Google è stato attaccato in Cina tramite IE6?

Sulla base delle nostre indagini, abbiamo stabilito che Internet Explorer è uno dei vettori usati nei mirati e sofisticati attacchi contro Google e probabilmente altre reti corporate. Oggi Microsoft ha pubblicato una guida per aiutare gli utenti a mitigare una vulnerabilità di tipo Remote Code Execution (RCE) in Internet Explorer. Inoltre stiamo collaborando con Google ed altre compagnie, così come le autorità ed altri partner». Così, tramite il blog TechNet, Microsoft ha ammesso come Internet Explorer abbia avuto un ruolo diretto nell’attacco che ha scatenato il braccio di ferro tra Google e le autorità cinesi.

Il problema è insito in una vulnerabilità nel browser Microsoft che viene ora descritta nel Microsoft Security Advisory (979352). Il problema sarebbe stato identificato in tutte le ultime versioni di Internet Explorer, a partire dalla 6 e fino alla più recente. Gli exploit emersi online, anche se teoricamente applicabili su ognuna delle versioni vulnerabili, sarebbero stati segnalati su Internet Explorer 6. Il problema sarebbe comunque limitato su Windows 7 e Windows Vista poiché l’accesso truffaldino al sistema sarebbe ottenuto con minori privilegi e minori spazi di manovra.

Il teorema avanzato da McAfee («Operazione Aurora») in queste ore smentisce il precedente teorema firmato iDefense. Mentre quest’ultima ha attribuito le responsabilità dell’attacco ad una vulnerabilità in Adobe Reader, McAfee ha invece indicato in Internet Explorer il veicolo prescelto per alcuni degli attacchi affondati (va ricordato come siano stati coinvolti almeno 30 grandi gruppi attivi sul territorio cinese).

Steve Ballmer non nega le responsabilità relative, ma spiega come la specifica vulnerabilità verrà trattata alla stregua di ogni altra minaccia scoperta nei software del gruppo. L’onere di comunicare la tipologia e la tempistica dell’intervento risolutivo vengono declinate al team responsabile della sicurezza dei software di Redmond, da cui al momento non giungono però indicazioni esatte. Il patch day di Gennaio è già passato, mentre il prossimo è previsto per martedì 9 Febbraio. Microsoft tende a distribuire le proprie patch solo quando lo sviluppo è stato verificato e la qualità dell’aggiornamento è certificata, ma in caso di urgenza ha più volte diramato patch al di fuori del ciclo fisso che prevede il rilascio dei bollettini in concomitanza con il secondo martedì di ogni mese.

Steve Ballmer, commentando l’accaduto, ha inoltre evitato di mettere il proprio gruppo contro le autorità cinesi spiegando come «tutti i grandi gruppi sono stati attaccati […] riceviamo attacchi ogni giorno, per questo non capisco»; dunque nulla di nuovo sarebbe all’orizzonte e Microsoft non avrebbe pertanto alcuna intenzione di andarsene dal paese né alcuna volontà di agire contro le imposizioni legali del governo locale. Ballmer tiene fuori Microsoft dalle polemiche, insomma, lasciando che Google combatta da sola la battaglia scatenata all’improvviso con la minaccia di ritirare il motore di ricerca dal paese orientale.