[NEWS] Exploit per MS07-051, una Falla Critica

[c.m.g]

Notizia del 14/09/2007



Secondo vari report in rete sembra che un codice exploit funzionante contro una delle vulnerabilità corrette nell'ambito dello scorso Patch Day di Microsoft, sia stato pubblicato in rete, a meno di 24 ore dal rilascio della patch. Si tratta della falla corretta con il rilascio del bollettino MS07-051, l'unico classificato come critico, una vulnerabilità di esecuzione codice in modalità remota (CVE-2007-3040) presente nella componente Microsoft Agent in Windows 2000 Service Pack 4. La falla può consentire ad un eventuale attacker di eseguire codice da remoto sul sistema affetto, sfruttando degli URL internet modificati per lo scopo (e non correttamente gestiti da Microsoft Agent). Questo problema di sicurezza critico affligge comunque solo Windows 2000 e nessun altro sistema operativo Windows supportato. Symantec ha reso disponibile il codice exploit ai membri del suo programma Immunity Partners Program. Un codice PoC è stato anche pubblicato su SecurityFocus.

Microsoft Agent (agentsvr.exe) è una componente di sistema poco nota che estende l'interfaccia di Windows per abilitare l'utilizzo di un set di personaggi animati, tipicamente usati per arricchire e rendere interattive le funzionalità di aiuto. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Microsoft Agent gestisce gli URL modificati per eseguire corrompere la memoria, tramite il controllo ActiveX "agentdpv.dll".

Per gli utenti di Windows 2000 Service Pack 4 che non possono applicare la patch fornita dall'azienda, Microsoft consiglia le classiche strategie di protezione temporanea, in presenza di un exploit che richiede una certa interazione dell'utente per essere eseguito. Fattori attenuanti:

1. In uno scenario di attacco basato sul Web, l'utente malintenzionato dovrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'utente malintenzionato dovrebbe indurre le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento che le indirizzi al sito Web di origine dell'attacco.
2. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
3. L'area Siti con restrizioni consente di ridurre gli attacchi volti a sfruttare questa vulnerabilità impedendo l'utilizzo dei controlli ActiveX durante la lettura di posta elettronica in formato HTML. Tuttavia, se si fa clic su un collegamento presente in un messaggio di posta elettronica, tale vulnerabilità potrebbe ancora sussistere con le modalità descritte nello scenario di attacco dal Web.
4. Per impostazione predefinita, tutte le versioni supportate di Microsoft Outlook e Microsoft Outlook Express aprono i messaggi di posta elettronica in formato HTML nell'area Siti con restrizioni.

Come "soluzioni alternative", impostazioni e modifiche che non elimina la vulnerabilità ma consentono di bloccare gli attacchi noti, Microsoft consiglia principalmente:

1. Disattivare temporaneamente l'esecuzione del controllo ActiveX Microsoft Agent in Internet Explorer impostando il kill bit per il controllo nel Registro di sistema. Questo può essere fatto impostando "Compatibility Flags"=dword:00000400 in
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
   D45FD31B-5C6E-11D1-9EC1-00C04FD7081F
   F5BE8BD2-7DE6-11D0-91FE-00C04FD701A5
   4BAC124B-78C8-11D1-B9A8-00C04FD97575
   D45FD31D-5C6E-11D1-9EC1-00C04FD7081F
   D45FD31E-5C6E-11D1-9EC1-00C04FD7081F
   
2. Annullare la registrazione di AgentSvr.exe, immettere la seguente riga al prompt dei comandi o in uno script di avvio del computer o di accesso: %windir%\msagent\agentsvr.exe /unregserver

Fonte: Tweakness.net