Microsoft Windows 8.1 e versioni precedenti vulnerabili a XMLDOM XML Injection Vulnerability in Internet Explorer 6 a 11

Cert-In, il Computer Emergency Response Team indiano, ha avvertito che Microsoft Windows 8.1 e le sue versioni precedenti sono a rischio a causa di una vulnerabilità che esiste nel controllo ActiveX XMLDOM. La vulnerabilità può essere eseguita tramite Internet Explorer versione 6 a 11. Hacker/attaccanti possono sfruttare questa vulnerabilità per iniettare un codice XMLDOM XML e ottenere le informazioni personali degli utenti del PC Windows o trasformare il PC Windows in un computer Zombie per partecipare a un attacco DoS o DDoS sui siti web.

Anche se la vulnerabilità è stata classificata come grave da Cert-In, un ricercatore di CXSecurity ha affermato che potrebbe trattarsi di una vulnerabilità di livello medio-basso. Sto riproducendo l’intero codice fornito dal ricercatore di CXSecurity :

il codice sopra è stampato per gentile concessione di cxsecurity.com

Entrambe le vulnerabilità sono state classificate come segue :

1. Vulnerabilità di divulgazione delle informazioni (CVE-2013-7331)

• Questa vulnerabilità esiste perché il controllo ActiveX XMLDOM contiene metodi che possono rivelare informazioni su un sistema informatico all’operatore di un sito web. Un attaccante remoto potrebbe sfruttare questa vulnerabilità per ottenere informazioni sensibili come lettere di unità locali, file e nomi di directory convincendo un utente a visitare una pagina web appositamente creata e esaminando i codici di errore generati.*
• Cert-in ha affermato che questa vulnerabilità è sfruttata in natura, ma CXSecurity afferma che questo potrebbe portare solo a un sfruttamento marginale.

2. Vulnerabilità di negazione del servizio (CVE-2013-7332)

• Questa vulnerabilità esiste a causa di una rilevazione impropria della ricorsione durante l’espansione delle entità. Un attaccante remoto potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare un documento XML creato contenente un gran numero di riferimenti ad entità annidate per causare consumo di memoria e CPU, risultando in condizioni di negazione del servizio (DoS). La macchina può quindi essere trasformata in un ‘Computer Zombie’ per lanciare un attacco di Negazione del Servizio (DoS) in natura o un attacco dedicato di Negazione del Servizio Distribuito (DDoS).*
• Attualmente, Microsoft non ha emesso alcuna correzione/patch per queste vulnerabilità, ma esiste una soluzione alternativa disponibile se si desidera proteggere il computer. È necessario impostare le impostazioni della zona di sicurezza Internet e Intranet locale nelle impostazioni di Internet Explorer su “Alto”. Questo disabiliterà quindi sia i controlli ActiveX XMLDOM che lo scripting attivo nel proprio Internet Explorer e gli script non potranno essere eseguiti.