Autor: marcantonio Data: A: forumlucca Assumpte: [Forumlucca] Sicurezza: guarda un'immagine sul Web e t'infetti
> > [IxT]Sicurezza: guarda un'immagine sul Web e t'infetti
>
> Questo articolo vi arriva grazie alle gentili donazioni di
> "riccardo.camp***", "Noris.Trave***" e "arkadyn".
>
> Se i link contenuti in questo articolo non funzionano o sono spezzati,
> leggete la versione Web cliccabile nel mio blog:
>
> http://tinyurl.com/dzrho >
> F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente
> grave in Windows, che consente di infettare un computer Windows
> semplicemente visitando un sito Web appositamente confezionato e
> contenente un'immagine nel formato WMF:
>
> http://www.f-secure.com/weblog/archives/archive-122005.html#00000753 >
> Al momento in cui scrivo, Microsoft non ha ancora distribuito un
> aggiornamento (patch) che corregga la falla, che colpisce Windows XP
> anche se dotato di tutti gli aggiornamenti di sicurezza finora
> rilasciati. L'avviso ufficiale di Microsoft è disponibile presso
> Microsoft Technet (in inglese):
>
> http://www.microsoft.com/technet/security/advisory/912840.mspx >
> Numerosi siti (alcuni sono indicati nella pagina di F-Secure),
> specialmente quelli porno e dedicati ai programmi pirata, stanno già
> usando questa tecnica di attacco per infettare i computer Windows con
> ogni sorta di spyware e altro software ostile, compresi programmi per
> controllare da remoto i computer delle vittime e programmi che fingono
> di essere antispyware e chiedono soldi (tramite carta di credito) per
> eliminare l'infezione trovata nel computer:
>
> http://www.f-secure.com/v-descs/avgold_d.shtml >
> Il sito di sicurezza Websense ha delle schermate e un filmato che
> mostrano il comportamento di un Windows infettato tramite questa
> falla:
>
> http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=385 >
> http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv >
> La falla è particolarmente grave e interessante perché colpisce anche
> gli utenti Windows che usano browser alternativi come Firefox o Opera.
> L'unica differenza, piuttosto importante, è che mentre chi usa
> Internet Explorer viene infettato direttamente appena visita il
> sito-trappola, chi usa i browser alternativi viene avvisato da un
> messaggio di allerta e s'infetta solo se risponde affermativamente al
> messaggio. Anche la semplice visualizzazione di una cartella
> contenente un file WMF infetto tramite Esplora Risorse o il Fax Viewer
> di Windows è sufficiente a infettare.
>
> A quanto mi risulta finora, gli utenti di altri sistemi operativi non
> sono colpiti da questa falla.
>
> Un altro aspetto di particolare interesse della falla è che chi ha
> Google Desktop è ancora più vulnerabile. Per infettarsi, in questo
> caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop,
> infatti, indicizza e legge subito il file scaricato e ne passa il
> contenuto infettante a Windows, che lo esegue automaticamente. Secondo
> F-Secure, l'infezione ha luogo persino se si scarica il file usando
> una finestra DOS (tramite per esempio Wget) e anche se il file infetto
> non ha l'estensione WMF nel nome ma è comunque scritto nel formato
> WMF.
>
> Il problema nasce dalla natura particolare del formato WMF, che fu
> introdotto da Microsoft in Windows 3.0: invece di rappresentare i
> singoli punti di un'immagine, contiene una serie di istruzioni di
> disegno che spetta al sistema operativo interpretare (grafica
> vettoriale, insomma). Purtroppo le istruzioni possono essere
> confezionate in modo maligno e Windows non è capace di bloccare queste
> istruzioni ostili.
> Per il momento, in attesa che Microsoft rilasci un aggiornamento che
> corregga la falla, è opportuno bloccare l'interpretazione delle
> immagini WMF.
>
> Sunbelt, per esempio, consiglia di disabilitare il componente fallato
> di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui),
> digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows:
>
> http://sunbeltblog.blogspot.com/2005/12/workaround-for-wmf-exploit.html >
> La disabilitazione è permanente fino a quando date il comando di
> riabilitazione, che è REGSVR32 SHIMGVW.DLL. Sunbelt avvisa che questo
> rimedio interferisce con la visualizzazione di tutti i tipi di
> immagine nel visualizzatore fax e immagini di Windows, quando viene
> invocato da Internet Explorer: in altre parole, può risultare
> piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti).
>
> Sans suggerisce inoltre di applicare la funzione DEP del Service Pack
> 2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a
> un esperto di farlo per voi:
>
> http://isc.sans.org/diary.php?storyid=975 >
> Mi raccomando, prudenza!
>
> Ciao da Paolo.
>
> -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
> (C) 2005 by Paolo Attivissimo (www.attivissimo.net).
> Distribuzione libera, purché sia inclusa la presente dicitura.
>
> Se ti piace quello che leggi, fallo sapere in giro, e mandami un po'
> di focaccia!
>
> Questa newsletter viene distribuita gratuitamente
> e senza pubblicità grazie a Peacelink.it;
> è e sarà sempre gratuita, ma donazioni e
> sponsorizzazioni sono sempre ben accette:
> http://www.attivissimo.net/donazioni/donazioni.htm >
> Per ricevere/disdire la newsletter e per l'informativa sulla privacy:
> http://www.attivissimo.net/nl/nl_istruzioni_iscrizione.htm >
> Per verificare l'autenticità di questo messaggio,
> controlla che sia presente presso
> http://attivissimo.blogspot.com >
>
>
>
>
>
>