Microsoft ha pubblicato un avviso di sicurezza per avvertire milioni di utenti Windows in merito ad una nuova vulnerabilità zero day nel browser Internet Explorer (IE) che gli aggressori stanno sfruttando attivamente in attacchi mirati, anche se Microsoft non ha comunicato ulteriori dettagli in merito.
Al momento non è disponibile nessuna patch, ma dal quartier generale di Redmond fanno sapere di essere già al lavoro per rilasciarla il prima possibile. Purtroppo, però, potrebbero volerci anche settimane, quindi è opportuno apprendere tutti i dettagli della vulnerabilità per provare a mitigare il rischio di un possibile attacco.
Probabilmente, l’aggiornamento di sicurezza verrà rilasciato nel prossimo Patch Tuesday di febbraio.
Indice degli argomenti
Falla critica in Internet Explorer: i dettagli
Tracciata come CVE-2020-0674 e valutata con un indice di gravità moderato, la vulnerabilità è di tipo RCE (Remote Code Execution) e interessa le versioni di Internet Explorer 9, 10 e 11 in esecuzione su tutte le versioni di Windows 10, Windows 8.1 e Windows 7 (il cui supporto ufficiale è terminato lo scorso 14 gennaio 2020), oltre alle versioni Server 2019, 2016, 2012, 2008 e 2008 R2 (anche per queste ultime due versioni di Windows il supporto tecnico è terminato lo scorso 14 gennaio).
Se sfruttata con successo, quindi, la vulnerabilità zero-day potrebbe consentire ad un attaccante di eseguire codice da remoto con i privilegi dell’utente corrente. È evidente che se la vittima fosse un utente con i privilegi di amministratore, l’attaccante potrebbe prendere il controllo completo del sistema, riuscendo a installare programmi, visualizzare, modificare o cancellare dati o creare nuovi account con tutti i diritti dell’utente.
La vulnerabilità è collegata al modo in cui il motore di scripting di Internet Explorer gestisce gli oggetti in memoria e si attiva sfruttando una chiamata malevola alla libreria JScript.dll.
In particolare, un aggressore remoto può eseguire codice arbitrario su computer mirati e assumerne il pieno controllo semplicemente convincendo le vittime ad aprire in Internet Explorer una pagina Web o u documento HTML realizzati in modo malevolo.
Ecco come mitigare il rischio di attacco
Per evitare che i criminal hacker sfruttino la vulnerabilità per prendere il controllo del nostro computer, l’unica soluzione al momento è quella di non utilizzare Internet Explorer.
In realtà, sono già passati cinque anni da quando Microsoft ha sostituito il suo browser storico con il nuovo Edge eppure IE possiede ancora una quota di mercato pari al 3,56% dei browser desktop a dicembre dello scorso anno. Il motivo è che molte pagine interne nelle intranet aziendali e i servizi correlati funzionano soltanto con Internet Explorer; per non parlare di Web application personalizzate, costringendo di fatto gli utenti ad utilizzare ancora la vecchia versione del browser.
Qualunque sia il motivo per cui si continua ad utilizzare Internet Explorer, in attesa che Microsoft rilasci la patch che corregge la nuova vulnerabilità zero-day è possibile bloccare eventuali attacchi impedendo l’esecuzione della libreria JScript.dll.
Per farlo, è possibile eseguire i seguenti comandi utilizzando un utente con privilegi di amministratore:
Per sistemi a 32 bit
takeown / f% windir% system32 jscript.dll
cacls% windir% system32 jscript.dll / E / P everyone: N
Per sistemi a 64 bit
takeown / f% windir% syswow64 jscript.dll
cacls% windir% syswow64 jscript.dll / E / P everyone: N
takeown / f% windir% system32 jscript.dll
cacls% windir% system32 jscript.dll / E / P everyone: N
Chiaramente, applicando queste modifiche al sistema le pagine Web delle intranet aziendali o le Web application personalizzate potrebbero smettere di funzionare. Quando la patch sarà disponibile, sarà possibile ripristinare la corretta esecuzione della libreria utilizzando i seguenti comandi:
Per sistemi a 32 bit
cacls %windir%system32jscript.dll /E /R everyone
Per sistemi a 64 bit
cacls %windir%system32jscript.dll /E /R everyone
cacls %windir%syswow64jscript.dll /E /R everyone
