Stato News: Nuovo.

OS Coinvolti: Windows XP SP2/3.

Software Coinvolti: Funzionalità di Guida in Linea e Supporto Tecnico di Microsoft Windows.

Effetto: Rischio di esecuzione remota di codice arbitrario nel sistema locale, inoculato attraverso un hcp:// URI maligno, presentato potenzialmente attraverso una pagina web o file WMP (sebbene occorra considerare anche eventuali vettori d’attacco alternativi).

Exploit Status: In-The-Wild. Nessuna correzione disponibile al problema presentato da questo bollettino.

Descrizione: In Microsoft Windows XP, la manipolazione degli hcp:// URI viene operata dal “centro di Guida in Linea e Supporto Tecnico” (processo helpctr.exe; servizio di sistema). Qualora l’utente avvii un software generico che contenga un hcp:// URI, il sistema operativo procede invocando il servizio helpctr.exe per la gestione dei elementi presentati. Se l’operazione risulta essere ottemperata direttamente da parte della risorsa HCP, la manipolazione di quest’ultima avviene in un ambiente più limitato, grazie alla presenza di una protezione implementata nel servizio stesso, aggirabile solo da certi elementi considerati sicuri (lista redata direttamente dal produttore), ai quali viene fornito accesso massimale al sistema. La vulnerabilità identificata però, se sfruttata durante un attacco informatico, estende i privilegi d’azione anche a risorse estranee all’elenco, permettendo l’esecuzione arbitraria di codice (potenzialmente maligno).

Note: Dal 15 Giugno è stato registrato un aumento esponenziale del numero di attacchi operati tramite l’ausilio della vulnerabilità qui descritta. Tale fattore ha determinato la capacità effettiva di virulenza, dimostratasi parecchio accentuata.

Cronologia Bollettino: 1.0, Creato il 11/06/2010; 1.1, Stato Allarme Bollettino inalzato a “On Guard” (precedentemente era “Monitored”).

Consigli

- Si consiglia l’impiego di un account utente limitato (non dotato di privilegi amministrativi) durante l’uso saltuario del sistema. Questo riduce la capacità d’azione dell’attacker, oltre ai danni potenzialmente perpetrabili in caso di compromissione.

- In caso d’utilizzo di Internet Explorer, come Browser web, si consiglia l’impostazione della Trusted Zone “Internet” ad High, fino al rilascio ufficiale della correzione da parte di Microsoft.

- Si consiglia d’impostare il Browser web impiegato nel sistema locale (Internet Explorer, Apple Safari, Mozilla Firefox ecc.) al fine di bloccare l’esecuzione automatica degli script presenti nelle pagine web, fino a quando non sarà disponibile una correzione ufficiale alla vulnerabilità identificata. Per alcuni software di navigazione sono disponibili delle estensioni create al fine di agevolare l’utente nell’attività di blocco selettivo e temporaneo degli script (es. NoScript).