BitDefender: protezione contro le vulnerabilità di Internet Explore 6 e 7

BitDefender ha distribuito un aggiornamento di emergenza per proteggere gli utenti da una vulnerabilità appena scoperta nella versione 6 e 7 di Internet Explorer. Microsoft ha dato i dettagli delle possibilità di attacco nel security advisor #981374, e ha annunciato che sta creando una patch per attenuare la vulnerabilità.

Gli utenti che utilizzano le versioni 6 e 7 di Internet Explorer potrebbero contrarre il virus visitando una pagina web creata ad hoc che utilizza un codice JavaScript offuscato che crea un errore di tipo use-after-free, come l’accesso ad un comando dopo che un oggetto è stato cancellato.

Anatomia dell’attacco.
Inizialmente, l’utente è spinto a visitare un link speciale, pubblicizzato attraverso messaggi spam o post su bacheche, social network etc. La pagina web a cui si collega contiene un codice JavaScript che usa la funzione escape. Per evitare di essere rilevato dai vari prodotti antivirus, lo script mette in funzione un JavaScript secondario che sostituisce una variabile con lo string unescape.

Il tuo browser potrebbe non supportare la visualizzazione di questa immagine.
Il risultato decodificato è in realtà il carico dannoso che scatenerà un attacco heap spray e scriverà il codice dannoso nell’area User Data del browser, rendendolo persistente: il codice dannoso verrà sempre eseguito all’avvio del browser senza alcun intervento successivo (drive-by download) e avvierà il download automatico di un file chiamato notes.exe o svohost.exe (individuato da BitDefender come Gen:Trojan.Heur.PT.cqW@aeUw@pbb).

Quest’approccio è simile a quello descritto nel Common Vulnerabilities and Exposures CVE-2010-0249, utilizzato in attacchi mirati a 34 delle corporation maggiori, tra cui anche Google and Adobe.

Ridurre il rischio.
Microsoft ha annunciato che l’exploit è già diffuso e che agli utenti sarà distribuita una soluzione appena possibile. Probabilmente, la compagnia distribuirà una patch il prossimo “patch Tuesday”, cioè il 13 aprile. Dato che Explorer® 8 non è vulnerabile all’attacco, logicamente il passo successivo sarebbe quello di aggiornare la versione immediatamente. Purtroppo, molte applicazioni fatte su misura per le aziende sono strettamente collegate a IE 6 o IE 7 e potrebbero non funzionare correttamente con Internet Explorer 8.

BitDefender al momento sta individuando l’exploit per bloccare il codice dannoso prima che danneggi il computer. Inoltre, tutti i client BitDefender sono stati immediatamente protetti contro i binari infetti che l’exploit cerca di installare sulla macchina.

Per essere sempre protetti, BitDefender raccomanda di scaricare, installare e aggiornare un antimalware completo con protezione antivirus, antispam, antiphishing e firewall e di essere molto cauti quando si viene spinti ad aprire file provenienti da link sconosciuti.