Il file system NTFS integra una caratteristica poco conosciuta che si chiama Alternate Data Streams (ADS). A ogni file memorizzato su un’unità NTFS è possibile assegnare degli attributi aggiuntivi che non sono immediatamente visibili, ad esempio dall’interfaccia di Esplora file in Windows: la loro presenza può comunque essere rilevata utilizzando il comando dir /r
da una finestra del terminale (prompt dei comandi, PowerShell o il nuovo terminale di Windows 11).
Come abbiamo visto in un altro articolo Windows può nascondere dati in qualunque file con ADS.
Uno dei dati che vengono comunemente aggiunti ai file come ADS si chiama Mark-of-the-Web (MotW): nel caso dei file scaricati dalla rete Internet (non sono da browser ma anche ricevuti come allegati alle email) l’ADS chiamato ZoneIdentifier
viene impostato a 3 e vengono aggiunti i riferimenti al sistema remoto dal quale si è effettuato il download.
Il meccanismo MotW è utilizzato in Windows per mostrare un messaggio di allerta quando si prova ad aprire un file che proviene da un sistema remoto ed è sfruttato anche dalla Visualizzazione protetta di Office per evitare il caricamento di codice potenzialmente dannoso contenuto nei documenti.
Come abbiamo evidenziato, però, il contenuto di alcuni archivi scaricati da host remoti continua a sfuggire alla protezione perché non contiene il flag MotW. Con un doppio clic quindi, il file viene aperto senza che Windows disponga la visualizzazione di alcun avviso.
Mentre 7Zip ha da poco abbracciato il meccanismo MotW (è tuttavia opzionale e attivabile solo su richiesta dell’utente), con le patch di novembre 2022 Microsoft rende Windows più sicuro.
I tecnici dell’azienda di Redmond non hanno infatti soltanto risolto il bug colossale che facilitava l’esecuzione di codice dannoso con un semplice doppio clic (su un file in qualunque formato scaricato dalla rete Internet) ma hanno finalmente corretto un problema che fino ad oggi era ampiamente sfruttato dai criminali informatici.
Come abbiamo visto nel caso del malware che ruba password e account da Outlook e Thunderbird, gli aggressori distribuiscono file ISO contenenti elementi dannosi. I flag MotW, infatti, non venivano applicati sul contenuto degli archivi in formato ISO.
Installando le patch Microsoft di novembre 2022 (nello specifico gli aggiornamenti pubblicati a correzione della falla CVE-2022-41091), invece, se il file ISO proviene da sistemi remoti allora tutto il suo contenuto viene considerato utilizzare gli stessi parametri MotW. Il risultato è che “montando” (doppio clic) in Windows un file ISO scaricato da Internet e cliccando due volte su qualsiasi suo contenuto, il sistema operativo mostra comunque l’avviso circa la potenziale pericolosità del file senza eseguirlo automaticamente.
A confermarlo via Twitter è Bill Demirkapi, ingegnere del team Microsoft MSRC Vulnerability and Mitigations.
La stessa correzione per la vulnerabilità CVE-2022-41091 introduce anche la comparsa dell’avviso quando si fa doppio clic su file di sola lettura contenuti in archivi Zip compressi. In questo caso un bug, chiamato ZippyReads e largamente sfruttato per lanciare attacchi informatici, non faceva comparire alcun messaggio d’avviso per via dell’assenza del flag MotW.