Il rifiuto di Microsoft di riconoscere i propri difetti. L’ippica vi aspetta !

“Lo sappiano ma non ci interessa.”

Microsoft rifiuta l’utilizzo di Patch Zero-Day Exploit in Internet Explorer

 

Dopo Windows Media Player 0-Day negato, rifiutato e passivamente accettato da Microsoft (a cui proponevo di darsi all’ippica) , vi propongo un zero day in Internet Explorer.  E’ vecchiotto (6 mesi) e nel frattempo ce ne sono state altre decine di segnalazioni, tutte gestite nello stesso modo.

La logica assurda.

Microsoft ha rifiutato di rattoppare una vulnerabilità zero day in Internet Explorer per la quale un ricercatore di sicurezza ha pubblicato i dettagli e la proof-of-concept. Il bug può consentire agli aggressori di rubare file da computer con Windows.

Più precisamente, il ricercatore ha testato con successo l’exploit zero-day nell’ultima versione di Internet Explorer Browser, v11, in cui sono state applicate tutte le recenti patch di sicurezza. I sistemi in cui l’exploit è stato testato sono i sistemi Windows 7, Windows 10 e Windows Server 2012 R2.

Patch Zero-Day Exploit
Zero-Day Exploit Internet Explorer

Il ricercatore sulla sicurezza John Page ha  pubblicato i dettagli di un difetto di XEE (XML External Entity) in Internet Explorer. Il bug può essere attivato quando un utente apre un file MHT.

Cos’è un file MHT?

MHTML, acronimo di MIME HTML, è un formato di archiviazione dei dati pensato per il salvataggio di pagine web e documenti ipertestuali. Consente di riunire in un unico file sia il codice HTML che gli altri elementi richiamati dal documento come ad esempio immagini, file audio, applet Java o animazioni Flash. L’estensione è abbreviata in mht.

La codifica dei file MHTML è molto simile a quella adottata per le email e si compone tipicamente di una prima parte in cui è rappresentato il codice HTML a cui segue una seconda parte in cui si riporta la rappresentazione binaria degli altri file (equivalente agli allegati nelle email).

MHTML non è attualmente considerato uno standard, per quanto già dal 1999 ne sia stata proposta la standardizzazione (RFC 2557). Per questa ragione file MHTML generati da programmi diversi potrebbero non essere reciprocamente compatibili. I file MIME HTML sono generalmente identificati dall’estensione .mht. ( Fonte WK)

Zero-Day Exploit Internet Explorer

Si noti che quando si salva una pagina web in Internet Explorer come archivio web, la pagina viene salvata come file MHT. Qualsiasi link relativo nell’HTML (che non include tutte le informazioni sulla posizione del contenuto, ma presuppone che tutti i contenuti si trovino in una directory sul server host) verrà rimappato in modo che il contenuto possa essere localizzato.

Lo zero-day in IE  può consentire agli aggressori di estrarre i file locali e di effettuare una ricognizione a distanza sulle informazioni sulla versione del programma installata localmente, ha spiegato il ricercatore. Un esempio è quando una richiesta di ‘c:\Python27\NEWS.txt’ può restituire informazioni sulla versione di quel programma, ha aggiunto. In poche parole, “Internet Explorer è vulnerabile agli attacchi di XML External Entity se un utente apre localmente un file .MHT appositamente creato”.

Il fatto che tutti i file MHT siano automaticamente impostati per l’apertura di default in IE rende l’exploit piuttosto banale. Le potenziali vittime dovranno solo fare doppio clic su un file che hanno ricevuto in precedenza tramite e-mail o messaggistica istantanea.
Secondo Page, la vulnerabilità si basa su come Internet Explorer gestisce i comandi utente CTRL+K (scheda Duplicazione), “Anteprima di stampa” o “Stampa”.

Tuttavia, lo zero-day non deve essere trascurato, poiché Windows utilizza ancora IE come app predefinita per aprire i file MHT. Infatti, per essere in pericolo, gli utenti non hanno bisogno di avere IE impostato come browser predefinito. Il fatto che IE sia presente nel loro Windows è sufficiente a renderli vulnerabili, poiché gli aggressori possono ancora trovare il modo di ingannare gli utenti per aprire un file MHT.

Cosa ha detto Microsoft?

Il ricercatore notificò a Microsoft, il 27 marzo la scoperta di questo problema. E Microsoft rispose di non prevedere di risolvere il bug con un emissione di un aggiornamento.

Ecco la risposta che la pagina ha ricevuto da Microsoft il 10 aprile:

“Abbiamo stabilito che una correzione per questo problema sarà presa in considerazione in una versione futura di questo prodotto o servizio. Al momento, non forniremo aggiornamenti continui dello stato della correzione per questo problema, e abbiamo chiuso il caso.”

Dopo aver ricevuto questa risposta negativa, il ricercatore ha deciso di rendere pubblico lo zero day e ha persino rilasciato un codice di proof-of-concept e una demo.

Sapete perchè Microsoft si comporta così ? Perchè non riuscirete mai a fare causa a Microsoft anche se avete acquistato un bene o un servizio. Non potete farlo! E a voi utenti Microsoft questo piace tanto.