In tempi di Coronavirus anche nei programmi informatici di Microsoft si scoprono alcune falle
LUGANO - C’è una vulnerabilità piuttosto grave di Windows, catalogata dalla stessa Microsoft con il livello critico, ovvero il massimo livello di pericolosità e per cui non esiste, al momento, nessun rimedio. Secondo l’azienda produttrice del software colpisce tutte le versioni di Windows comprese quelle server, e la soluzione potrebbe essere ancora lontana.
Dal punto di vista tecnico, la vulnerabilità affligge il sistema con cui Windows gestisce e mostra a video i caratteri del sistema di scrittura. In pratica, invita l’utente ad aprire un file di testo dannoso, o semplicemente lo porta a scaricare il file e visualizzarne l’anteprima, ma un malintenzionato può prendere il controllo del computer e installare software malevolo. Secondo le prime analisi, questa falla sarebbe stata sfruttata ad esempio per l’installazione dei cosiddetti ransomware, cioè quella tipologia di programmi malevoli, che limitano l’accesso al dispositivo tramite cifratura, con l’hacker che richiede poi un riscatto per fornire la password di sblocco.
Ma per saperne di più ci siamo fatti raccontare i dettagli e le cautele da prendere da Andrea Palanca Senior Cyber Security Advisor di Security Lab SAGL.
Un programma con milioni di utilizzatori come Windows mostra falle importanti. Come siete venuti a saperlo?
Nella giornata di lunedì 23 marzo, la stessa Microsoft ha reso noto di essere venuta a conoscenza di due vulnerabilità critiche di Remote Code Execution (RCE) che affliggono i sistemi Windows (Desktop) e Windows Server, attualmente sotto sfruttamento in limitati attacchi mirati. Parliamo di una vulnerabilità dovuta a errori di programmazione di un componente software, la quale, se abusata, potrebbe consentire a un aggressore remoto di eseguire comandi arbitrari da lui definiti sulla macchina che include tale componente, con gli stessi privilegi del componente affetto dalla problematica.
Da un punto di vista tecnico quali sono i dettagli della vulnerabilità?
Le vulnerabilità riguardano le librerie Microsoft Windows Adobe Type Manager (ATM) dei font PostScript. Tali librerie, infatti, sono state scoperte avere errori nella gestione di particolari font multi-master. Un aggressore potrebbe appositamente realizzare un documento malevolo che, se aperto da una vittima oppure anche solo visualizzato nel riquadro di Preview di Windows Explorer, eseguirebbe comandi arbitrari sulla macchina. Pertanto, si raccomanda cautela nell’apertura di file provenienti da fonte sconosciute (ad esempio, documenti scaricati da Internet, allegati mail oppure file all’interno di dispositivi USB) fino al rilascio della patch di aggiornamento da Microsoft. Attualmente, non sono disponibili su Internet exploit pubblici della vulnerabilità, seppure è noto che limitati gruppi di hacker o ricercatori dispongano di versioni funzionanti.
E quali sono i sistemi affetti, secondo una vostra valutazione?
La vulnerabilità riguarda tutti i sistemi Windows (Desktop) e Windows Server da Vista in poi, tra cui tutti quelli attualmente supportati da Microsoft quali Windows 7, 8.1, RT 8.1, 10, Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 (una licenza ESU è necessaria per ricevere gli aggiornamenti sui sistemi Windows 7, Server 2008 e 2008 R2). Sui sistemi Windows 10 da 1703 in poi, la vulnerabilità consente solo l’esecuzione di comandi parziali all’interno della sandbox di sicurezza AppContainer.
Quale tipo di rimedio possiamo immaginare di avere dalla casa produttrice?
Microsoft sta attualmente lavorando su una patch (una sorta di toppa) per risolvere la vulnerabilità, il cui rilascio è previsto entro la prima metà di aprile. Gli aggiornamenti di sicurezza dei prodotti Microsoft, infatti, sono tipicamente distribuiti nell’ “Update Tuesday”, ovvero negli aggiornamenti di sicurezza cumulativi che Microsoft rilascia ogni secondo martedì del mese. In questo caso i computer sarebbero vulnerabili fino al 14 aprile.
In attesa dell’aggiornamento, Microsoft ha pubblicato una serie di rimedi temporanei (workaround) per limitare oppure impedire del tutto lo sfruttamento della vulnerabilità. Maggiori informazioni sono presenti direttamente nella pagina dell’advisory ADV200006 di Microsoft. Ma la situazione per chi utilizza ancora Windows 7 potrebbe essere peggiore. Essendo, a gennaio 2020, terminato il supporto esteso, Microsoft potrebbe decidere di non sviluppare la patch per il vecchio sistema operativo o di rilasciarla solo agli utenti aziendali. Questo vorrebbe dire lasciare scoperti milioni di computer a un attacco molto pericoloso.
Cosa state suggerendo di fare ai vostri clienti per ovviare alla vulnerabilità?
Sicuramente valgono i generali principi di tenere costantemente aggiornati gli antivirus sulla macchina, in modo da bloccare subito eventuali documenti malevoli che dovessero essere scaricati, ed effettuare regolari backup dei dati. In attesa della patch, è consigliabile anche applicare i rimedi temporanei definiti da Microsoft, in particolare su tutti i sistemi che nel lavoro quotidiano devono essere usati per processare documenti da fonti esterne.
Infine, a tutti gli utilizzatori di Windows 7, questa è un’ulteriore motivazione per effettuare il prima possibile l’aggiornamento a una versione successiva del sistema operativo, specie nel caso l’exploit della vulnerabilità trapeli su Internet e diventi, pertanto, usabile da ogni malintenzionato.