Scoperta e corretta una grave vulnerabilità in µTorrent.


In questi giorni Tavis Ormandy, noto ricercatore del team Google Project Zero, ha fatto sapere di aver scoperto una grave vulnerabilità nelle versioni desktop e web di µTorrent che possono essere sfruttate per eseguire un attacco remoto, accedere ai download ed installare malware nella cartella "Esecuzione automatica" di Windows. In pratica l'esperto di sicurezza ha spiegato che di default entrambi i client creano un server HTTP RPC sulle porte 10000, (su µTorrent desktop), e 19575, (in µTorrent Web), di conseguenza un malintenzionato potrebbe nascondere comandi specifici all'interno di pagine web che interagiscono con questi server ed accedere al sistema operativo. Entrando un po' nei dettagli gli exploit scritti da Tavis Ormandy per verificare l'esistenza della vulnerabilità sfruttano la tecnica del cosiddetto DNS rebinding, ossia un attacco che in questo caso ha permesso ad un dominio Internet di ottenere l'indirizzo IP del computer locale sul quale è installato µTorrent: a questo punto sarebbe, appunto, possibile installare malware nella cartella "Esecuzione automatica" che verrà eseguito ad ogni riavvio. Ad ogni modo il ricercatore di sicurezza aveva segnalato la vulnerabilità a BitTorrent lo scorso mese di Novembre, ma l'azienda non ha rilasciato nessuna patch entro i 90 giorni concessi dal team di Google Project Zero, perciò questa vulnerabilità è stata resa pubblica. Comunque sia, sempre in questi giorni, BitTorrent ha rilasciato una nota ufficiale nella quale ha fatto sapere di esseri messa al lavoro ed aver risolto il problema, invitando gli utenti a scaricare le ultime versione delle applicazioni: per la precisione la versione beta 3.5.3.44352 di µTorrent desktop distribuita lo scorso 16 Febbraio, (la release stabile verrà rilasciata nei prossimi giorni); e la build 0.12.0.502 di µTorrent Web, pubblicata di recente sul sito ufficiale. Infatti nel suddetto comunicato si può, infine, leggere: «Il 4 Dicembre 2017 siamo stati informati della presenza di diverse vulnerabilità nei client desktop di µTorrent e BitTorrent per Windows. Abbiamo iniziato a lavorare immediatamente per risolvere il problema. Il nostro fix è completo ed è disponibile nella versione beta più recente, (la build 3.5.3.44352 rilasciata il 16 Febbraio 2018). Questa settimana inizieremo a consegnarlo ai nostri utenti. Tutti gli utenti verranno aggiornati automaticamente con il fix nei giorni successivi. La natura dell'exploit è tale che un malintenzionato potrebbe creare un URL che causerebbe l'attivazione di azioni nel client senza il consenso dell'utente, (ad esempio, aggiungendo un torrent). BitTorrent è anche stato messo al corrente che il nuovo prodotto beta, µTorrent Web, è vulnerabile ad un bug simile. Questo è un prodotto diverso e non era coperto dalle vulnerabilità originali. Il team di µTorrent Web ha rilasciato una patch per quel problema ieri ed incoraggiamo vivamente tutti i clienti di µTorrent Web ad aggiornarsi all'ultimo build disponibile, il 0.12.0.502 disponibile sul nostro sito web https://web.utorrent.com ed anche tramite la notifica di aggiornamento dell'applicazione. Come sempre, incoraggiamo tutti i nostri clienti a rimanere sempre aggiornati».

Commenti