In tutte le versioni ancora supportate di Windows esiste una vulnerabilità che, secondo il suo scopritore, se ne sta lì nascosta da almeno 17 anni. Nel frattempo BigM si industria per sanare IE. Mentre Microsoft è ancora impegnata nello sviluppo di una patch per Internet Explorer che risolva la falla recentemente utilizzata negli attacchi a Google, un esperto di sicurezza ha divulgato i dettagli di una vulnerabilità apparentemente celata in Windows dalla "notte dei tempi", ovvero dall'anno 1993. Ad esserne interessate sarebbero tutte le versioni a 32 bit di Windows a partire da NT, inclusi XP, Server 2003, Vista, Server 2009 e 7.
Tavis Ormandy, scopritore della falla e information security engineer presso Google, spiega in questo advisory che il problema è legato alla Virtual DOS Machine, e può essere sfruttato per iniettare del codice direttamente nel kernel di Windows: questo potrebbe consentire a un aggressore o a un malware di prendere il controllo delle aree più "sensibili" e protette del sistema, e installare ad esempio key logger o rootkit.
The Register riporta che la società Immunity di Miami ha già aggiunto l'exploit della vulnerabilità al proprio software di auditing indirizzato ai professionisti della sicurezza. La società afferma che l'exploit è stato testato con successo su tutte le versioni di Windows ad eccezione della 3.1.
In attesa che Microsoft rilasci una patch, Ormandy afferma che è possibile proteggersi della debolezza disattivando i sottosistemi MSDOS e WOWEXEC di Windows: per farlo è necessario modificare alcune voci di registro così come spiegato in questo articolo del supporto tecnico di Microsoft. Va rimarcato che disattivando questi due componenti si perde la compatibilità con i vecchi programmi a 16 bit (quelli per DOS e Windows 3.1), ma per la stragrande maggioranza degli utenti questo non dovrebbe essere un problema.
Ormandy sostiene di aver segnalato il bug a Microsoft nel giugno del 2009, tenendone nel frattempo segreti i dettagli: non avendo ricevuto da BigM alcuna risposta, e avendo constatato che il baco è ancora aperto, negli scorsi giorni si è deciso a rendere il problema di pubblico dominio insieme a un exploit dimostrativo.
Contattata da The Register, Microsoft ha fatto sapere, per bocca di un suo portavoce, di stare vagliando l'advisory di Ormandy e di non essere a conoscenza di attacchi che sfruttino questa vulnerabilità.
Ieri il big di Redmond ha anche annunciato che la recente falla di Internet Explorer verrà corretta appena possibile, e al di fuori del suo ordinario ciclo di pubblicazione dei bollettini di sicurezza. Sui rischi e la portata di tale vulnerabilità Microsoft Italia ha recentemente minimizzato.
"Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità - praticamente tutte - e quella seriamente impattate da eventuali attacchi intrusivi - solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB)" ha scritto ieri Feliciano Intini, chief security advisor di Microsoft Italia, sul suo blog.