Lo US-CERT ha recentemente riportato in auge un problema che interessa i sistemi Windows XP e Windows Server 2003. Su tali sistemi operativi, le funzionalità che permettono di disabilitare l'”autorun“, ossia il particolare meccanismo che è in grado di eseguire automaticamente programmi o comandi all’inserimento di un CD ROM, di un’unità di memorizzazione rimovibile (chiavette USB, dischi fissi esterni, unità firewire,…), alla connessione di una risorsa di rete, non opererebbero in modo corretto.
Windows avvia automaticamente la procedura di “autorun” non appena viene inserito un CD od un DVD oppure nel momento in cui viene collegata un’unità che contenga, nella cartella radice, il file denominato autorun.inf
.
L’avvio automatico dei comandi e delle applicazioni specificate all’interno del file autorun.inf
avviene anche quando l’utente fa semplicemente doppio clic su un’unità elencata nella finestra “Risorse del computer” di Windows.
Molti utenti preferiscono disabilitare la funzionalità “autorun” sia per motivi di praticità (spesso si trova più conveniente operare in maniera del tutto autonoma senza consentire a priori, ad esempio, l’esecuzione automatica del contenuto predefinito di un CD ROM) sia per difendersi dai virus. Un sempre maggior numero di malware, infatti, una volta infettato un sistema, utilizza unità di memorizzazione esterne quali, per esempio, le comuni chiavette USB per diffondersi ulteriormente. Il malware crea sulla chiave USB un file autorun.inf
che a sua volta provvede a richiamare ed eseguire i file nocivi collegati all’azione del componente dannoso. L’utente poco attento che dovesse passare la propria chiavetta USB “infetta” ad un collega o ad un amico, rischia così di trasmettere il malware su altri sistemi.
E’ il caso, ad esempio, del worm Conficker che per diffondersi il più possibile, oltre a sfruttare l’eventuale mancanza della patch “critica” MS08-067, infetta anche supporti di memorizzazione esterni come le chiavette USB.
US-CERT ricorda che i suggerimenti offerti in passato da Microsoft per la disabilitazione della funzionalità “autorun” non sembrano funzionare oggi in modo corretto. Vengono citati esplicitamente questo documento e questa pagina. In effetti, se si tenta di applicare le indicazioni illustrate, la funzionalità di “autorun” non appare completamente disattivata.
La soluzione definitiva, come spiega anche Microsoft stessa in questo articolo, consiste – nel caso di Windows XP e di Windows Server 2003 – nell’installare la patch KB950582. La pagina per il download, nel caso di Windows XP SP2/SP3 è questa.
Per controllarne l’installazione, è sufficiente – sul sistema Windows XP – accedere al Pannello di controllo, fare doppio clic sull’icona Installazione applicazioni, spuntare la casella Mostra aggiornamenti e verificare la presenza della voce Aggiornamento della protezione per Windows XP (KB950582), all’interno della sezione Windows XP – Aggiornamenti software.
In alternativa, basta avviare l’Editor del registro di sistema (Start, Esegui…, regedit
) e portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Updates\Windows XP\SP4
. Tra le sottochiavi deve essere indicata anche KB950582.
Nel caso in cui l’aggiornamento KB950582 non dovesse comparire, è bene provvedere ad installarlo facendo riferimento alla pagina sopra riportata.
A questo punto, una volta installata la patch, è necessario cliccare su Start, Esegui… quindi digitare gpedit.msc
. Alla comparsa della finestra Criterio gruppo, si dovrà fare doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer) quindi su Sistema ed infine su Disattiva riproduzione automatica.
Servendosi della successiva finestra, si dovrà selezionare l’opzione Attivata quindi, per disabilitare l'”autorun” da qualsiasi genere di supporto di memorizzazione, scegliere Tutte le unità dal menù a tendina.
Gli utenti che utilizzano Windows Vista è invece necessario che verifichino la corretta installazione della patch MS08-038, rilasciata a Luglio 2008, che include anche le necessarie correzioni per garantire il perfetto funzionamento dell'”autorun” oltre alla possibilità di operare una disabilitazione completa.
Per verificare la presenza della patch MS08-038, è necessario accedere al Pannello di controllo di Windows Vista, fare doppio clic sull’icona Programmi e funzionalità quindi cliccare su Visualizza aggiornamenti installati. Tra le patch in elenco deve essere presente la voce Aggiornamento per la protezione di Microsoft Windows (KB950582).
La procedura per la disattivazione completa della funzionalità “autorun” in Windows Vista è identica a quella applicabile nel caso di Windows XP (utilizzo di gpedit.msc
).
La versione “Home” di Windows Vista, però, non dispone dello strumento per la gestione dei criteri di gruppo gpedit.msc
. In tal caso si dovrà provvedere manualmente accedendo al registro di sistema e portandosi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\Explorer
. Il valore DWORD NoDriveTypeAutoRun
dovrà essere impostato in esadecimale ad ff
per disabilitare l'”autorun” su qualunque unità.
A beneficio dei più esperti, segnaliamo un interessante foglio elettronico, prelevabile da qui, che – sui sistemi Vista “non-Ultimate” – fornisce indicazioni per l’applicazione manuale di criteri di gruppo attraverso una modifica della configurazione del registro di Windows.