La falla interessa in modo trasversale tutte le versioni del sistema operativo e riguarda i file .LNK. I possibili rimedi in attesa della patch.
Una nuova pericolosa vulnerabilità è stata scoperta in Windows. La falla è particolarmente grave anche perché interessa, in modo trasversale, tutte le versioni del sistema operativo di Microsoft: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 sono certamente a rischio. Test su Windows 2000 non sono stati ancora portati a termine ma, analizzando i dettagli della vulnerabilità, il quadro non dovrebbe essere differente.
Nel caso di Windows 2000, dal momento che il sistema operativo non è – da qualche giorno – più supportato, potrebbe trattarsi della prima falla grave che resterà senza soluzione (vista la portata della problematica, tuttavia, Microsoft potrebbe fare un’eccezione e rilasciare comunque un aggiornamento risolutivo anche per i sistemi Windows 2000).
La lacuna di sicurezza riguarda i file .LNK, i cosiddetti “collegamenti“, file che in Windows puntano ad eseguibili, documenti ed altri comandi.
Un aggressore potrebbe riuscire ad eseguire codice nocivo sul sistema dell’utente semplicemente “confezionato” un file .LNK modificato “ad arte”. Tale “collegamento” può essere sfruttato per avviare qualunque file a patto che la sua locazione sia indicata in modo corretto.
Il problema principale è che aprendo con “Esplora risorse” la cartella contenente il file .LNK maligno, il suo contenuto viene automaticamente elaborato da parte del sistema operativo, con il rischio di vedere eseguiti elementi dannosi.
Il file .LNK nocivo può risiedere ovunque, su unità disco di tipo tradizionale, dischi rimovibili, unità di rete e così via.
Il quadro è aggravato dal fatto che è stato da poco pubblicato in Rete il codice “proof-of-concept” della vulnerabilità: ciò significa che, assai probabilmente, la lacuna di sicurezza sta per essere sfruttata per condurre attacchi su vasta scala.
Due possibili rimedi temporanei
Come soluzione temporanea, nell’attesa che venga rilasciata una patch ufficiale, Microsoft consiglia di disattivare la visualizzazione delle icone per i file .LNK. Per procedere è necessario avviare l’Editor del registro di Windows (Start, Esegui…, REGEDIT), portarsi in corrispondenza della chiave HKEY_CLASSES_ROOT\lnkfile\ shellex\IconHandler, farvi clic con il tasto destro del mouse, scegliere Esporta e specificare il nome del file REG da creare. In questo modo si genererà una copia di backup della chiave sopra citata.
Nel pannello di destra, quindi, è necessario cliccare due volte sul valore Predefinito, e rimuovere l’intero contenuto del campo Dati valore.
Dopo aver riavviato il sistema operativo, l’icona associata a ciascun collegamento non sarà più visualizzata ma si eviterà che sul proprio personal computer possano essere eseguiti comandi o file nocivi, semplicemente accedendo ad una cartella contenente “collegamenti” .LNK maligni.
Il secondo “workaround” suggerito da Microsoft consiste nella disattivazione del servizio WebClient (Start, Esegui…, services.msc). La disabilitazione di WebClient permette di rendere non automatico il tentativo di attacco attuato verso le applicazioni che usano il protocollo WebDAV (ad esempio Outlook), inducendo la richiesta di conferma dell’esecuzione che dovrebbe insospettire l’utente.
Ove possibile, però, il consiglio è quello di servirsi del primo workaround (intervento sul registro di Windows con conseguente disattivazione delle icone dei collegamenti): tale operazione consente infatti di proteggersi da ogni tipologia di attacco.
Marco Giuliani, malware technology specialist per Prevx, ha spiegato che “non si tratta di una falla vera e propria, nel senso di un exploit in grado di sfruttare qualche errore di programmazione lato Microsoft tramite stack overflow, heap overflow o tecniche similari“.
La falla sfrutterebbe insomma una funzionalità di Windows: “è lecito pensare che sia più una leggerezza lato programmazione, una feature sviluppata senza pensare ai possibili rischi conseguenti, che non piuttosto un bug vero e proprio“, ha osservato Giuliani.
Per completezza, citiamo l’advisory pubblicato da Microsoft sull’argomento e disponibile in questa pagina.
Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, riportando l’analisi del “Microsoft Malware Protection Center” (MMPC) segnala che la vulnerabilità in questione è anche attualmente sfruttata come uno dei metodi di propagazione della famiglia di malware denominata “Stuxnet”. “Già correttamente rilevata dai vari software antimalware Microsoft“, scrive Intini. “Da un lato questo malware provvede ad infettare tutti i drive USB connessi al sistema che è stato infettato, e dall’altro tali drive USB infetti possono a loro volta infettare nuovi sistemi operativi se l’AutoPlay è attivo (utile ricordare che in Windows 7 questa funzionalità è disabilitata) o se intenzionalmente si esplora la loro cartella di root“.
Microsoft è al lavoro per il rilascio di una patch.
