15/04/2019 di Redazione

Falla zero-day in Internet Explorer, ma Microsoft fa spallucce

Un ricercatore ha svelato un bug del browser di Redmond, che permette a un hacker di estrarre dati sensibili anche da remoto. L’azienda ha riconosciuto il problema e si è riservata di intervenire (forse) in futuro. L’esperto ha così deciso di pubblicare i

immagine.jpg

A febbraio Microsoft ha invitato gli utilizzatori di Internet Explorer a passare oltre, definendo il proprio browser non più aderente agli ultimi standard di sicurezza. Una presa di posizione forte, considerando che l’ormai datato applicativo di Redmond ha una quota di mercato di poco inferiore al 10 per cento su desktop. Ma l’allarme dell’azienda statunitense è uno di quelli da prendere seriamente. In queste ore è emersa infatti una nuova vulnerabilità zero-day di Internet Explorer, che permetterebbe a un hacker di ottenere informazioni sensibili da remoto. Questo bug, di tipo Xee (Xml External Entity), è contenuto nella modalità in cui il browser gestisce i file .mht, il formato in cui l’applicazione salva i pacchetti di immagini e codice Html prodotti dal salvataggio di una pagina Web.

La falla è stata resa nota dal ricercatore di sicurezza John Cage, il quale ha spiegato che Microsoft si è finora rifiutata di riconoscere l’urgenza del problema e, quindi, di risolverlo. Eppure, lo scenario prospettato dall’esperto è grave. Sfruttando correttamente la vulnerabilità, un pirata informatico potrebbe riuscire a ottenere informazioni direttamente dal file system. Il proof of concept pubblicato da Cage mostra l’estrapolazione di dati da system.ini, contenente le impostazioni del sistema operativo.

Il baco riguarda tutte le versioni di Internet Explorer ed Edge installate su Windows 7, 10 e su Windows Server 2012 R2. Il rischio riguarda però anche altre piattaforme perché, se è pur vero che i browser più recenti salvano le informazioni in formato Html e non più in Mht, è anche vero che molti applicativi supportano comunque questa tipologia di file e sono in grado di elaborarla.

Page ha avvisato Microsoft della vulnerabilità lo scorso 27 marzo e il 10 aprile l’azienda ha risposto: “Potremmo valutare lo sviluppo di una patch in una futura versione di questo prodotto o servizio. Ma per ora abbiamo deciso di non fornire aggiornamenti sulla situazione e consideriamo il caso chiuso”.

In queste ore, inoltre, il colosso di Redmond ha notificato alcuni utenti i cui dati relativi a servizi di webmail sono finiti nel calderone di alcuni leaks pubblicati a inizio anno. Le vittime possiedono account registrati sui domini msn.com e hotmail.com e dovrebbero già aver ricevuto una notifica ufficiale da parte di Microsoft. Il problema riguarda un “numero limitato di account consumer” e l’azienda sta affrontando la situazione “bloccando le credenziali compromesse e di conseguenza qualsiasi possibilità di accesso”.

Secondo quanto ricostruito, gli hacker avrebbero avuto visibilità sugli indirizzi email, sui nomi delle cartelle, sugli oggetti dei messaggi di posta e sui contatti con cui le vittime hanno scambiato corrispondenza. I pirati non avrebbero avuto però accesso a contenuti delle mail, allegati e password. Il consiglio di Microsoft è comunque quello di modificare subito le credenziali di login per evitare qualsiasi problema.

 

Il video del proof of concept

 

ARTICOLI CORRELATI