Buffer overflow nei cursori animati di Windows (Vista, XP, 2003 e 2000)

Windows animated cursorMicrosoft sta affrontando quella che definirei una delle più serie vulnerabilità zero-day di Windows.
L’exploit zero-day segnlato il 28 Marzo dal laboratorio di McAfee riguarda un buffer overflow nel gestore dei cursori animati di Windows (user32.dll), esso infatti non controllando l’header dei file “.ani” (animated) causa un bufferoverflow che pu essere usato per compromettere un sistema Windows.
La paternità sulla scoperta del bug spetta a Determina, la quale già dallo scorso 20 Dicembre sta collaborando attivamente con Microsoft per risolvere il problema. Secondo quanto detto nell’advisory ufficiale la patch rilasciata due anni fa da Microsoft, dopo la segnalazione del bug da eEye, il problema dei buffer overflow nell’header dei cursori animati non era stato completamente risolto.

La pericolosità di questo bug sta nel fatto che un file, di icone animate, creato ad arte può essere inserito in qualsiasi pagina Web o e-mail. Addirittura aprendo una cartella con un file “ani” creato ad arte, a causa del servizio anteprima di Windows, senza bisogno di aprire il file sarà possibile far crashare il processo “explorer”.

Tramite il bollettino di Microsoft si apprende che i vettori di attacco sono Internet Explorer, Outlook Express, Outlook e Windows Mail. Microsoft stessa consiglia di leggere le e-mail in modalità testo semplice (plain text) in Outlook 2002 e successivi e Windows Mail. Attenzione perchè con Windows Mail se si inoltra o si risponde ad una e-mail arrivata, anche se è attiva la modalità testo semplice, il problema non si risolve. Da notare inoltre che per qualsiasi versione di Outlook Express attualmente non esistono workaround.

Per ora Firefox sembra non essere interessato dal problema, anche se in teoria potrebbe esserlo in quanto gestisce i cursori animati tramite le API di Windows.

Benchè il bug sia molto recente sono moltissimi gli exploit pubblici e le varianti utilizzate da gruppi senza scrupolo. Come successo circa un mese fa, alcuni siti compromessi, sono utilizzati per veicolare versioni malevole di exploit sfruttanti la vulnerabilità sui cursori animati. L’ISC ha fornito una lista aggiornata dei domini utilizzati e una regola per Snort, che blocca i file “ani”, sicuramente più efficace del blocco a livello DNS.

Microsoft ha fatto sapere che rilascerà la patch ufficiale domani, 3 Aprile, vista la gravità del problema. La software house di Redmond ci tiene a sottolineare che la path al problema era già stata prevista, grazie alla collaborazione con Determina, per il 10 Aprile.

Esistono due patch non ufficiali per risolvere il bug in questione: una rilasciata da eEye e l’altra da ZIRT. Attenzione però al falso senso di sicurezza, esiste un exploit pubblico che riesce a bypassare i controlli messi in pratica dalla patch di eEye.

In definitiva tutti i sistemi Microsoft Windows basati su NT sono vulnerabili: Windows 2000, Windows XP, Windows 2003 e Windows Vista.

Update: come annunciato Microsoft ha pubblicato la patch. Consiglio di installarla il prima possibile.

 

Un Commento a 'Buffer overflow nei cursori animati di Windows (Vista, XP, 2003 e 2000)'

Segui i commenti sottoscrivendo il feed RSS oppure TrackBack a 'Buffer overflow nei cursori animati di Windows (Vista, XP, 2003 e 2000)'.

  1. perdonatemi il francesismo, ma prenderlo nel cu*o attraverso dei file “ani” è troppo bello…. :-D

:: Trackbacks/Pingbacks ::

Nessun Trackbacks/Pingbacks

Lascia un Commento