A una settimana dal Patch Tuesday di febbraio, ecco che “i brutti ceffi che creano malware hanno velocemente realizzato un exploit in grado di sfruttare la vulnerabilità di Internet Explorer 7“. Parola del ricercatore Raul Mohandas, che ha documentato il tutto con un post sul blog di Avert Labs, vale a dire i laboratori antivirus di casa McAfee.

Stavolta poco si può imputare a Microsoft: Big M ha realizzato per tempo una patch per correggere un possibile buffer overflow del proprio browser Web. Il problema specifico risiede nell’errata gestione degli errori da parte di Explorer durante i tentativi di accesso a documenti cancellati. La vulnerabilità è, secondo Microsoft, “critica”: può essere sfruttata per l’esecuzione di codice arbitrario; sulla stessa lunghezza d’onda l’analisi in materia di Secunia, che definisce il bug “altamente critico”.

Nell’analisi di Mohandas, l’attacco a Explorer viene lanciato tramite un documento Microsoft Word contenente un controllo ActiveX, che - appena aperto - si collega a un sito Web su cui è ospitato l’exploit. In pratica, è lo stesso schema d’attacco utilizzato lo scorso dicembre contro la patch d’emergenza approntata da Microsoft per Internet Explorer, e descritta nel bollettino MS08-078. Ancora prima un’analoga mossa aveva costretto Big M a rilasciare l’appena citata correzione fuori dal normale ciclo mensile.

Probabilmente, il nuovo exploit è nato da un’azione di reverse engineering sulla patch distribuita da Microsoft la scorsa settimana: così almeno sostiene il blog di Internet Storm Center, un’organizzazione su base volontaria che fornisce da quasi un decennio analisi e servizi gratuiti in tema di sicurezza agli utenti, privati e non, di Internet. Sul blog, viene spiegato l’exploit in maniera tutto sommato chiara (per un programmatore, beninteso): con un array, un ciclo di tipo for, una funzione di garbage collection e poco altro è possibile mettere in crisi Explorer, o - meglio - ingannare con successo i suoi segmenti di memoria dinamica.