|
|
|
|
|
|
Windows, vulnerabilità seria nei file LNK e PIF, basta visitare un sito |
|
|
 In tutte le versioni recenti di Windows c'è una vulnerabilità,
classificata come CVE-2010-2568,
che consente di infettarle semplicemente inserendo nel computer una
penna USB o tramite una condivisione di rete locale o un documento o un
sito Web. Microsoft ha predisposto un rattoppo d'emergenza, l'Internet
Storm Center ha emanato un raro allarme giallo
preventivo, e sembra che l'attacco sia mirato specificamente a
raggiungere e colpire i sistemi SCADA, quelli che gestiscono gran parte
delle infrastrutture critiche nazionali. In altre parole, non si tratta
del solito virus, ma di un attacco sofisticato con bersagli ben diversi
da quelli del crimine informatico tradizionale.
Secondo l'avviso
di sicurezza 2286198 di Microsoft, sono vulnerabili Windows XP,
Windows Server 2003 e 2008, Windows Vista e Windows 7. Il problema sta
nel modo in cui queste versioni di Windows gestiscono i file di shortcut:
si tratta di file che sono collegamenti ad altri file o programmi e
sono identificati dall'estensione LNK o PIF. Non è necessario aprire o eseguire uno
di questi file per infettarsi: è sufficiente visualizzarne l'icona,
anche se sono stati disattivati AutoRun e AutoPlay.
Gli scenari delineati da Microsoft sono vari: un aggressore può dare
alla vittima una penna USB contenente i file LNK o PIF ostili che
rimandano a un virus o a un cavallo di Troia, che viene eseguito quando
si visualizza il contenuto di questa penna con Esplora Risorse o con
qualunque applicazione che gestisca l'icona dello shortcut. Non è
necessario il doppio clic per avviare l'esecuzione.
Un aggressore può creare un sito Web o una condivisione di rete e
piazzarvi un file di shortcut: quando la vittima visita il sito usando
un browser o un file manager come per esempio Esplora Risorse, Windows
carica l'icona dello shortcut e viene eseguito automaticamente il virus o
cavallo di Troia associato allo shortcut. La vulnerabilità può essere
sfruttata anche incorporando uno shortcut in un documento (per esempio
nei documenti di Microsoft Office).
I sistemi SCADA presi di mira sono specificamente quelli della Siemens,
tramite un cavallo di Troia denominato Stuxnet che cerca di acquisire la
password di default del sistema. È chiaro che avere un cavallo di Troia
che va a caccia di password su un sistema informatico che gestisce
un'infrastruttura vitale (reti elettriche, centrali e simili) non è una
bella cosa. Secondo Computerworld,
sono stati segnalati attacchi realizzati ai danni di una industria
tedesca e di un'organizzazione iraniana e tentativi d'infezione negli
Stati Uniti, in Indonesia, India e Iran. Symantec parla di circa 9000
tentativi al giorno. Siemens ha pubblicato delle linee
guida per gestire il problema.
Microsoft ha pubblicato un rattoppo che va
eseguito manualmente dall'utente, perché non fa parte degli
aggiornamenti automatici. Vista la facilità con la quale si può
diffondere questo attacco, e visto che l'Internet Storm Center dice che "lo
sfruttamento su vasta scala [della vulnerabilità] è solo questione di
tempo", è opportuno installare questo rattoppo al più presto su
tutti i sistemi Windows e attivare, ove possibile, le restrizioni di
esecuzione, in modo che sia consentita l'esecuzione solo da un percorso
specifico e non da una penna USB o da altri dispositivi rimovibili.
Fonti: The Register (1, 2),
Secunia, ZDNet,
Sophos (1,
2,
3,
4).
Commenti () |
|
|
|
|
 |
|
