Da due settimane sono disponibili i primi codici exploit “pubblici” realmente funzionanti. Ecco cosa fare in attesa della patch risolutiva.
Gli attacchi nei confronti della vulnerabilità, ancora irrisolta, presente in Windows XP (oltre che in Windows Server 2003) ed insita nella “Guida in linea e supporto tecnico“, applicazione in grado di gestire l’URI hcp://, stanno aumentando in modo piuttosto preoccupante.
Lo conferma Microsoft stessa che spiega: “inizialmente avevamo monitorato solo una serie di indagini legittimamente svolte da alcuni ricercatori. Da metà giugno, invece, sono cominciati a comparire pubblicamente i primi codici exploit realmente funzionanti“.
Come si spiega in questa nota, i tecnici del colosso di Redmond hanno rilevato come i tentativi di aggressioni non siano più limitati ad aree geografiche ben specifiche ma tendano ad ampliarsi su una più vasta scala.
Per il momento le aggressioni sono più frequenti in Portogallo e Russia ma sembrano diffondersi anche in molte altre nazioni europee.
A partire dalla scorsa settimana i tecnici di Microsoft hanno individuato la pubblicazione, che appare semi-automatizzata, di pagine html e script PHP contenenti il codice nocivo in grado di sfruttare la falla insita in Windows XP.
I possibili rimedi
Dal momento che non è ancora disponibile una patch risolutiva (dovrebbe essere rilasciata, a questo punto, il prossimo 13 luglio), agli utenti di Windows XP viene consigliato di applicare una soluzione temporanea che consiste nel collegarsi con questa pagina quindi scaricare ed installare il “fix 50459“.
Prima di installare la patch ufficiale, non appena questa sarà resa disponibile, suggeriamo di disattivare la correzione temporanea utilizzando il “fix 50460“, offerto attraverso la medesima pagina web.
In alternativa, si può accedere al registro di sistema e portarsi in corrispondenza della chiave HKEY_CLASSES_ROOT\HCP.
Il passo successivo, per mettersi al riparo da qualunque rischio, consiste nell’eliminare la chiave HKEY_CLASSES_ROOT\HCP (per evitare di danneggiare il contenuto del registro di Windows, ci si accerti più volte di aver selezionato unicamente la sottochiave HCP e di aver fatto il backup del registro con il nome ad esempio di HCP.REG).
Anche in questo caso, prima di installare la patch Microsoft – non appena sarà distribuita – suggeriamo di fare doppio clic sul file HCP.REG per ripristinare la situazione iniziale.
Il ricercatore che aveva scoperto la falla, Tavis Ormandy, è stato pubblicamente criticato da parte di Microsoft. La società guidata da Steve Ballmer ha criticato, insieme con altri osservatori, la decisione di Ormandy di rendere pubblici i dettagli tecnici della problematica rendendo altresì disponibile il codice “proof-of-concept” in grado di far leva sulla lacuna di sicurezza. Anche Graham Cluley di Sophos ha definito “irresponsabile” l’operato di Ormandy.
Il ricercatore, che lavora anche per Google in qualità di ingegnere software, “ha lasciato a Microsoft solamente cinque giorni di tempo per risolvere il problema prima di pubblicare tutti i dettagli tecnici“, ha commentato Cluley. “Cinque giorni non sono sufficienti perché possa essere sviluppata una patch, che deve essere poi testata in modo approfondito affinché non causi più problemi di quanti possa risolverne“.
Ormandy si era difeso spiegando, in un post comparso su Twitter, che era “stanco di negoziare il rilascio di aggiornamenti nel giro di 60 giorni“. Jerry Bryant (Microsoft) ha confermato l’avvio di un colloquio con Ormandy: “ci trovavamo nella prima fase delle investigazioni relative alla falla segnalataci. Il 6/7 giugno abbiamo comunicato (ad Ormandy, n.d.r.) che non avremmo avuto modo di conoscere la programmazione del rilascio di una patch prima della fine del mese. Siamo rimasti colpiti quando abbiamo visto la pubblicazione dei dettagli sulla vulnerabilità, lo scorso 9 giugno“.
Qualora un utente dovesse trovarsi a visitare una pagina web contenente il codice nocivo, potrebbe verificarsi il download automatico di programmi dannosi che verrebbero poi automaticamente installati. Cluley ha spiegato che trattasi di un classico esempio di attacco “drive-by download“.
