Alfonso Maruccia

Accesso controllato alle cartelle, bypassata la protezione

Un ricercatore ha trovato il modo di superare la nuova difesa di Windows contro i ransomware e minacce similari, un problema che però Microsoft non considera affatto una "vulnerabilità"

Roma - Introdotta assieme al Fall Creators Update, la funzionalità di accesso controllato alle cartelle (CFA) è pensata per bloccare l'accesso alle cartelle e ai file indicati dall'utente - un'arma in più per gli utenti di Windows 10 contro i trojan cripta-file. Ma ora la nuova opzione è stata presa di mira da un ricercatore di sicurezza, che alla fine ha trovato il modo di bypassare la protezione scovando una nuova falla sfruttabile dagli autori di ransowmare e non solo.

Autore della ricerca è Yago Jesus, ricercatore spagnolo in forze a SecurityByDefault: Jesus ha scoperto che Microsoft ha deciso di garantire autorizzazioni speciali alle applicazioni Office, inserendo Word, Excel e compagnia in una whitelist a cui è concesso di accedere alle cartelle protette anche senza il permesso esplicito dell'utente.

Integrando un oggetto OLE all'interno di un file Office, ha spiegato Jesus, un malintenzionato potrebbe superare senza problemi le restrizioni di CFA per sovrascrivere i contenuti dei file nelle cartelle protette, proteggere con password i suddetti file e copiaincollare il loro contenuto al di fuori delle cartelle protette.
Il risultato finale di queste operazioni è ovviamente la realizzazione di un vero e proprio ransomware, in grado di farsi beffe delle protezioni di Windows 10 e di continuare a criptare i file degli utenti chiedendo un riscatto in Bitcoin per la loro (eventuale e non garantita) liberazione.

La falla scovata da Jesus è piuttosto grave, ma stando a quanto sostiene Microsoft non si tratta affatto di una vulnerabilità: il ricercatore ha interpellato la corporation che ha detto di voler migliorare le protezioni di CFA in futuro, ma la falla non è stata riconosciuta come tale e quindi a Jesus non andranno né il riconoscimento dovuto al suo lavoro né l'eventuale premio in denaro previsto in casi del genere.

Alfonso Maruccia
Notizie collegate
15 Commenti alla Notizia Accesso controllato alle cartelle, bypassata la protezione
Ordina
  • il ricercatore ha interpellato la corporation che ha detto di voler migliorare le protezioni di CFA in futuro, ma la falla non è stata riconosciuta come tale e quindi a Jesus non andranno né il riconoscimento dovuto al suo lavoro né l'eventuale premio in denaro previsto in casi del genere.

    E se il ricercatore in futuro trova un'altra vulnerabilita e la pubblica senza preavvisarli?
    non+autenticato
  • Windows, accesso controllato alle cartelle

    o

    Windows, cesso con troll nelle cartelle?


    Meditate gente, meditate
    non+autenticato
  • "Integrando un oggetto OLE all'interno di un file Office"

    Siamo alle solite. Per questo abbandonai windows all' inizio degli anni 2000, M$ se ne fotte degli utenti.
    non+autenticato
  • ... rinominare l'eseguibile del ransomware "Word.exe" o "Excel.exe"?Sorride
    non+autenticato
  • - Scritto da: Dumah Brazorf
    > ... rinominare l'eseguibile del ransomware
    > "Word.exe" o "Excel.exe"?
    >Sorride

    Ancora meglio sarebbe ERADICARLO e utilizzare le alternative libere.
  • sempre bene usare software floss

    però non t'illudere che siano invulnerabili

    Linux e soci godono del fatto che avere un market share risicato che non attira le attenzioni dei cybercriminali

    e infatti i cybercervelloni che lavorano per i governi ( non motivati dal soldo ma da altro ) hanno batterie di exploit financo per FreeBSD
    non+autenticato
  • - Scritto da: collione

    > e infatti i cybercervelloni che lavorano per i
    > governi ( non motivati dal soldo ma da altro )
    > hanno batterie di exploit financo per FreeBSD

    Tutti sono motivati dal soldo, senza eccezioni.
    O forse credi che il governo non li paghi i suoi cybercervelloni?
    non+autenticato
  • > e infatti i cybercervelloni che lavorano per i
    > governi ( non motivati dal soldo ma da altro )
    > hanno batterie di exploit financo per
    > FreeBSD

    e anche per openbsd.... e anche per hardenedbsd.... e hanno anche i superpoteri Sorpresa bel FUD.
    non+autenticato
  • - Scritto da: collione
    > sempre bene usare software floss
    >
    > però non t'illudere che siano invulnerabili

    Non mi illudo, ma almeno fanno solo il lavoro che dicono di fare e non altre cose tipo integrare oggetti OLE che poi aprono un mondo di vulnerabilita' legate agli oggetti e al sistema operativo.

