Pericolosa minaccia sfrutta una vulnerabilità confermata su Windows Xp e Windows Server 2003.
Tutti i principali produttori di software antivirus e le aziende attive
nel campo della sicurezza informatica hanno appena lanciato l’allarme per la
scoperta di una pericolosa vulnerabilità confermata su sistemi Windows Xp e
Windows Server 2003 (anche se aggiornati con l’ultimo Service Pack).
Il
problema di sicurezza riguarda la libreria SHIMGVW.DLL, utilizzata dal sistema
operativo per la gestione dei file grafici WMF (Windows Metafile).
Un
aggressore remoto, dopo essere riuscito ad invitare un utente all’apertura di un
file WMF appositamente strutturato per sfruttare la falla di sicurezza, può
essere in grado di eseguire codice potenzialmente pericoloso e di accedere al
sistema “vittima”. La questione risulta particolarmente grave perché stanno già
nascendo decine di siti web “maligni”, contenenti file WMF ostili, in grado di
causare danni e poiché ancora non è disponibile alcuna patch risolutiva.
Gli
utenti maggiormente esposti al rischio sono tutti coloro che utilizzano Internet
Explorer: semplicemente visitando un sito web “maligno” ci si può ritrovare
immediatamente infetti.
Ma non sono esclusi dal problema nemmeno gli utenti
di Mozilla Firefox, di Opera o di altri browser “alternativi”. In questi casi,
infatti, una volta scaricato in locale un file WMF dannoso, se si tenterà di
aprirlo o di visualizzarne l’anteprima (i.e. da “Risorse del computer”), il
codice nocivo andrà comunque in esecuzione rendendo il personal computer facile
preda di attacchi provenienti dalla Rete. Lo stesso Internet Storm Center di
SANS (isc.sans.org) ha elevato il suo livello di attenzione a “giallo”, lo
stesso usato all’epoca della diffusione dei virus Blaster, Sasser e SQL Slammer.
Microsoft, da parte sua, ha per ora rilasciato un bollettino che illustra
l’incidente (ved. questa pagina). In attesa che il problema sia risolto col
rilascio di una patch, il consiglio più ovvio consiste nell’evitare di aprire
file WMF e di portare il livello di protezione per l’area Internet in Internet
Explorer ad “Alto”.
Un’ulteriore temporanea soluzione consiste
nell’annullare la registrazione della libreria “incriminata” utilizzando il
comando REGSVR32 /U %WINDIR%/SYSTEM32/SHIMGVW.DLL. Si tenga presente che così
facendo, però, il “Visualizzatore immagini e fax” di Windows non funzionerà più
correttamente né verrà proposta l’anteprima per i file WMF. Non appena la
vulnerabilità verrà risolta, sarà possibile usare il comando REGSVR32
%WINDIR%/SYSTEM32/SHIMGVW.DLL per riportare il tutto allo stato iniziale.
Michele Nasi – www.ilsoftware.it
