Ott 25 2007
Trojan Sfrutta Falla URI in Windows/PDF
 In rete è stata segnalata la diffusione di un codice exploit nocivo PDF che sfrutta la falla nella gestione URI presente in Windows XP e Windows Server 2003 in presenza di Internet Explorer 7. Abbiamo già parlato di questa vulnerabilità che affligge Adobe Reader e Acrobat (CVE-2007-5020), versioni 8.1 (e precedenti). Bisogna tuttavia ricordare che il problema di sicurezza è direttamente legato ad un problema recentemente confermato da Microsoft “a monte” in Windows XP SP2 e Windows 2003 SP1/SP2 in presenza di Internet Explorer 7. La vulnerabilità è causata da una non adeguata verifica degli URI in questa specifica configurazione, sfruttabile per eseguire comandi con codice arbitrario tramite URL create appositamente. |
| A poche ore dal rilascio da parte di Adobe di un patch per Adobe Reader e Acrobat (versione 8.1.1), in grado di proteggere gli utenti dai tentativi di attacco a questa falla tramite PDF, un codice malware Trojan è segnalato in diffusione in rete; lo hanno confermato le aziende di sicurezza Symantec, McAfee e Internet Storm Center.Ricordiamo inoltre che Microsoft aveva reso disponibile il Security Advisory 943521 per avvertire i clienti del pericolo derivante da questa falla; Il colosso aveva anche annunciato il prossimo rilascio di una patch per Windows in grado di risolvere il problema a livello di sistema (impedendo anche i tentativi di exploit che sfruttano le funzioni di gestione URI di determinate applicazioni, come i prodotti Adobe e il browser Firefox).
Symantec evidenzia che il problema era stato originariamente svelato a Luglio scorso, ma che era stato inizialmente sottovalutato. Alla luce dello studio della problematica, degli exploit pubblici e dell’advisory di Microsoft, Symantec ritiene il problema molto critico: “Con la facilità di exploit, la disponibilità di codice pubblico proof-of-concept, e l’attenzione addizionale ricevuta dalla vulnerabilità, inizieremo probabilmente a vedere maggiore sfruttamento di questo problema in the wild”. Symantec classifica il malware in circolazione come Trojan.Pidief.A. Il file PDF modificato ad arte sfrutta la falla nell’opzione “mailto:” per installare un codice Trojan che a sua volta scarica un file “Downloader” da un server FTP. Il documento nocivo viene distribuito attualmente in messaggio di spam con il nome simile a “BILL.pdf” o “INVOICE.pdf”. Una volta eseguito il codice malizioso tenta di disabilitare il Windows Firewall con un comando “netsh firewall set opmode mode=disable”; successivamente tenta di scaricare una file via FTP dal server 81.95.146.130. Symantec ha rilevato il nome del file Downloader Trojan: “ldr.exe”. L’azienda consiglia di bloccare la ricezione di file PDF via e-mail e di non accettare o eseguire file PDF ottenuti da fonti non fidate. Ovviamente l’azienda incoraggia tutti gli utenti ad applicare il prima possibile la patch rilasciata da Adobe, e descritta nel Advisory APSB07-18. Anche McAfee ha commentato la scoperta del codice Trojan “in the wild” in un intervento sul blog del McAfee Avert Labs. Fonte: tweakness.net |
...oppure iscriviti al mio RSS feed e rimani sempre aggiornato!
Articoli che potrebbero interessarti:
- Niente d'interessante correlato
