Alla fine di dicembre, i ricercatori di Microsoft hanno risposto pubblicamente ad un codice di attacco che sfruttava una vulnerabilità nel servizio FTP di IIS dicendo agli utenti che non era molto più di una minaccia, poichè il peggio che ptoeva fare  era un crash all’applicazione.

Grazie, almeno in parte, a fattori attenuanti derivati dalla maggiore sicurezza nei sistemi operativi più recenti, attacker che puntano il difetto di  heap-overrun non avevano modo di controllare i dati  in memoria. E ‘stata un’altra vittoria per l’approccio di difesa in profondità di Microsoft, che mira a rendere più difficile lo sfruttamento di memoria con l’aggiunta di più livelli di protezione.

Tuttavia, si è scoperto che non era proprio così. Il White-hat hacker Chris Valasek e Ryan Smith della società di sicurezza  Labs Accuvant hanno appena postato schermate che mostrano di non avere problemi di accesso a parti di memoria nel computer vittima, che la tutela – noto come attenuazione dello sfruttamento heap – doveva fermare. Con questo ostacolo eliminato, avevano mostrato che il bug di IIS zero-day è molto più grave di quella prima analisi che Microsoft aveva comunicato .

“Il fatto è stato dimostrato ovvero si può effettivamente iniziare a eseguire il codice, a differenza di quelli che dicono: ‘Non ti preoccupare. Si può solo provocare il crash del server”, dice Valasek, che è un ricercatore senior per Accuvant.

Fino ad ora, la loro tecnica per bypassare la protezione heap è stata un mistero al di fuori di una ristretta cerchia di ricercatori. Sabato, Valasek e Smith hanno condiviso il loro segreto alla conferenza sulla sicurezza a Miami Beach.

La cura del bug ha fatto il suo debutto in Microsoft nel Service Pack 2 di Windows XP, e da allora è stata perfezionata in altri sistemi operativi. Funziona rilevando la memoria che è stata corrotta da un heap overflow, e quindi chiudere il processo sottostante. La tecnologia è stata un importante passo avanti per Microsoft. In pratica durante la notte, un’intera classe di vulnerabilità che, una volta permetteva agli aggressori di prendere il pieno controllo del sistema operativo mirato sono state spazzate via.

Valasek e Smith sono stati in grado di aggirare la situazione perché il design rielaborato da Microsoft ha compreso anche una nuova funzionalità nota come LFH, o frammentazione heap, che mira a migliorare velocità e prestazioni, fornendo un nuovo modo di scegliere le applicazioni alle posizioni con memoria libera. E per ragioni che rimangono oscure, la nuova funzionalità non ha fatto uso della protezione di sfruttamento del bug heap.

“Hanno aperto una nuova strada per gli attaccanti, quindi è stato fantastico per gli attacker, ma un male per l’utente finale”, ha detto Smith. “La porta posteriore è bloccata, allora entriamo dalla porta d’ingresso”.

Valasek e Smith si affrettano a sottolineare che bypassare le protezioni richiede uno sforzo molto più alto una non comune  abilità da parte dell’attaccante. Cinque o 10 anni fa, era spesso possibile sfruttare  grandi quantità di codice già in uso quando si scriveva un nuovo script. Questo non è il caso odierno.

“A differenza di altre tecniche di sfruttamento del passato, è necessario sapere di più sul sistema operativo sottostante e l’applicazione che è in esecuzione per capire come attivare [LFH] e come usarlo a proprio vantaggio,” ha detto Valasek. “Non si può andare alla cieca sul vostro lavoro.”