I ricercatori identificano un nuovo problema di sicurezza nel codice di Internet Explorer, il browser “non-morto” ancora presente su Windows 10 che può essere compromesso usando pacchetti .mht malevoli.
Microsoft è oramai alacremente al lavoro sulla nuova versione di Edge basata su Chromium, ma Internet Explorer (IE) continua a essere parte integrante di tutte le versioni di Windows attualmente supportate. Lo storico browser di Redmond è altresì ospite fisso di tutti i Patch Tuesday mensili della corporation, e una nuova vulnerabilità scoperta di recente evidenzia vieppiù il triste stato di cose in merito alla sicurezza del codice del programma.
Identificato dal ricercatore John Page, il nuovo problema di sicurezza di IE è una falla di tipo XML External Entity (XXE) e permette in sostanza di usare tag XML malevoli nascosti all’interno di un file MHT appositamente malformato. Aprendo detto file tramite IE, l’ignaro utente può spalancare le porte a hacker cyber-criminali fornendo loro l’accesso ai file e alla configurazione del sistema.
I pacchetti MHT sono un formato legato a doppio filo alla storia di IE, una funzionalità utile a salvare l’intero contenuto di una pagina Web in un singolo file omnicomprensivo. Su Windows l’apertura predefinita dei file .mht avviene tramite IE, e i criminali succitati possono sfruttare la cosa per spingere l’utente ad accedere all’archivio malevolo tramite una pagina Web, un’e-mail o attraverso altri mezzi.
La normale interazione con l’archivio malformato richiede l’apertura volontaria da parte dell’utente, ma secondo Page è possibile “automatizzare” il processo rendendo la (potenziale) compromissione del sistema ancora più efficiente e pericolosa.
L’exploit creato dal ricercatore è risultato funzionante su tutte le versioni di Windows supportate da Microsoft (da Windows 7 in su, in ambiente home o enterprise), ma la corporation di Redmond ha risposto in maniera bizzarra dicendo di voler “considerare” la correzione del bug in una futura versione di IE o di Windows.
Neanche a dirlo, la reazione non ha affatto soddisfatto Page, che ha quindi deciso di pubblicare la spiegazione dettagliata del bug e il codice di exploit sul proprio sito. In questo modo la falla XXE di IE è diventata di dominio pubblico assurgendo allo status di vulnerabilità zero-day; augurabilmente, questo nuovo sviluppo costringerà Microsoft a fare molto di più che “considerare” un bugfix in grado di neutralizzare la nuova minaccia al codice ancestrale di IE.