Prodotti Microsoft vulnerabili ai file TIFF

TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

I programmi interessati sono:

  • Office 2003
  • Office 2007
  • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
  • Lync

Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

La complessità del malware

È stata percorsa molta strada dal primo worm di sendmail, dai primi virus o dai primi spyware.

Come illustrato da Mikko Hypponen, adesso il malware viene scritto essenzialmente per tre ragioni: danaro, attivismo politico e attacchi tra Stati.

VRT ha pubblicato un’interessantissima analisi di un malware ben nidificato. Si tratta di un exploit che sfrutta un integer overflow per eseguire del codice arbitrario utilizzando un’immagine TIFF creata ad arte codificata base64, che viene creata al momento da un codice JavaScript hex encoded in altro codice JavaScript che è incorporato in un XML compresso a sua volta all’interno di un file PDF.

Ci si potrebbe chiedere come mai sia lecito incorporare codice JavaScript in un XML a sua volta incorporato in un formato di definizione della pagina. Purtroppo il formato PDF è nato come un’idea di Adobe di rendere ubiquo il PostScript, ma ha raccolto a bordo negli anni ogni tipo di contenuto. Un’idea, che poteva sembrare interessante ad alcuni, si è rivelata una pericolosa breccia nella sicurezza di moltissimi computer grazie a visualizzatori scritti non esattamente con la sicurezza come luce guida.

Questo è il motivo per cui molti enti della nostra Pubblica Amministrazione accettano che vengano caricati solamente PDF/A.

Questo piccolo esempio dimostra che il malware si può annidare in ogni tipo di file il cui sistema di visualizzazione è prono ad attacchi o contiene vulnerabilità. È, quindi, sempre opportuno aggiornare i vari programmi di visualizzazione e i sistemi antivirus perché i disagi teorici che potrebbero conseguire da un aggiornamento di versione sono sicuramente inferiori ai problemi concreti che derivano da un visualizzatore di cui sono note le vulnerabilità.