Bug 0-Day in Firefox 3.5 & 3.6: mettiamo in guardia gli utenti

Bucarest, 02 Novembre 2010 - BitDefender^®, noto produttore di innovative soluzioni di sicurezza internet mette in guardia gli utenti su un difetto di sicurezza 0-day in Firefox 3.5 e 3.6, che ha fatto la sua comparsa negli ultimi giorni. In genere avvisiamo gli utenti di questo tipo di incidenti, ma questa volta abbiamo deciso di mantenere l’informazione il più confidenziale possibile, dato che nessuna patch  era stata resa disponibile dal distributore.

La vulnerabilità è stata identificata il 26 ottobre, quando alcuni siti web compromessi hanno cominciato a installare malware sui computer degli utenti che visitavano una pagina web progettata per l’occasione. Il codice exploit scritto in JavaScript venivacaricato su http://l-3com.[removed]-work.com/admissions/admin.php. Alcuni siti web importanti, compreso il sito web del Premio Nobel, sono stati compromessi da iniezioni iFrame che conducevano l’utente verso l’exploit.

Questi file JavaScript progettati per l’occasione si differenziano a seconda delle diverse versioni di Firefox dalla 3.6.8 alla 3.6.11, e attivano un errore use-after-free, cioè il codice cercherà di usare una porzione di memoria appena viene liberata. Questa tecnica, sicuramente non rivoluzionaria, è stata usata anche  lo scorso gennaio da un exploit di IE8, identificato come Operation Aurora.

Una volta visitata la pagina dannosa, il codice JavaScript verifica sia il sistema operativo sia la versione del browser utilizzato e occupa un’area specifica della memoria con due carichi diversi.

Il primo differisce tra una versione e l’altra del browser e punta ad avviare l’exception del browser, mentre il secondo è uguale per tutte le versioni del browser ed esegue i file dannosi. Se l’utente raggiunge la pagina compromessa utilizzando un altro browser o una versione di Firefox non vulnerabile, lo script indirizzerà l’utente verso una nuova pagina vuota.

Se l’operazione avrà successo invece, verrà scaricato un file chiamato svchost.txt, un file binario infetto che verrà rinominato come svchost.exe ed eseguito sul computer della vittima. Questo specifico malware è identificato come Backdoor.Belmoo.Ae permette ad un aggressore remoto di prendere il controllo del sistema infetto.

Gli utenti BitDefender sono stati protetti a partire dal primo giorno di attività del nuovo exploit (identificato come Exploit.CVE-2010-3765.A), cioè significa che l’antivirus blocca l’accesso alla pagina web infetta prima che qualsiasi codice venga eseguito.

Firefox ha reso disponibile un update per le versioni dalla 3.6.11 alla 3.6.12 che non è più vulnerabile a questo tipo di exploit. Per essere sempre protetti, consigliamo di aggiornare il vostro browser e la vostra soluzione antivirus.

L’analisi tecnica del file exploit è disponibile grazie a Octav Minea, malware Researcher di Bitdefender.