    > Linux e soci godono del fatto che avere un market
    > share risicato che non attira le attenzioni dei
    > cybercriminali

    Non e' per il marketshare risicato, ma per la propensione dell'utonto winaro a cliccare su qualunque cosa senza farsi domande.

    > e infatti i cybercervelloni che lavorano per i
    > governi ( non motivati dal soldo ma da altro )
    > hanno batterie di exploit financo per
    > FreeBSD

    L'importante, ribadisco, e' che tutte le eventuali prove che i governi raccolgono con gli exploit valgano in entrambe le direzioni.
  • - Scritto da: panda rossa
    > - Scritto da: collione
    > > sempre bene usare software floss
    > >
    > > però non t'illudere che siano invulnerabili
    >
    > Non mi illudo, ma almeno fanno solo il lavoro che
    > dicono di fare e non altre cose tipo integrare
    > oggetti OLE che poi aprono un mondo di
    > vulnerabilita' legate agli oggetti e al sistema
    > operativo.
    >

    Ne hai sparata un'altra delle tue...
    Guarda che anche libreoffice supporta su windows, linux ecc gli oggetti OLE per l'embedding di file e documenti (dal menu Inserisci -> Oggetto -> Oggetto OLE).
    La differenza da MS office è che non è stato fatto alla catxo di cane. Tra te e MS è una dura lotta per farsi aggiudicarsi il premio di "Ignorante Totale".
    non+autenticato
  • - Scritto da: libreoffice
    > - Scritto da: panda rossa
    > > - Scritto da: collione
    > > > sempre bene usare software floss
    > > >
    > > > però non t'illudere che siano
    > invulnerabili
    > >
    > > Non mi illudo, ma almeno fanno solo il
    > lavoro
    > che
    > > dicono di fare e non altre cose tipo
    > integrare
    > > oggetti OLE che poi aprono un mondo di
    > > vulnerabilita' legate agli oggetti e al
    > sistema
    > > operativo.
    > >
    >
    > Ne hai sparata un'altra delle tue...
    > Guarda che anche libreoffice supporta su windows,
    > linux ecc gli oggetti OLE per l'embedding di file
    > e documenti (dal menu Inserisci -> Oggetto
    > -> Oggetto
    > OLE).
    > La differenza da MS office è che non è stato
    > fatto alla catxo di cane.

    Che e' esattamente quello che ho scritto io.
    Rileggere e comprendere, per cortesia.
  • - Scritto da: collione
    > sempre bene usare software floss
    >
    > però non t'illudere che siano invulnerabili
    >
    > Linux e soci godono del fatto che avere un market
    > share risicato che non attira le attenzioni dei
    > cybercriminali
    >
    > e infatti i cybercervelloni che lavorano per i
    > governi ( non motivati dal soldo ma da altro )
    > hanno batterie di exploit financo per
    > FreeBSD

    E quindi stai sconfessando la tua precedente affermazione che i vari nix* non se li caga nessuno per basso market share.
    non+autenticato
  • - Scritto da: Dumah Brazorf
    > ... rinominare l'eseguibile del ransomware
    > "Word.exe" o "Excel.exe"?
    >Sorride

    Gli eseguibili originali sono firmati digitalmente.
  • - Scritto da: Zucca Vuota
    > - Scritto da: Dumah Brazorf
    > > ... rinominare l'eseguibile del ransomware
    > > "Word.exe" o "Excel.exe"?
    > >Sorride
    >
    > Gli eseguibili originali sono firmati
    > digitalmente.

    Anche i cattivoni 'russi' gestiscono CA in proprio, eventualmente firmano pure loro. Rotola dal ridere
    non+autenticato