Hesive, un nuovo cavallo di Troia per un vecchio bug
Virus e Antivirus
Hesive, uno dei tanti malware per sistemi Windows, non è destinato a passare alla storia per diffusione o pericolosità, a meno di improbabili colpi di scena; merita tuttavia il suo quarto d’ora di celebrità perché sottolinea le difficoltà di Microsoft nel fare fronte alle piccole e grandi magagne (in questo caso, piccole) della propria gamma prodotti.State sicuri Hesive è infatti un cavallo di Troia che sfrutta un bug segnalato quasi sei mesi fa a Microsoft da una piccola società di nome Hexview, ma mai corretto dell’azienda di Redmond.
Hesive apre una backdoor su sistemi infetti e permette il controllo remoto della macchina (mediante reti Irc e appositi comandi, con lo scopo di creare botnet), sfruttando un bug di Microsoft Jet, il database “leggero” e datato di casa Microsoft, ancora usato da applicativi quali Access 2000 e Access 2003).
Hexview aveva scoperto un possibile buffer overflow in una libreria di Jet, msjet40.dll, che metteva a rischio tutte le applicazioni che la richiamavano; ma Microsoft non ha da allora né riconosciuto l’esistenza del bug, né ha preso in considerazione l’idea di correggerlo.
Un exploit di tipo zero day (ma sarebbe più corretto definirlo “150-day” e più) ha così origine a Hesive, che si presenta sotto forma di file Microsoft Access e infetta sistemi Windows pienamente aggiornati, che facciano uso di Access 2000 o 2003 (le applicazioni fanno parte delle diffuse suite Microsoft Office): è la cronaca di un malware annunciato.
E Microsoft? Dal proprio canto, l’azienda di Redmond fa sapere con un comunicato che “è a conoscenza dell’esistenza di un cavallo di Troia legato a una possibile vulnerabilità di Microsoft Office” e che “una volta approfondita la cosa, prenderà gli opportuni rimedi”. Va bene che Hesive non è il Sasser del 2005 (è già rilevato e corretto da ogni antivirus aggiornato), ma la mossa di Microsoft non può che definirsi tardiva. Ed è un eufemismo ritenerla tale.
Ancora nessun commento.