Falla nel DOS di Microsoft

Mentre Microsoft è ancora impegnata nello sviluppo di una patch per Internet Explorer che risolva la falla recentemente utilizzata negli attacchi a Google, un esperto di sicurezza ha divulgato i dettagli di una vulnerabilità apparentemente celata in Windows dalla "notte dei tempi", ovvero dall'anno 1993. Ad esserne interessate sarebbero tutte le versioni di Windows a partire da NT, inclusi XP, Server 2003, Vista, Server 2009 e 7.

Tavis Ormandy, scopritore della falla e information security engineer presso Google, spiega in questo advisory che il problema è legato alla Virtual DOS Machine, e può essere sfruttato per iniettare del codice direttamente nel kernel di Windows: questo potrebbe consentire a un aggressore o a un malware di prendere il controllo delle aree più "sensibili" e protette del sistema, e installare ad esempio key logger o rootkit.

The Register riporta che la società Immunity di Miami ha già aggiunto l'exploit della vulnerabilità al proprio software di auditing indirizzato ai professionisti della sicurezza. La società afferma che l'exploit è stato testato con successo su tutte le versioni di Windows ad eccezione della 3.1.

In attesa che Microsoft rilasci una patch, Ormandy afferma che è possibile proteggersi della debolezza disattivando i sottosistemi MSDOS e WOWEXEC di Windows: per farlo è necessario modificare alcune voci di registro così come spiegato in questo articolo del supporto tecnico di Microsoft. Va rimarcato che disattivando questi due componenti si perde la compatibilità con i vecchi programmi a 16 bit (quelli per DOS e Windows 3.1), ma per la stragrande maggioranza degli utenti questo non dovrebbe essere un problema.

Ormandy sostiene di aver segnalato il bug a Microsoft nel giugno del 2009, tenendone nel frattempo segreti i dettagli: non avendo ricevuto da BigM alcuna risposta, e avendo constatato che il baco è ancora aperto, negli scorsi giorni si è deciso a rendere il problema di pubblico dominio insieme a un exploit dimostrativo.

Contattata da The Register, Microsoft ha fatto sapere, per bocca di un suo portavoce, di stare vagliando l'advisory di Ormandy e di non essere a conoscenza di attacchi che sfruttino questa vulnerabilità.

Ieri il big di Redmond ha anche annunciato che la recente falla di Internet Explorer verrà corretta appena possibile, e al di fuori del suo ordinario ciclo di pubblicazione dei bollettini di sicurezza. Sui rischi e la portata di tale vulnerabilità Microsoft Italia ha recentemente minimizzato.

"Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità - praticamente tutte - e quella seriamente impattate da eventuali attacchi intrusivi - solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB)" ha scritto ieri Feliciano Intini, chief security advisor di Microsoft Italia, sul suo blog.

Fonte