Brutta falla per Windows 2000

[handyman]

Il gruppo di sicurezza GreyMagic ha rilevato una falla davvero preoccupante in Windows 2000 Professional, Server, Advanced Server e Datacenter, anche se aggiornato con Service Pack 4 e tutte le ultime patch disponibili. Windows XP, così come Windows Server 2003 o Windows 98/98SE/ME sono risultati del tutto immuni.

Il bug è localizzato nella libreria webvw.dll di Windows 2000, utilizzata dalla shell di Windows explorer.exe, meglio nota come Risorse del Computer e Esplora Risorse: di default infatti la shell visualizza una barra di anteprima orizzontale durante la navigazione fra dischi e cartelle, che permette di recuperare automaticamente informazioni su alcuni tipi di file.



Questi dati, che possono essere la data dell'ultima modifica, il nome dell'autore, la durata del clip, la grandezza del file o altro, vengono recuperati utilizzando appunto il componente webvw.dll, che legge e mostra a video le informazioni recuperate dal file.

GreyMagic ha scoperto una falla nella funzione che trasforma le stringe di testo in indirizzi e-mail in caso venga trovato il carattere @ come sottostringa: il modulo non valida correttametne il contenuto della stringa, permettendo di iniettare anche codice di scripting in coda, che verrà processato non appena l'utente selezionerà il file malformato.

Va precisato che non è necessario che l'utente apra il file malevolo, ma solamente che lo selezioni all'interno di Risorse del Computer per mandare in esecuzione il codice malevolo ivi contenuto.

Un cracker può sfruttare questa debolezza per eseguire codice a propria discrezione sulla macchina bersaglio: caricando una backdoor, un utente ostile può di fatto prendere pieno controllo del sistema, anche da remoto.


Il gruppo ha rilasciato alcuni (innocui) file dimostrativi: Mostra un messaggio, copia se stesso nella cartella corrente oppure rinomina se stesso automaticamente ad ogni selezione.

Sebbene dalle nostre prove solamente il primo test abbia effettivamente funzionato, la notizia è stata ripresa da Secunia e da altre autorevoli e-zine di sicurezza, e può essere considerata attendibile.

Microsoft non ha ancora rilasciato alcuna patch che possa correggere il difetto, ma fortunatamente non è ancora apparso alcun exploit in grado di eseguire codice arbitrario. Fino a quando non verrà resa disponibile una correzione al problema, è altamente consigliato disabilitare la barra di anteprima: Risorse del Computer -> Strumenti -> Opzioni cartella e da qui selezionare Usa cartelle di Windows .

http://www.megalab.it/news.php?id=594

[handyman]

A causa dell'uscita di GreyMagic, Microsoft ha dovuto fornire una risposta ufficiale all'accaduto. Che, prevedibilmente, tende a minimizzare il bug: "Richiede una significativa interazione dell'utente" è la tesi proveniente da Redmond.
Se questa è la posizione ufficiale, quella ufficiosa sembra diversa: non si spiega altrimenti il blog di Stephen Toulouse, program manager presso Microsoft Security Response Center. Qui le cose sono più approfondite, e si suggerisce di bloccare a livello di firewall il servizio di condivisione delle risorse, e di rischio riservato all'ambito Intranet.
La chiusura promette che "Microsoft continuerà ad investigare sull'accaduto [...] e potrebbe rilasciare una correzione nel consueto ciclo di patch mensile o fuori di esso".

Leggendo tra le righe, è facile capire come in quel di Redmond l'investigazione sia già completa (il bug c'è ed è documentato), e che il rilascio della patch ci sarà, anche se in un tempo non specificato.


http://www.mytech.it/news/articolo/idA028001062207.art