Una nuova, grave vulnerabilità affligge i sistemi operativi Windows (compreso Windows XP SP2 full-patched): un bug nella gestione delle immagini .wmf viene usata da numerosi siti web (in maggior parte siti porno e/o con contenuti "alternativi") per infettare i computer degli utenti con degli spyware (ed alcuni di questi sono decisamente maligni, e difficili da eliminare).
Lo sfondo del desktop viene cambiato (vedi immagine sotto) e viene disabilitata la possibilità di ripristinarlo.
Per essere infettati è sufficiente visualizzare la pagina maliziosa con Internet Explorer. Ma attenzione… gli utenti di Firefox (o Opera) NON sono al sicuro! Infatti su tali browser viene visualizzato un messaggio di allerta, e si viene infettati solo se si clicca SI al messaggio (come fanno moltissimi, senza leggere quello che viene chiesto).
Inoltre, se sul computer infetto è installato Google Desktop, l’infezione avverrà appena si scaricherà l’immagine "taroccata" e Google Desktop cercherà di indicizzarla, rendendo quindi vana la "maggior sicurezza" di browser diversi da IE (con Google Desktop installato anche un browser testuale come Lynx diventa pericoloso).
Se però la vulnerabilità fosse usata SOLO per cambiare lo schermo dell’utente, sarebbe poca cosa…
In molti casi vengono installati programmi (trojan) che mascherati da antispyware svolgono invece le funzioni che dichiarano di combattere!
Sotto potete vedere una schermata di un computer compromesso, con questo sedicente "antispyware" autoinstallato.
Al momento NON sono disponibili patch per risolvere il problema e chiudere la vulnerabilità !
I consigli di Giovy:
- Chiudete immediatamente Google Desktop (disabilitare l’indicizzazione non basta, perchè questa viene riattivata dopo 15 minuti)
- USATE Mozilla Firefox!!! Anche se la vulnerabilità è pericolosa ugualmente, si viene comunque allertati del pericolo, e si può avere la possibilità di "scamparla", prestando un po’ d’attenzione.
- Usate ed aggiornate antivirus e/o antispyware.
- Evitate di navigare su siti "pericolosi" (porno, crack, warez e via dicendo).
Fonti e maggiori dettagli:
- Websense Security Labs – Malicious Website / Malicious Code: Zero-day IE .WMF Exploit (in inglese)
- F-Secure Labs – Be careful with WMF files (in inglese)
- Microsoft Security Advisory (912840): Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (in inglese)
Articolo pubblicato anche su Voice Over IT.