Trend Micro segnala una vulnerabilità nel controllo ActiveX Microsoft Video chepuò permettere a un hacker di assumere il controllo a distanza del PC di un utente senza richiedere alcun intervento da parte di quest’ultimo.
Secondo il bollettino Microsoft Security Advisory #972890 un malintenzionato potrebbe sfruttare questa vulnerabilità convincendo l’utente a visitare un sito Web o un messaggio email HTML appositamente predisposti. Questa vulnerabilità non presenta alcun rischio se si utilizza Windows Vista.
Circa 967 siti Web cinesi sono stati infettati da uno script che attira gli utenti in varie ridirezioni successive fino a scaricare un file JPG contenente il codice che sfrutta la vulnerabilità in oggetto, identificata da Trend Micro come JS_DLOADER.BD. La minaccia però potrebbe estendersi rapidamente ad altre zone del mondo.
Dopo essere stato attivato, lo script scarica un altro malware noto come WORM_KILLAV.AI che disabilita e fa terminare i processi antivirus presenti nel sistema procedendo quindi a installare ulteriore malware.
Sistemi colpiti
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi basati su Itanium
Azioni consigliate
Accertarsi che i prodotti per la sicurezza Trend Micro siano aggiornati (CPR 6.252.03 o superiore). I prodotti Trend Micro dotati di tecnologia di Web Reputation sono attualmente in grado di bloccare gli URL pericolosi associati a questa vulnerabilità.
Trend Micro consiglia
• Prodotti Home & Home Office
Trend Micro Internet Security
• Prodotti per piccole aziende
Worry-Free Business Security Standard, Advanced e Hosted
• Medie e grandi aziende
OfficeScan Client Server Edition
Ulteriori risorse
• Zero-day Microsoft DirectShow MPEG2TuneRequest Exploit leads to KILLAV malware (TrendLabs Malware Blog)
Microsoft Security Advisory (972890)
Microsoft Security Advisory: Vulnerability in Microsoft Video ActiveX control could allow remote code execution
