Falla in Internet Explorer. Microsoft la ignora ma arriva l’exploit

Apr 15, 2019 Attacchi, In evidenza, News, RSS, Vulnerabilità 0

La vulnerabilità permette di rubare qualsiasi file dal computer della vittima. Nessuna patch rilasciata e il ricercatore pubblica il codice per sfruttarla.

Questa volta, per lo meno, nessuno dalle parti di Microsoft ha provato a proporre la fatidica frase del tipo “non è un bug, è una feature”, ma il risultato non è cambiato di molto.

La vulnerabilità individuata da John Page, secondo l’azienda di Satya Nadella, non rappresenta un problema “urgente” e di conseguenza non è stata pianificata alcun aggiornamento per correggerla.

E dire che non si tratta proprio di un problema da ridere. Il bug, infatti, interessa Internet Explorer e la possibilità che il browser venga utilizzato per rubare file da un sistema Windows.

A renderlo possibile è il modo in cui IE gestisce alcuni comandi (duplicazione scheda, stampa e anteprima di stampa) che permetterebbero di sfruttare una tecnica di injection XML per sottrarre, appunto qualsiasi file presente sul sistema.

Il vettore di attacco, come spiega lo stesso Page sul suo sito, è un file in formato .MHT, usato un tempo dai browser per memorizzare in locale le pagine Web.

Nel dettaglio, tutto quello che dovrebbe fare un pirata informatico sarebbe inviare alla vittima il file MHT infetto e indurla ad aprirlo. Normalmente la presenza di codice attivo all’interno del file dovrebbe far scattare un avviso e una richiesta di conferma, ma la procedura è aggirabile.

[embedded content]

La scarsa attenzione di Microsoft per il problema, molto probabilmente, è dovuta al fatto che Internet Explorer è stato “abbandonato” da tempo e che il browser ha una diffusione piuttosto limitata. Secondo gli ultimi dati disponibili, infatti, lo utilizzerebbero come browser di default poco più del 7% degli utenti.

Il problema, però, è che su Windows rimane il programma predefinito per aprire i file .MHT. L’attacco, quindi, mantiene tutta la sua pericolosità anche nel caso in cui l’utente usi un altro browser per navigare.

Tanto più che dopo il diniego di Microsoft riguardo lo sviluppo di una patch, Page ha pubblicato sulla sua pagina il codice che permette di sfruttare l’exploit. Ora non resta che aspettare e vedere se qualcuno deciderà di sfruttarla. Il suggerimento, nel frattempo, è quello di diffidare di qualsiasi allegato nel formato incriminato.

Please follow and like us:

Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2019/04/15/falla-in-internet-explorer-microsoft-la-ignora-ma-arriva-lexploit/