La dinamica, e la soluzione temporanea, assomiglia a quella del bug riguardante le scorciatoie di Windows , arginato con una patch lo scorso 2 agosto. Ma non si tratta dello stesso problema , sebbene sia stato scoperto proprio studiando la falla precedente: secondo HD Moore (quello di Metasploit e Rapid7), che ha confermato quanto contenuto in un advisory della slovena Acros Security, è una vulnerabilità comune a parecchie applicazioni che girano sul sistema operativo Microsoft, e che Apple ha eliminato in iTunes a partire dalla versione 9.1. Quanto alle altre, per il momento non si fanno nomi.
A Computerworld , Moore ha spiegato che il problema risiede nel modo in cui certi eseguibili attingono alle librerie DLL : infilandone una opportunamente modificata nel percorso giusto (che cambia a seconda dell’applicazione coinvolta), un gesto assolutamente inoffensivo come aprire un documento potrebbe innescare l’esecuzione di codice arbitrario e potenzialmente dannoso. Ovvero: via email giunge un file perfettamente sano e legittimo, il malcapitato di turno lo apre e succede il finimondo. Senza contare che, a detta degli scopritori, la diffusione del “morbo” potrebbe essere rapida e incontrollata all’interno delle reti locali.
Né Moore, né i ricercatori Acros, sono stati prodighi di notizie . La questione sembra stia crescendo di importanza al trascorrere delle ore, visto che il numero di applicazioni coinvolte – come detto – è cresciuto dalla stima iniziale di 40 a oltre 200 (e i test sono ancora in corso). Il vettore d’attacco non è unico, ma una volta compreso il meccanismo di fondo pare non sia difficile replicarlo: sarebbe già stato sviluppato anche un modulo per Metasploit, che tuttavia non verrà rilasciato (almeno per il momento). Microsoft sarebbe stata informata almeno 4 mesi fa del problema (e anche Apple, visto che ha corretto la falla nella versione 9.1 di iTunes per Windows – Mac non utilizza le DLL): in questo caso tuttavia, come precisano gli esperti di sicurezza, c’è poco che possa fare per arginarlo .
La vulnerabilità, per così dire, è infatti “sistemica”: ne sono afflitte tutte le applicazioni che sfruttano un certo metodo per caricare informazioni aggiuntive da una libreria (secondo Moore, in parte il problema era stato svelato già 10 anni fa ), e non è possibile per Microsoft risolvere il problema con un aggiornamento di sistema. Se venisse modificato come Windows gestisce il caricamento delle informazioni dalle DLL, infatti, tutte le applicazioni coinvolte smetterebbero di funzionare : starà a ogni singolo produttore interessato fornire una versione aggiornata dell’applicazione, e gli interessati insieme a Redmond starebbero provvedendo a informare i singoli vendor del rischio.
La soluzione temporanea per diminuire il rischio è simile a quella già proposta per la falla shortcut: bloccare le porte 139 e 445 (per fermare le connessioni SMB in uscita), e disabilitare il client WebDAV per impedire che da remoto qualcuno possa provare ad approfittarsi della applicazioni vulnerabili. In attesa, come detto, che ciascuna delle applicazioni coinvolte venga modificata: resta da chiarire se, per alcune di queste, non sia magari stato sospeso il ciclo di aggiornamento poiché fuori produzione, o se invece chi le ha prodotte non sia addirittura dal mercato del software. In quest’ultimo caso, sarà interessante capire come Microsoft vorrà muoversi per “proteggere” l’ecosistema Windows, e quali saranno i sentimenti prevalenti nella comunità degli utenti.
Luca Annunziata