La scorsa settimana è stata settimana di update per Microsoft, che ha rilasciato otto aggiornamenti di sicurezza per i propri prodotti. Ciò non è però bastato per evitare un attacco 0day ad Internet Explorer, che è stato isolato il giorno seguente gli aggiornamenti.

L’attacco è tutt’ora utilizzato e non esiste al momento un aggiornamento risolutivo del problema, la vulnerabilità è ancora in fase di analisi.

L’exploit sfrutta un errore di Internet Explorer nella gestione del DCOM Data Binding e non, come erroneamente dichiarato da alcuni siti online, un errato comportamento del parser XML.

L’errore è stato identificato in uno use-after-free, cioè l’utilizzo di una o più determinate zone di memoria dopo che queste siano state deallocate e non più utilizzate. Solitamente questo errore consiste nel lasciar puntare ad uno o più puntatori – che inizialmente puntano ad determinata una zona di memoria allocata – ancora la stessa zona di memoria dopo che questa sia stata liberata. Di conseguenza, si rischia la sovrascrittura di dati importanti – se la zona di memoria in questione è stata già riutilizzata – con la conseguenza di possibili crash, sino anche alla possibile esecuzione di codice malevolo.

Alcune pagine web, volutamente malformate, permettono così di istruire Internet Explorer a scaricare e ad eseguire codice nocivo.

Al momento gli exploit pubblici colpiscono esclusivamente Internet Explorer 7, ma Microsoft ha specificato che tutte le versioni di Internet Explorer sono vulnerabili.

Se non esistono patch al momento – sia Windows Vista SP1 che Windows XP SP3 totalmente aggiornati sono vulnerabili – esistono però alcuni workaround che permettono di limitare il problema.

Il primo è l’utilizzo della tecnologia DEP per limitare il problema. Nel caso di Vista, Internet Explorer 7 di default ha la funzionalità DEP disattivata, mentre la versione la versione a 64 bit di Vista ha attivato il DEP su tutti i processi. Per attivare il DEP nella versione a 32 bit di Vista è necessario eseguire Internet Explorer come amministratore, andare dunque su StrumentiOpzioni InternetAvanzateAttiva la protezione della memoria per contrastare gli attacchi da Internet.

Il DEP deve chiaramente essere supportato da un processore che gestisca la tecnologia NX Bit (o XD Bit).

Un’alternativa può essere l’utilizzo di software che prevengono gli attacchi causati dall’esecuzione di codice da zone di memoria adibite ai dati. Un esempio è il programma free Comodo Memory Firewall.

Un altro workaround è la configurazione in Internet Explorer dell’area di navigazione Internet e Intranet su Alta, così da richiedere l’autorizzazione per l’esecuzione dell’Active Scripting. Altrimenti, se si utilizza una configurazione manuale di Internet Explorer, configurare l’Active Scripting in modo tale da chiedere l’autorizzazione prima di eseguire script.

Un altro workaround è la disabilitazione della funzionalità XML Data Island, eliminando la seguente chiave di registro: HKEY_CLASSES_ROOTCLSID{379E501F-B231-11D1-ADC1-00805FC752D8}.

Su Windows Vista e Windows Server 2008 è necessario eseguire Regedit come amministratore prima di effettuare i seguenti cambi ed assegnare i diritti della chiave di registro. Eseguito Regedit, andare alla chiave di registro HKEY_CLASSES_ROOTCLSID{379E501F-B231-11D1-ADC1-00805FC752D8}, tasto destro sulla chiave, poi cliccare su AutorizzazioniAvanzateProprietario – cambia proprietario all’amministratore. Fatto questo, eliminare la chiave in oggetto.

Un altro – seppur drastico – workaround è la disabilitazione della dll oledb32.dll attraverso il comando:

Regsvr32.exe /u “%ProgramFiles%Common FilesSystemOle DBoledb32.dll”

Per i sistemi a 64 bit, i comandi sono invece:

Regsvr32.exe /u “%ProgramFiles%Common FilesSystemOle DBoledb32.dll”
Regsvr32.exe /u “%ProgramFiles(x86)%Common FilesSystemOle DBoledb32.dll”

Chiaramente quest’ultimo workaround è particolarmente drastico, perché tutti i programmi che utilizzano le funzionalità della libreria oledb32.dll non funzioneranno più correttamente.

Al momento tutti i malware individuati che sono stati utilizzati in attacchi web con questo exploit sono stati euristicamente bloccati da Prevx Edge senza alcun problema. Inoltre, in Windows Vista con UAC attivato e Internet Explorer 7 in modalità protetti, i danni sono comunque limitati grazie alla protezione dell’account utente e al livello di integrità, che riescono a prevenire gravi danni al sistema.

Microsoft ha rilasciato il bollettino identificato come 961051.