Bollettino Microsoft sulla sicurezza MS03-017

Descrizione tecnica:

In Microsoft Windows Media Player sono disponibili funzionalità che consentono di modificare l'aspetto della finestra del lettore mediante l'uso di "interfacce", o "skin", ossia gruppi di uno o più file grafici che è possibile sovrapporre alla finestra del programma per personalizzarla. Per l'organizzazione dei file grafici viene utilizzato un file XML che indica a Windows Media Player come utilizzare i file grafici per impostare la skin come interfaccia utente. L'utente ha pertanto la possibilità di scegliere fra numerose interfacce standard, ognuna delle quali presenta caratteristiche visuali proprie. In Windows Media Player sono disponibili numerose interfacce, ma è possibile creare e distribuire con facilità anche interfacce personalizzate. La procedura di download dei file delle interfacce di Windows Media Player 7.1 e Windows Media Player per Windows XP presenta un difetto che può essere sfruttato da un hacker per caricare un file in un percorso noto sul computer di un utente, mascherandolo da file di interfaccia, per poi avviare nel sistema un eseguibile dannoso.

Per sfruttare questo difetto, l'autore dell'attacco deve gestire un sito Web contenente una pagina Web appositamente predisposta e indurre un utente a visitare il sito (non è in alcun modo possibile obbligare l'utente ad eseguire tale operazione) oppure inserire un collegamento alla pagina in un messaggio di posta elettronica HTML e inviarlo all'utente. In caso di attacco tramite posta elettronica, se l'utente utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update non è possibile automatizzare l'attacco e l'utente deve comunque fare clic su un collegamento inviato in un messaggio di posta elettronica. Se tuttavia l'utente non utilizza Outlook Express 6.0 o Outlook 2002 nelle configurazioni predefinite, oppure Outlook 98 o 2000 in combinazione con Outlook Email Security Update , l'attacco può essere attivato automaticamente senza che sia necessario fare clic su un URL contenuto in un messaggio di posta elettronica.

In entrambi i casi, qualsiasi restrizione applicata ai privilegi dell'utente limita anche le capacità di attacco dello script.

Fattori attenuanti:

• Windows Media Player 9 non è interessato da questa vulnerabilità.
• Per impostazione predefinita in Outlook Express 6.0 e Outlook 2002 la posta elettronica HTML viene aperta con le limitazioni previste per l'Area Siti con restrizioni. La posta elettronica HTML viene aperta con le limitazioni previste per l'Area Siti con restrizioni anche in Outlook 98 e 2000, dopo l'installazione di Outlook Email Security Update. I clienti che utilizzano uno di questi prodotti non sono esposti ad attacchi tramite posta elettronica che tentino di sfruttare automaticamente questa vulnerabilità.
• Poiché non può in alcun modo obbligare gli utenti a visitare un sito Web dannoso, l'autore dell'attacco deve attirare le vittime, in genere inducendole a fare clic su un collegamento al proprio sito.

Livello di gravità

La classificazione della gravità di cui alla tabella precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.

Identificatore della vulnerabilità:CAN-2003-0228

Versioni testate:

Microsoft ha eseguito test in Windows Media Player 7.1, Windows Media Player per Windows XP e Windows Media Player 9.0 per verificare se tali versioni sono interessate dalla vulnerabilità in questione. Le versioni precedenti non sono più supportate e potrebbero essere o meno interessate da questo problema.

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione del codice, che potrebbe consentire a un hacker di eseguire nel sistema di un utente codice non autorizzato in grado di effettuare tutte le operazioni consentite all'utente.

Il codice dannoso verrebbe infatti eseguito con gli stessi privilegi e le stesse restrizioni applicati all'utente. Ad esempio, se l'utente non è autorizzato a eliminare file dal disco rigido, la stessa limitazione sarà applicata anche al codice dell'autore dell'attacco. Se invece l'utente utilizza un account con privilegi elevati, ad esempio un account amministrativo, anche il codice non autorizzato disporrà degli stessi privilegi.

La vulnerabilità interessa tutte le versioni di Windows Media Player?
No, interessa solamente Windows Media Player 7.1 e Windows Media Player per XP. Windows Media Player 9.0 non è interessato da questa vulnerabilità.

Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità è dovuta al fatto che Windows Media Player 7.1 e Windows Media Player per XP non convalidano correttamente l'input durante il download dei file di interfaccia. In genere i file di interfaccia vengono scaricati nella cartella File temporanei Internet, quindi vengono copiati in un altro percorso non prevedibile. Questa vulnerabilità consente invece di scaricare un file di interfaccia, o un file mascherato da interfaccia, e di copiarlo in una posizione nota all'autore dell'attacco.

Che cos'è la cartella File temporanei Internet e qual è il suo scopo?
La cartella File temporanei Internet è la cartella del disco rigido utilizzata per eseguire il caching dei file (ad esempio dei file grafici) e delle pagine Web visualizzati dall'utente. Poiché, in questo modo, Internet Explorer può aprire le pagine dal disco rigido anziché dal Web, la visualizzazione di pagine visitate di frequente o già visualizzate in passato risulta più rapida. La funzionalità di offuscamento è fondamentale per assicurare che tale cache venga memorizzata in un percorso non prevedibile. Se l'operatore di un sito Web conosce il percorso fisico di una pagina Web, è in grado di acquisire ulteriori informazioni sul visitatore. La cache impedisce pertanto ai siti Web di acquisire tali informazioni, imponendo il modello di protezione di Internet Explorer.

Perché la copia di un file di interfaccia in un percorso noto costituisce un problema?
Sfruttando questa possibilità un hacker può collocare un programma dannoso in un percorso noto ed eseguirlo da tale percorso.

Che cosa sono le interfacce?
Le interfacce sono insiemi di script, grafica, elementi multimediali e testo che è possibile combinare per modificare l'aspetto e il funzionamento della finestra di Windows Media Player.

Il problema è legato alle interfacce?
No, la vulnerabilità non riguarda i file di interfaccia, ma la modalità di download di tali file.

Qual è il problema relativo alla procedura di download dei file di interfaccia utilizzata da Windows Media Player 7.1 e Windows Media Player per XP?
Durante il download dei file di interfaccia in Windows Media Player 7.1 e Windows Media Player per XP, gli URL passati al programma per iniziare il download non vengono verificati correttamente. Di conseguenza, è possibile manomettere tale URL in modo che consenta di copiare un file mascherato da file di interfaccia in un percorso noto all'autore dell'attacco, anziché nella cartella File temporanei Internet.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
La vulnerabilità consente a un hacker di inserire un file dannoso in un percorso noto o predeterminato nel computer dell'utente, per poi eseguirlo ed effettuare tutte le operazioni desiderate dall'autore dell'attacco, nel contesto dei privilegi dell'utente impostati per il computer.

Oltre ai privilegi, al programma non autorizzato vengono applicate anche tutte le limitazioni impostate sul computer per l'utente.

In quale modo un hacker può sfruttare questa vulnerabilità?
Un hacker potrebbe cercare di sfruttare la vulnerabilità creando un URL appositamente predisposto che, se visitato, causa il download e la copia di un file in un percorso scelto dall'hacker stesso.

Ad esempio, se l'autore dell'attacco conosce il percorso della cartella di avvio del computer dell'utente, può fare in modo che il download del file venga eseguito direttamente in tale cartella. Poiché i programmi contenuti nella cartella di avvio vengono eseguiti automaticamente all'avvio del computer, un hacker potrebbe sfruttare questo metodo per eseguire un programma o uno script dannoso sul computer.

Quali sono gli scopi della patch?
La patch assicura la corretta convalida degli URL passati a Windows Media Player 7.1 e Windows Media Player per Windows XP durante il download delle interfacce

Posizioni per il download di questa patch

• Microsoft Windows Media Player 7.1:

  http://microsoft.com/downloads/details.aspx?FamilyId=012F143A-
  77D1-4F6F-9338-5A6332614532&displaylang=en

• Microsoft Windows Media Player for Windows XP (Version 8.0):

  http://microsoft.com/downloads/details.aspx?FamilyId=E311DF50-
  0633-4100-AB37-D7A68D51182F&displaylang=en