A quanto pare circola un nuovo bug di Windows, e questa nuova falla nella sicurezza del sistema operativo è stata già sfruttata dal collettivo di hacker, ransomware per portare avanti attacchi più efficaci. Ma andiamo per ordine: il ricercatore Will Dormann ha scoperto tale codice malevole si esegue in Windows, se non si presta attenzione appositamente a non farlo, con un semplice doppio clic del mouse.
Ad essere interessato è il procedimento di Microsoft Authenticode. E’ un sistema che Windows utilizza per certificare l’autenticità di un file, ossia che quello stesso file sia stato prodotto da uno sviluppatore conosciuto, rientrante cioè nella lista degli sviluppatori affidabili. Authenticode è appunto un codice, apposto alla fine del file, che attesta la sua originalità. Volendo usare ancora altri termini, il codice in questione svolge la funzione di una firma, che attesta non solo la provenienza da fonte affidabile del file, ma altresì che non vi sia stata alcuna manomissione, successiva alla creazione, del file medesimo.
Il codice svolge insomma la funzione di firma. Quest’ultima si concretizza tramite l’apposizione di un certificato digitale al termine del file. Una volta fatta tale doverosa premessa, vediamo come agisce nello specifico il codice dannoso, e qual’è l’entità della falla che lo stesso arreca sulla sicurezza, con tutti i pericoli annessi.
Indice
L’attacco che conduce, tramite il doppio clic, all’esecuzione del codice malevolo
Tutti i file che provengono da sistemi in remoto sono dotati di uno specifico flag, ossia una variabile, di solito booleana, che può assumere solo due stati. E’ anche il caso in questione. Il flag al quale si opera riferimento per i file in Windows, quelli propri del funzionamento del sistema operativo, è denominato Mark-of-the-Web. Altrettanto solitamente, tale tipo flag, il quale è il responsabile della comparizione di determinati messaggi d’errore, è ben supportato dai vari software, oltre che dal sistema operativo stesso.
Secondo il ricercatore Dormann, menzionato in apertura, i pirati informatici sarebbero i responsabili della firma di diversi file, dotati di estensione .exe, ossia i file javascript ed eseguibili, con l’utilizzo di una chiave danneggiata. Quest’ultima non viene riconosciuta dal sistema Windows. Sempre lo stesso Dormann, al riguardo, ha pubblicato un post su Twitter per mostrare agli utenti cosa succede con l’esecuzione di un normale file eseguibile e cosa invece con l’esecuzione di un file dotato della firma danneggiata in questione. Nel primo caso appare a schermo un avviso Smartscreen di Windows Defender. Nell’altro caso il file viene subito eseguito. Stesso discorso per uno Javascript, la cui esecuzione fa apparire un messaggio d’errore da parte del centro sicurezza, in particolare da Windows Defender.
Come Dormann ha inoltre sostenuto, il caricamento di un file con Authenticode errato avviene in ogni caso in Windows 10. E ciò è naturalmente pericolosissimo per il sistema che diventa molto vulnerabile agli attacchi che gli hacker volessero effettuare attraverso la rete. Sempre secondo Dormann, in Windows 11 vi è invece la possibilità di salvare i file viziati da tale errore in una cartella zip allo scopo di isolarne gli effetti.
La protezione basata sulla reputazione di Windows e la risoluzione del problema di bug
Volendo specificare ulteriormente il tutto, attinente alla problematica, si tratta di un problema che si potrebbe disattivare con la funzione “Protezione basata sulla reputazione di Windows”. Se digitiamo la dicitura nella barra di ricerca affianco al pulsante Start e premiamo il tasto invio sulla tastiera , ci apparirà una schermata dove non dovremo fare altro che deselezionare l’opzione “Controlla app e file”. In tal modo Windows torna ad effettuare i controlli “normali”, ossia quelli che non puntano sulla strada diretta, efficace e puntuale fondata sulla verifica dell’Authenticode.
La stessa presenza del flag visto prima, il Mark-of-the-Web, che antecedentemente alla disattivazione del sistema di controllo rapido, era posta in relazione all’Authenticode, ora non lo sarà più. Saranno stati quindi rescissi i ponti rispetto al bug creato. Allo stesso tempo, se è vero che i controlli diretti vengono disabilitati, si tratta altresì di controlli più efficaci rispetto a quelli classici, se così li possiamo definire. Vediamo quindi quali sarebbero le implicazioni e analizziamole.
Come gli utenti dovrebbero comportarsi con questo nuovo bug di Windows
A questo punto ci si chiederà il perché non si opti per la semplice disattivazione vista sopra della funzione “controlla app e file” con il sistema dell’Authenticode. C’è da dire, ed è una nota importante, la quale può interessare tutti gli utenti, che il sistema, la soluzione adottata, si presta bene come temporanea. Ma mal si concilierebbe nel lungo periodo. In particolare si segnala che non è raccomandabile deselezionare l’opzione “controlla app e file”.
Del resto, la funzione menzionata, se selezionata, dà luogo a problematiche di sicurezza, consentendo l’esecuzione di codice dannoso, e facendo apparire un messaggio d’errore da parte di Windows Defender, tramite SmartScreen, per diverse applicazioni che invece sono regolari. Il filmato del ricercatore Will Dormann su Twitter non lascia dubbi, e per una questione di trasparenza, l’utente potrà visualizzarlo qui.
Le tempistiche di attuazione della soluzione
Si può effettuare tale operazione fino a che Microsoft non elabori una soluzione del problema, che ormai imperversa da alcuni giorni. Quel che si prevede è che l’azienda di Redmond provveda nel più breve tempo possibile con un aggiornamento specifico per eliminare questo nuovo bug di windows.
Aggiornamento che, si prevede, possa essere installato nella modalità ordinaria, tramite la sezione Windows Update. Come si è visto, il problema è stato dimostrato su Windows 10 e 11. Per altri sistemi operativi antecedenti il medesimo problema non sarebbe da escludere, in ogni caso si aspettano notizie ufficiali da casa Microsoft. All’utente, dopo tutto, dovrebbe bastare installare i prossimi aggiornamenti proposti così da risolvere il problema e riattivare il controllo puntuale su app e file.
Il alternativa alla funzione di disattivazione del controllo aggiuntivo, si può evitare di aprire, in tutti i casi, file eseguibili, con estensione .exe dall’origine incerta e sospetta. In questo modo, nel momento in cui la patch correttiva di Windows sarà disponibile, l’utente non dovrà fare altro che proseguire con il normale utilizzo del pc, senza per forza doversi ricordare di effettuare nuovamente il procedimento al contrario e riattivare il controllo.
Leggi Anche: Come risolvere l’errore di rete SEC_E_ILLEGAL_MESSAGE di Windows
