Un “buco” nelle modalità attraverso le quali Windows verifica le periferiche USB che vengono via a via collegate al sistema può aprire il varco a un attacco.
Nel corso del “patch day” Microsoft di marzo, oltre a due patch ad elevata criticità riguardanti Internet Explorer e Silverlight, è stato messo a disposizione un aggiornamento che molti esperti considerano non meno importante.
Si tratta della patch MS13-027 che i tecnici Microsoft hanno bollato semplicemente come “importante”. È probabile che la scelta sia determinata dal fatto che, per poter sfruttare la vulnerabilità sanabile attraverso l’applicazione dell’aggiornamento di sicurezza, l’aggressore deve trovarsi fisicamente dinanzi al computer Windows da violare.
Molto curiosa la modalità d’attacco: collegando una chiavetta USB opportunamente preparata, il malintenzionato potrebbe riuscire ad eseguire codice potenzialmente dannoso sul sistema pur non disponendo delle credenziali d’accesso.
Il problema risiede nelle modalità con cui Windows verifica le periferiche USB che vengono via a via collegate al sistema. Ogni periferica USB, infatti, utilizza i cosiddetti descriptors, strighe di caratteri che forniscono informazioni sull’identità e sulle caratteristiche del dispositivo rimovibile. Ricordiamo che tra i “descrittori” figurano informazioni come la tipologia del dispositivo rimovibile, il nome del produttore, il nome del prodotto e così via.
Alterando ad arte tali descriptors, l’aggressore può indurre Windows – in mancanza della patch MS13-027 – ad eseguire codice nocivo.
Non appena compare la finestra di login di Windows, il malintenzionato può quindi collegare la sua chiavetta USB e provocare l’esecuzione di codice arbitrario, senza alcuna ulteriore interazione col sistema.
Andrew Storms, uno dei responsabili di nCircle, ha dichiarato che “il potenziale di questa minaccia non dev’essere sottovalutato, soprattutto in ambito aziendale“.
