Windows Defender blocca i tentativi di hijacking dei processi in esecuzione

Sfruttando il valore Debugger del registro di sistema, originariamente progettato per l'utilizzo da parte degli sviluppatori, i criminali informatici possono disporre il caricamento di altri file dopo l'avvio di applicazioni legittime. Windows Defender imporrà un giro di vite su queste pratiche potenzialmente pericolose.

Windows integra una funzionalità chiamata IFEO (Image File Execution Options) che permette a uno sviluppatore di effettuare il debugging di un processo in esecuzione.
C’è proprio una chiave del registro di sistema (vedere anche Regedit e registro di sistema: guida agli aspetti più utili) che permette di specificare il modulo debugger da usare per una specifica applicazione. La chiave è la seguente HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.

Cliccando sul nome di un eseguibile dall’Editor del registro di sistema quindi aggiungendo il valore stringa debugger nel pannello di destra, è possibile raggiungere l’obiettivo.


Il fatto è che questa funzionalità, concepita per gli sviluppatori, è stata nel corso del tempo oggetto di ripetuti abusi. Malware writer e malintenzionati l’hanno sfruttata per provocare l’esecuzione automatica di codice malevolo non appena l’utente dovesse avviare un eseguibile legittimo.

Creando ad esempio il valore debugger all’interno della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe e assegnandogli il valore c:\windows\system32\cmd.exe, l’avvio del programma di sistema Tasti permanenti, pensato per semplificare l’utilizzo del PC da parte delle persone diversamente abili, provocherà la comparsa della finestra del prompt dei comandi di Windows (cmd).

Riavviando il sistema e premendo cinque volte il tasto MAIUSC alla comparsa della schermata di login (quindi prima ancora di effettuare il login), un utente malintenzionato potrebbe controllare il sistema operativo in uso senza conoscere alcuna password.

È emerso in queste ore che d’ora in avanti Windows Defender riuscirà a riconoscere l’eventuale utilizzo malevolo del valore debugger all’interno del registro di sistema.
Tutti i tentativi di “hijacking” saranno automaticamente rilevati e neutralizzati nel caso delle seguenti applicazioni di sistema: DisplaySwitch.exe, osk.exe, Magnify.exe, Narrator.exe, utilman.exe.

Un ulteriore pungolo per attivare la crittografia delle unità di memorizzazione con BitLocker non solo sui notebook ma anche sui sistemi desktop: vedere BitLocker, cos’è, come funziona e perché è da attivarsi in ottica GDPR e Crittografia SSD: quella hardware talvolta fa acqua e BitLocker può risultare inefficace.

Ti consigliamo anche

Link copiato negli appunti