Microsoft è stata ancora una volta costretta ad aggiornare al volo Malware Protection Engine (MPE) , componente fondamentale di tutti i prodotti anti-malware di Redmond per clienti consumer (Windows Defender, Microsoft Security Essentials) o aziendali (Microsoft Endpoint Protection, Windows Intune Endpoint Protection, and Microsoft Forefront Endpoint Protection). La patch chiude una falla al solito molto pericolosa, piuttosto facile da sfruttare e potenzialmente in grado di compromettere completamente un sistema bersaglio.
Non è la prima volta che il componente MPE (mpengine.dll) risulta affetto da una vulnerabilità di sicurezza piuttosto grave : la nuova falla (CVE-2018-0986) permette di eseguire codice malevolo da remoto se un malintenzionato fornisce al software anti-malware del sistema (come Windows Defender) un file appositamente modificato , e visto che MPE gira con privilegi di “sistema” i danni sono potenzialmente notevoli.
Per far analizzare un file malformato a MPE basta spedirlo via posta elettronica o anche aprirlo su un server remoto tramite uno script JavaScript, quindi Microsoft ha deciso di correre ai ripari rilasciando una versione aggiornata di mpengine.dll (1.1.14700.5) al di fuori del tradizionale ciclo di patch distribuite il secondo martedì del mese.
Chi invece segue un approccio più rilassato nell’affrontare i bug nei suoi prodotti è Intel, corporation tristemente nota alle cronache di questi mesi a causa del trittico di vulnerabilità delle CPU noto come Meltdown e Spectre (in due varianti diverse).
Il grosso del lavoro sull’ aggiornamento del microcodice di processore è stato oramai completato , e una versione aggiornata della guida approntata da Intel per gli aggiornamenti conferma la mancanza di patch per le CPU meno recenti: microarchitetture storiche come Bloomfield, Wolfdale e Yorkfield non saranno aggiornate, ha spiegato Intel , poiché il design dei transistor preclude la realizzazione di un fix software per la variante 2 di Spectre (CVE-2017-5715).
Si tratta in ogni caso di sistemi non supportati commercialmente e generalmente presenti in “sistemi chiusi” tenuti lontani da Internet, ha detto la corporation, quindi il rischio (tutt’ora ipotetico) di un attacco da parte di malintenzionati è minimo.
Alfonso Maruccia