Codice malevolo che si esegue in Windows con un semplice doppio clic senza la comparsa di nessun avviso e senza che Microsoft Defender SmartScreen mostri alcun messaggio d’allerta.
È quanto ha scoperto il noto ricercatore Will Dormann confermando che il bug di sicurezza in questione è già ampiamente utilizzato dagli sviluppatori di ransomware per rendere ancora più efficaci gli attacchi.
Cos’è Microsoft Authenticode
Per attestare la legittimità di un file ovvero che è stato prodotto da uno sviluppatore conosciuto e con una buona reputazione Windows controlla la presenza della firma Microsoft Authenticode. Authenticode viene appunto utilizzato per garantire che il file proviene da una fonte attendibile e non è stato successivamente manomesso.
Il processo di firma consiste sostanzialmente nell’aggiunta di un certificato digitale alla fine del file.
Come funziona l’attacco che porta all’esecuzione di codice con un doppio clic
Tutti i file che provengono da sistemi remoti contengono un flag chiamato Mark-of-the-Web: la sua presenza scatena la visualizzazione di alcuni messaggi d’allerta e, ad esempio, l’abilitazione della Visualizzazione protetta nel caso della suite Office o Microsoft 365.
Tranne alcune eccezioni, il Mark-of-the-Web è di solito supportato in modo corretto dal sistema operativo e dai vari software.
Secondo Dormann i criminali informatici stanno firmando file JavaScript ed eseguibili (.EXE) utilizzando una chiave danneggiata che, a dispetto di ciò, viene ritenuta attendibile da parte di Windows. In questo tweet Dormann mostra cosa succede con un normale JavaScript (il cui caricamento comporta la visualizzazione di un avviso) e con un file dotato di una firma danneggiata (il codice arbitrario viene immediatamente eseguito).
Lo stesso dicasi per un eseguibile: se un normale file .EXE scaricato dalla rete Internet provoca la comparsa della schermata di SmartScreen, un altro elemento arricchito con una firma non conforme viene eseguito da Windows senza batter ciglio (qui la dimostrazione).
Dormann aggiunge che in Windows 10 il caricamento e l’esecuzione dei file con una firma Authenticode non regolare avviene sempre e comunque; in Windows 11 i file malevoli devono essere invece salvati all’interno di un archivio Zip.
Secondo il ricercatore il problema è ricollegabile alla Protezione basata sulla reputazione di Windows. Digitando infatti Protezione basata sulla reputazione nella casella di ricerca di Windows 10 quindi disattivando l’opzione Controlla app e file, il sistema operativo torna a effettuare i controlli classici: la presenza del Mark-of-the-Web non è legata alla presenza della firma Authenticode e il codice dannoso non viene caricato automaticamente.
In generale è preferibile non disattivare l’opzione Controlla app e file e nel caso di specie è semmai bene agire con la massima cautela evitando di aprire file provenienti da fonti sconosciute: Dormann ha temporaneamente disabilitato SmartScreen con l’intento di evidenziare che il problema si trova proprio in questo componente. È bene che Microsoft si attivi prima possibile predisponendo il rilascio di una patch correttiva.
Aggiornamento ufficiale disponibile: come proteggere i propri sistemi
I responsabili del noto progetto 0patch, vista la delicatezza del problema riscontrato in Windows, avevano tempestivamente rilasciato un aggiornamento di sicurezza non ufficiale destinato a Windows 10, Windows 11, Windows Server 2019 e Windows Server 2022. Windows 7 e le precedenti versioni di Windows Server non sono affette dal problema.
La patch di sicurezza sarebbe rimasta fino al rilascio di un aggiornamento ufficiale da parte di Microsoft: Mitja Kolsek, cofondatore di 0patch, ha spiegato nel dettaglio la falla di sicurezza e il principio di funzionamento della patch.
Dall’8 novembre 2022 Microsoft ha rilasciato l’aggiornamento che risolve il problema relativo alla scorretta gestione del Mark-of-the-Web nelle più recenti versioni di Windows. L’aggiornamento CVE-2022-41091 scaricabile come patch stand-alone o parte del pacchetto cumulativo di novembre 2022 consente di risolvere la problematica in via definitiva. L’installazione degli aggiornamenti può avvenire tramite Windows Update oppure scaricando le singole patch da Microsoft Update Catalog.