Ne abbiamo parlato già nel numero 6 di ICT Security, e si ripropone nuovamente il problema delle vulnerabilità dei sistemi di rendering delle immagini. E’ di settembre l’allarme relativamente alla vulnerabilità del sistema di elaborazione dei file tipo JPEG in Windows XP/2003.
http://www.us-cert.gov/cas/techalerts/TA04-260A.html
Lo stesso problema affligge comunque anche altri sistemi poiché sono molti gli applicativi che usano una propria versione della libreria GDI+ e tutte queste librerie sono vulnerabili. Quindi anche Windows 2000 è soggetto al problema se sulla macchina è stato installato Office XP. Per risolvere il baco, Microsoft ha rilasciato ben 26 versioni della patch dirette ai sistemi operativi o a ciascun applicativo; raccomandiamo pertanto di prendere visione dell’elenco completo dei sistemi a rischio al link menzionato prima. Un paio di settimane dopo l’iniziale allarme hanno fatto la loro comparsa i primi exploit e, a seguire, gli worm ed i virus. Una simile vulnerabilità è infatti una buona occasione per chi vuole fare delle attività illecite sulla rete: i client mail visualizzano le immagini di default (a prescindere dall’apertura degli allegati), “Autoeseguitosi” il malware interno all’immagine può installare una backdoor o un zombie ddos sulla macchina o entrare su un canale IRC per creare una bootnet, quindi può leggere la rubrica per inviarsi ad altri utenti o cercare indirizzi email sul filesystem o tramite Google. Altri veicoli di infezione possono essere le share di Windows oppure Kazaa, Emule, Winmx e dcc o anche via msn, ricordiamo che anche Msn Messanger e' vulnerabile: al worm è sufficiente usare la tecnica di sostituirsi alla foto del profilo con un immagine JPG modificata ad arte per contenere il malware. Per ultima abbiamo lasciato la descrizione del sistema probabilmente più temibile di diffusione di un simile codice malevolo: bucare un server web e sostituire un immagine autentica con una modificata: tutti i navigatori comprometterebbero i loro sistemi alla visualizzazione del JPG; in una variante più semplice si possono postare le immagini ai newsgroup o sui forum on line. Gli antivirus aggiornati dovrebbero essere in grado di intercettare il codice anomalo all'interno di un'immagine e bloccarne l'esecuzione, anche se non è escludibile a priori che attacchi “mirati” possano avere comunque successo. In questo caso è necessario armarsi di pazienza, delle 26 patch, ed installare ad una ad una quelle necessarie a tutti gli applicativi del nostro sistema, in quanto non esiste una “patch cumulativa”. Vogliamo sottolineare che ad essere vulnerabile in questo caso è il “decoder” JPEG. Ogni formato dati GIF, MP3, MPEG, AVI, ecc. ha il suo decoder e sono state scoperte già vulnerabilità per tutti questi formati, nonostante la eco sui quotidiani di questo particolare episodio dei JPEG, i rischi correlati ai decoder sono ben conosciuti dagli esperti di sicurezza informatica. Si vedano, tra gli altri, (HEAP overflow su mpg123 per linux http://www.securityfocus.com/bid/8680 e Problemi su xine sulla lettura dei DVD http://www.securityfocus.com/bid/11205)