa esattamente quello che dice e nient'altro. Abbiamo controllato il binario e funziona”.

Meno convinta è la Senior Security Consultant di Sophos, Carole Theriault, secondo la quale le aziende non dovrebbero installare tale rimedio: “Non lo raccomanderemmo, per ragioni di testing”. Theriault ritiene invece che dovrebbero mantenere aggiornata l'attuale protezione antivirus e concentrasi sul blocco di mail non sollecitate, in attesa della patch di Microsoft. Inoltre dovrebbero incoraggiare gli utenti a visitare solo siti con una buona reputazione e stare attenti a che cosa scaricano.

Microsoft dal canto suo ha comunicato che ci vorranno alcuni giorni ancora per il rilascio della sua patch ufficiale (l'advisory si trova a questo indirizzo) e spiega di aver rivisto e testato attentamente gli aggiornamenti della sicurezza, che verranno offerti simultaneamente in 23 lingue per tutte le versioni affette dal problema. Non può invece “fornire un'assicurazione simile per aggiornamenti della sicurezza forniti da terze parti” .

Il numero di utenti potenzialmente a rischio è molto alto, con diverse versioni di Windows che sono soggette alla vulnerabilità, ma il numero di quelli realmente colpiti è per ora basso, sostengono alcuni ricercatori. Lo staff del laboratori Avert di McAfee riporta ad esempio che fino a ieri il 7,45% degli utenti dei suoi prodotti di sicurezza retail avevano scoperto di avere i propri computer infettati con programmi maligni che sfruttavano la falla su WMF. Tale percentuale era al 6% sabato.

Tuttavia, per l'analista Jay Heiser di Gartner esiste ancora un grande rischio potenziale: “è una gara tra Microsoft e la comunità degli exploit”. Una 'gara' cominciata il 27 dicembre con i ricercatori di Websense che hanno segnalato dei siti Web che sfruttavano l'exploit. Il 28 dicembre Microsoft ha rilasciato il suo primo advisory riconoscendo il potenziale problema. Nel fine settimana ha poi dato dei consigli su come gli utenti potrebbero ridurre il rischio disabilitando una parte del sistema operativo, relativa alla libreria shimgvw.dll. Questa mossa, ha spiegato il vendor, ha d'altro canto come conseguenza il blocco di alcune funzioni di visualizzazione di immagini e fax.

Vota 7    

» Iscriviti gratuitamente alla newsletter quotidiana di Computerworld