A partire dal sistema operativo Windows Vista, Microsoft ha introdotto un nuovo livello di protezione per Internet Explorer 7, successivamente integrato anche in Windows 7 e Internet Explorer 8. Si tratta del Protected Mode che consente di proteggere il computer dell’utente dagli attacchi che sfruttano le vulnerabilità del browser e delle sue estensioni.
I ricercatori di Verizon Business hanno però scoperto un modo per bypassare il Protected Mode di IE 7 e 8. Questa funzionalità è attiva di default per l’area Internet, mentre è disattivata per la zona Intranet locale. In questa zona è presente il PC dell’utente, ovvero il localhost a cui è associato l’indirizzo IP 127.0.0.1.
Sfruttando una vulnerabilità del browser è possibile installare codice arbitrario ed eseguire sul PC dell’utente un server Web che risponde alle richieste su ogni porta dell’interfaccia di loopback. Utilizzando la funzione IELaunchURL(), si può istruire il server a caricare uno specifico indirizzo, come “http://localhost/exploit.html”.
Una volta che il malware è entrato nel computer, il codice arbitrario può essere eseguito anche se il livello di protezione è medio e ciò garantisce all’attaccante l’accesso completo all’account dell’utente.
Per prevenire l’attacco descritto è consigliabile seguire alcuni passi, come abilitare il Controllo Account Utente, abilitare il Protected Mode per tutte le zone e disabilitare la zona Intranet locale o ridurre al minimo il numero dei siti Web della zona.