Sulla mailing list di Tor circola un avvertimento con tanto di codice relativo ad un bug di sicurezza fin qui ignoto individuato in Firefox, una vulnerabilità già attivamente sfruttata da ignoti e potenzialmente utilizzabile per violare la sicurezza degli utenti scovando – nel peggiore dei casi – l’indirizzo IP pubblico di un sistema vulnerabile.
L’exploit consiste in un listato in JavaScript, un file HTML e un foglio di stile (CSS) “oscurati”, le cui funzionalità complete sono tuttora ignote ma che portano all’accesso della funzione VirtualAlloc all’interno del kernel di Windows (“kernel32.dll”) e da lì procede per ulteriori attività malevole.
Una volta testato su una versione aggiornata di Firefox , l’exploit contatta un server remoto comunicando l’indirizzo fisico (MAC) del dispositivo, il nome dell’host e potenzialmente l’indirizzo IP che dovrebbe identificare l’utente connesso o la relativa linea di accesso alla Rete.
I gestori del progetto Tor hanno ammesso l’esistenza del problema parlando di un attacco già attivamente sfruttato contro la rete anonimizzatrice , con il codice già in mano ai coder di Mozilla, al lavoro su una patch specifica per Firefox. Solo a quel punto gli sviluppatori di Tor – il cui browser è basato direttamente su quello del Panda Rosso – potranno verificare l’applicabilità dell’aggiornamento al loro codice.
Resta infine da capire appieno l’ origine del nuovo exploit , anche se l’ analisi del codice Assembly (per CPU x86) corrispondente sembrerebbe rivelare dettagli illuminanti: il payload capace di sfruttare la falla sarebbe molto simile a quello di un attacco anti-Tor risalente al 2013 , e anche allora l’obiettivo era contattare un server remoto (su IP 5.39.27.226, porta 80) con l’invio delle informazioni sulla linea compromessa.
Alfonso Maruccia
Ti potrebbe interessare
30 nov 2016