I ricercatori di sicurezza di Sunbelt Software hanno scoperto un nuovo attacco malware in-the-wild che sfrutta una nuova vulnerabilità del browser Internet Explorer, e affligge anche i sistemi Windows "fully patched". La vulnerabilità è stata confermata su una versione "fully patched" di Windows XP SP2 con IE 6.0. L'exploit è stato diffuso da svariati siti porno ospitati su server russi e sta venendo usato in queste ore per lanciare attacchi drive-by download che sembrano mirare all'hijacking delle macchine vulnerabili per utilizzarle poi in botnet di spam. La URL che sta diffondendo l'exploit include la stringa: "MS06-XMLNS&SP2," un chiaro riferimento al fatto che si tratta di una falla zero-day che richiederà una patch d'emergenza da parte di Microsoft.

A quanto pare ci sono tre siti differenti che ospitano e diffondono gli eseguibili nocivi, a rotazione. La lista di programmi malware che vengono installati dai siti che includono il codice exploit per la vulnerabilità includono un pericoloso keystroke logger capace di rubare dati personali dai computer infetti, e un Trojan banker che si occupa di eseguire l'hijack delle credenziali di login dai siti finanziari. Secondo Eric Sites, vice presidente della ricerca e dello sviluppo presso Sunbelt Software, altri codici malware distribuiti tramite gli attacchi exploit includono, VirtuMonde, Claria.GAIN.CommonElements, AvenueMedia.InternetOptimizer, svariate toolbar per browser e alcune varianti del worm Spybot.

Secondo Secunia, nota azienda di security monitoring, che ha pubblicato un advisory dedicato al problema, la nuova falla in IE è da ritenersi "estremamente critica", il livello di pericolosità più alto utilizzato nel sistema di rating dell'azienda. "È stata scoperta una vulnerabilità in Microsoft Internet Explorer, che può essere sfruttata da malintenzionati per compromettere un sistema vulnerabile … la falla è causata da un errore nel processing dei documenti Vector Markup Language (VML) che può essere sfruttato inducendo un utente a visualizzare un documento nocivo VML contenente un metodo 'fill' estremamente lungo all'interno di un tag 'rect'". Secondo i ricercatori di sicurezza un exploit eseguito con successo consente l'esecuzione di codice arbitrario sulla macchina attaccata. Secondo alcuni esperti l'attacco è legato a WebAttacker, un toolkit di installazione malware "fai da te" che viene venduto su svariati siti underground sul web. A quanto pare, per il momento, l'unico modo di difendersi da un possibile attacco è quello di disabilitare totalmente il supporto javascript nel browser.

Anche il Symantec Security Response ha confermato la nuova vulnerabilità zero-day in Internet Explorer. Secondo la nota azienda antivirus, gli attacchi exploit scaricano ed installano nei sistemi compromessi una vasta gamma di malware. Symantec fa notare una curiosità: i siti che ospitano le pagine nocive sembrano tenere traccia degli indirizzi IP dei visitatori per bloccare ogni successivo download. Se un utente tenta di riconnettersi alla pagina exploit riceve il seguente messaggio: "Err: this user is already attacked!". Symantec Security Response ha già rilasciato firme anti-virus capaci di proteggere dall'exploit, che ha classificato come Trojan.Vimalov.

Microsoft ha nel frattempo pubblicato il suo Security Advisory (925568) interamente dedicato al nuovo problema di sicurezza. Come evidenziato sul blog ufficiale del team MSRC, il colosso, dopo aver lavorato con il team di ricercatori X-Force di ISS, ha verificato l'esistenza della falla nella implementazioni del Vector Markup Language (VML) in Windows. Microsoft ha confermato anche la possibilità per un attacker di eseguire codice arbitrario sulle macchine vulnerabili. La falla sta venendo sfruttata attivamente, ma secondo il colosso per ora si tratta di attacchi molto limitati. Gli sviluppatori di Redmond stanno lavorando alla realizzazione di una patch, attualmente prevista al rilascio nell'ambito del Patch Day di Ottobre, che potrebbe anche essere distribuita come aggiornamento di emergenza out-of-cycle. Nel Security Advisory (925568), Microsoft offre varie soluzioni alternative temporanee di protezione che includono la de-registrazione (regsvr32 –u) della libreria di sistema Vgx.dll o la modifica della Access Control List sempre per questa dll. Inoltre il colosso fa sapere di aver già integrato capacità di rilevamento per l'exploit nei suoi prodotti Live OneCare Safety Scanner e Live OneCare.