Dec 292005
 

Una nuova, grave vulnerabilità affligge i sistemi operativi Windows (compreso Windows XP SP2 full-patched): un bug nella gestione delle immagini .wmf viene usata da numerosi siti web (in maggior parte siti porno e/o con contenuti "alternativi") per infettare i computer degli utenti con degli spyware (ed alcuni di questi sono decisamente maligni, e difficili da eliminare).

Lo sfondo del desktop viene cambiato (vedi immagine sotto) e viene disabilitata la possibilità di ripristinarlo.

Per essere infettati è sufficiente visualizzare la pagina maliziosa con Internet Explorer. Ma attenzione… gli utenti di Firefox (o Opera) NON sono al sicuro! Infatti su tali browser viene visualizzato un messaggio di allerta, e si viene infettati solo se si clicca SI al messaggio (come fanno moltissimi, senza leggere quello che viene chiesto).

Inoltre, se sul computer infetto è installato Google Desktop, l’infezione avverrà appena si scaricherà l’immagine "taroccata" e Google Desktop cercherà di indicizzarla, rendendo quindi vana la "maggior sicurezza" di browser diversi da IE (con Google Desktop installato anche un browser testuale come Lynx diventa pericoloso).

Se però la vulnerabilità fosse usata SOLO per cambiare lo schermo dell’utente, sarebbe poca cosa…
In molti casi vengono installati programmi (trojan) che mascherati da antispyware svolgono invece le funzioni che dichiarano di combattere!
Sotto potete vedere una schermata di un computer compromesso, con questo sedicente "antispyware" autoinstallato.

Al momento NON sono disponibili patch per risolvere il problema e chiudere la vulnerabilità! 

I consigli di Giovy:

  • Chiudete immediatamente Google Desktop (disabilitare l’indicizzazione non basta, perchè questa viene riattivata dopo 15 minuti)
  • USATE Mozilla Firefox!!! Anche se la vulnerabilità è pericolosa ugualmente, si viene comunque allertati del pericolo, e si può avere la possibilità di "scamparla", prestando un po’ d’attenzione.
  • Usate ed aggiornate antivirus e/o antispyware.
  • Evitate di navigare su siti "pericolosi" (porno, crack, warez e via dicendo).

Fonti e maggiori dettagli:

  1. Websense Security Labs – Malicious Website / Malicious Code:  Zero-day IE .WMF Exploit (in inglese)
  2. F-Secure Labs – Be careful with WMF files (in inglese)
  3. Microsoft Security Advisory (912840): Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (in inglese)

Articolo pubblicato anche su Voice Over IT.

  6 Responses to “Critical Security Alert: Windows WMF Exploit”

  1. […] Microsoft ha rilasciato in anticipo (rispetto alle previsioni, e rompendo la consuetudine di rilasciare le patch il martedì) la patch che fissa la grave vulnerabilità sui file .wmf che affligge tutti i sistemi operativi Windows.Trovate i dettagli ed i link per i download della patch (nelle differenti versioni adatte ad ogni specifico sistema operativo) sul Microsoft Security Bullettin MS06-001 (come vedete dalla sigla è il primo bollettino dell’anno, e forse il più atteso in assoluto da molto tempo a questa parte, vista la gravità della falla che questa patch va a chiudere). microsoft, patch, vulnerability, security, update […]

  2. […] Da Giovy ho preso un bel post che spiega un pò di cosucce in merito qui il bulletin di Microsoft […]

  3. […] Giovy ho preso un bel post che spiega un pò di cosucce in merito qui il bulletin di […]

  4. […] Giovy ho preso un bel post che spiega un pò di cosucce in merito qui il bulletin di […]

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

This site uses Akismet to reduce spam. Learn how your comment data is processed.