Introdotta assieme al Fall Creators Update , la funzionalità di accesso controllato alle cartelle (CFA) è pensata per bloccare l’accesso alle cartelle e ai file indicati dall’utente – un’arma in più per gli utenti di Windows 10 contro i trojan cripta-file. Ma ora la nuova opzione è stata presa di mira da un ricercatore di sicurezza , che alla fine ha trovato il modo di bypassare la protezione scovando una nuova falla sfruttabile dagli autori di ransowmare e non solo.
Autore della ricerca è Yago Jesus , ricercatore spagnolo in forze a SecurityByDefault: Jesus ha scoperto che Microsoft ha deciso di garantire autorizzazioni speciali alle applicazioni Office , inserendo Word, Excel e compagnia in una whitelist a cui è concesso di accedere alle cartelle protette anche senza il permesso esplicito dell’utente.
Integrando un oggetto OLE all’interno di un file Office, ha spiegato Jesus, un malintenzionato potrebbe superare senza problemi le restrizioni di CFA per sovrascrivere i contenuti dei file nelle cartelle protette, proteggere con password i suddetti file e copiaincollare il loro contenuto al di fuori delle cartelle protette.
Il risultato finale di queste operazioni è ovviamente la realizzazione di un vero e proprio ransomware, in grado di farsi beffe delle protezioni di Windows 10 e di continuare a criptare i file degli utenti chiedendo un riscatto in Bitcoin per la loro (eventuale e non garantita) liberazione.
La falla scovata da Jesus è piuttosto grave , ma stando a quanto sostiene Microsoft non si tratta affatto di una vulnerabilità: il ricercatore ha interpellato la corporation che ha detto di voler migliorare le protezioni di CFA in futuro, ma la falla non è stata riconosciuta come tale e quindi a Jesus non andranno né il riconoscimento dovuto al suo lavoro né l’eventuale premio in denaro previsto in casi del genere.
Alfonso Maruccia