Letta 2014 volte 20 settembre 2006 alle 03.57 di netquik Fonte: Varie
IE VML: Attacchi 0-Day In-the-Wild
LINK:
IE: Attacchi Zero Day In-the-Wild
I ricercatori di sicurezza di Sunbelt Software hanno scoperto un nuovo attacco malware in-the-wild che sfrutta una nuova vulnerabilitÓ del browser Internet Explorer, e affligge anche i sistemi Windows "fully patched". La vulnerabilitÓ Ŕ stata confermata su una versione "fully patched" di Windows XP SP2 con IE 6.0. L'exploit Ŕ stato diffuso da svariati siti porno ospitati su server russi e sta venendo usato in queste ore per lanciare attacchi drive-by download che sembrano mirare all'hijacking delle macchine vulnerabili per utilizzarle poi in botnet di spam. La URL che sta diffondendo l'exploit include la stringa: "MS06-XMLNS&SP2," un chiaro riferimento al fatto che si tratta di una falla zero-day che richiederÓ una patch d'emergenza da parte di Microsoft.

A quanto pare ci sono tre siti differenti che ospitano e diffondono gli eseguibili nocivi, a rotazione. La lista di programmi malware che vengono installati dai siti che includono il codice exploit per la vulnerabilitÓ includono un pericoloso keystroke logger capace di rubare dati personali dai computer infetti, e un Trojan banker che si occupa di eseguire l'hijack delle credenziali di login dai siti finanziari. Secondo Eric Sites, vice presidente della ricerca e dello sviluppo presso Sunbelt Software, altri codici malware distribuiti tramite gli attacchi exploit includono, VirtuMonde, Claria.GAIN.CommonElements, AvenueMedia.InternetOptimizer, svariate toolbar per browser e alcune varianti del worm Spybot.

Secondo Secunia, nota azienda di security monitoring, che ha pubblicato un advisory dedicato al problema, la nuova falla in IE Ŕ da ritenersi "estremamente critica", il livello di pericolositÓ pi¨ alto utilizzato nel sistema di rating dell'azienda. "╚ stata scoperta una vulnerabilitÓ in Microsoft Internet Explorer, che pu˛ essere sfruttata da malintenzionati per compromettere un sistema vulnerabile … la falla Ŕ causata da un errore nel processing dei documenti Vector Markup Language (VML) che pu˛ essere sfruttato inducendo un utente a visualizzare un documento nocivo VML contenente un metodo 'fill' estremamente lungo all'interno di un tag 'rect'". Secondo i ricercatori di sicurezza un exploit eseguito con successo consente l'esecuzione di codice arbitrario sulla macchina attaccata. Secondo alcuni esperti l'attacco Ŕ legato a WebAttacker, un toolkit di installazione malware "fai da te" che viene venduto su svariati siti underground sul web. A quanto pare, per il momento, l'unico modo di difendersi da un possibile attacco Ŕ quello di disabilitare totalmente il supporto javascript nel browser.

Anche il Symantec Security Response ha confermato la nuova vulnerabilitÓ zero-day in Internet Explorer. Secondo la nota azienda antivirus, gli attacchi exploit scaricano ed installano nei sistemi compromessi una vasta gamma di malware. Symantec fa notare una curiositÓ: i siti che ospitano le pagine nocive sembrano tenere traccia degli indirizzi IP dei visitatori per bloccare ogni successivo download. Se un utente tenta di riconnettersi alla pagina exploit riceve il seguente messaggio: "Err: this user is already attacked!". Symantec Security Response ha giÓ rilasciato firme anti-virus capaci di proteggere dall'exploit, che ha classificato come Trojan.Vimalov.

Microsoft ha nel frattempo pubblicato il suo Security Advisory (925568) interamente dedicato al nuovo problema di sicurezza. Come evidenziato sul blog ufficiale del team MSRC, il colosso, dopo aver lavorato con il team di ricercatori X-Force di ISS, ha verificato l'esistenza della falla nella implementazioni del Vector Markup Language (VML) in Windows. Microsoft ha confermato anche la possibilitÓ per un attacker di eseguire codice arbitrario sulle macchine vulnerabili. La falla sta venendo sfruttata attivamente, ma secondo il colosso per ora si tratta di attacchi molto limitati. Gli sviluppatori di Redmond stanno lavorando alla realizzazione di una patch, attualmente prevista al rilascio nell'ambito del Patch Day di Ottobre, che potrebbe anche essere distribuita come aggiornamento di emergenza out-of-cycle. Nel Security Advisory (925568), Microsoft offre varie soluzioni alternative temporanee di protezione che includono la de-registrazione (regsvr32 ľu) della libreria di sistema Vgx.dll o la modifica della Access Control List sempre per questa dll. Inoltre il colosso fa sapere di aver giÓ integrato capacitÓ di rilevamento per l'exploit nei suoi prodotti Live OneCare Safety Scanner e Live OneCare.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 3
UTENTI 0
VISITE OGGI
16
 VISITE TOTALI
5.729.943
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X