Sicurezza/ Pericoloso buco per Office 2000

Nei giorni scorsi è stato annunciato un nuovo buco di sicurezza di Office 2000 che potrebbe rappresentare un grave rischio per l'utente se dovesse essere sfruttato da creatori di virus o webmaster senza scrupoli. Ecco come difendersi


Mentre la notizia di smembramento di Microsoft in due tronconi diventa ufficiale, le notizie sui buchi della serie “2000”, dal sistema operativo agli applicativi, sembrano moltiplicarsi in maniera esponenziale e, se consideriamo l’importanza che hanno questi buchi, c’è da chiedersi se il futuro di Microsoft sia quello di produrre un gran numero di patch correttive al posto di nuovi prodotti.

Proprio mentre stavo preparando un nuovo articolo, vedo arrivare in mailbox un avviso che riguarda tutta la categoria dei prodotti di Office:

– Word 2000
– Excel 2000
– PowerPoint 2000
– Access 2000
– Photodraw 2000
– FrontPage 2000
– Outlook 2000
– Publisher 2000
– Works 2000 Suite

Dove ricade il problema? Guarda caso, su uno dei famigerati controlli ActiveX, più precisamente sul controllo chiamato “Microsoft Office 2000 UA ActiveX”: questo è stato incorrettamente segnato come “safe for scripting” e potrebbe quindi dar modo ad un intruso (virus od altro codice malizioso) di disabilitare gli avvisi di macro in azione e successivamente fare “man bassa” nel sistema laddove ActiveX e macro lo consentono. Questa debolezza di Office 2000 può essere sfruttata da malintenzionati all’interno di worm virus allegati a messaggi di posta elettronica o newsgroup, oppure all’interno di pagine Web.

Per i non addetti ai lavori un ActiveX è un controllo altamente portabile (che può girare su più piattaforme) di oggetti Component Object Model (COM) utilizzati su estensioni del sistema Windows e su applicazioni Web realizzate appositamente.

I controlli ActiveX possono essere inseriti nel contesto HTML con il marcatore , in cui si inserisce il codice ActiveX corrispondente. Nel caso il controllo non sia installato nel sistema, si può inserire nel marcatore l’URL dove può essere reperito e, una volta trovato, il controllo verrà installato automaticamente nel sistema.
Da lì in poi un possibile intruso potrà controllare l’ActiveX come meglio vorrà.

Certo, gli ActiveX possono essere firmati consentendo all’utente di approvare oppure no l’esecuzione di codice proveniente da autori sconosciuti, purtroppo abbiamo visto proprio su queste stesse pagine come sia possibile inserire ActiveX pericolosi senza che l’utente se ne accorga.

Per ogni informazione a riguardo potrà essere utile leggere queste pagine nel sito di Microsoft:

http://www.microsoft.com/Com/resources/oleview.asp
http://www.microsoft.com/com


Tra le tante cose che il controllo ActiveX “insicuro” può fare, troviamo:

– lanciare Internet Explorer
– lanciare Outlook
– lanciare Visual Basic
– disabilitare la protezione dai macro virus
– salvare file

Per chi ha un minimo di dimestichezza con tali strumenti si accorgerà che il minimo che un intruso può fare una volta attivato il controllo è proprio di disabilitare qualsiasi avviso riguardo la sicurezza, riducendo al minimo, quindi, le difese del sistema.

Come suggerito dai membri di L0PHT questa debolezza potrebbe essere sfruttata da virus come Melissa o LoveLetter. Considerando l’opzione di Internet Explorer e Outlook dove l’apertura dell’allegato viene eseguita senza conferma da parte dell’utente e la propagazione che ha avuto LoveLetter, risulta facile capire la portata che può avere un simile problema. Ma fortunatamente esistono le soluzioni!

La prima soluzione da adottare è, ovviamente, quella di scaricarsi la patch da casa Microsoft assicurandosi così che le funzioni a cui si appoggiava in parte il virus vengano disattivate. Oltre a questo conviene installare anche il pacchetto Outlook 2000 E-Mail Security Update

Disabilitare l’attivazione dei controlli ActiveX su Internet Explorer e Outlook con i seguenti passi:

1. avviate Internet Explorer
2. cliccate su Strumenti –> Opzioni Internet –> Protezione –> Personalizza Livello
3. disattivate le funzioni di ActiveX che vedete
4. cliccate su “OK”
5. confermate le nuove impostazioni

Per ogni evenienza, se possedete altri browser, può essere utile disabilitare anche le funzioni Java e Javascript almeno dal vostro client di posta elettronica. Per poter disabilitare le opzioni di scripting su Netscape dovete seguire questi passi:

1. avviate Netscape Communicator
2. cliccate su Modifica–> Preferenze–> Avanzate
3. togliete la spunta su “Abilita Java” e “Abilita Java e Javascript per la posta e news”
4. cliccate su “OK”

A questo punto non ci resta che ribadire la solita ma sempre efficace regola che sta alla base della sicurezza su Internet (di cui abbiamo già parlato anche in occasione di LoveLetter): essere sempre estremamente prudenti quando si ha a che fare con attachment sconosciuti ed avere sempre ben in mente quali file (riconoscibili dalla loro estensione o dalla loro icona) potrebbero celare al loro interno codice malizioso.

Marco Trevisan

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti