Gli esperti di SafeBreach hanno ancora una volta dimostrato come i software preinstallati dai produttori non siano spesso esenti da vulnerabilità di sicurezza. Questa volta i ricercatori hanno evidenziato alcuni problemi nel servizio ASLDR Service, parte integrante del pacchetto ASUS ATK, in Acer Quick Access e nel servizio Intel Rapid Storage.
Si tratta di componenti che si trovano spesso presenti nei PC che si acquistano, sin dal primo avvio di Windows.
Il pacchetto ASUS ATK integra una serie di utilità che permettono agli utenti di definire le azioni richiamabili con la pressione dei vari tasti funzione sulla tastiera oltre ad altri driver del produttore taiwanese.
Acer Quick Access, anch’esso preinstallato nella maggior parte dei sistemi a marchio Acer, permette agli utenti di modificare lo stato dell’interfaccia wireless, le opzioni di condivisione e quelle per la ricarica dei dispositivi USB collegati.
Il servizio di Intel, infine, è correlato con il funzionamento di Rapid Storage Technology (Intel RST), una tecnologia che permette di migliorare le prestazioni del dispositivo in uso ottimizzando il comportamento dei driver AHCI e RAID.
SafeBreach ha scoperto vulnerabilità simili nei vari software citati: in tutti i casi i vari componenti lavorando usando i privilegi SYSTEM
più elevati in assoluto ma sono stati commessi alcuni errori come la mancata apposizione di firme digitali, l’assenza di un controllo degli elementi richiamati dalle librerie DLL correlate, riferimenti a DLL inesistenti, utilizzo di percorsi senza inclusione tra doppie virgolette.
Si tratta di bug che, come abbiamo spiegato nell’articolo Privilege escalation: acquisire privilegi più elevati è ancora possibile in Windows, espongono ad attacchi di DLL hijacking e, di conseguenza, possono consentire a soggetti terzi non autorizzati l’acquisizione di privilegi elevati (in questo caso i diritti SYSTEM
).
Il problema in ASUS ATK è stato scoperto nella versione 1.0.0060 e precedenti (qui l’analisi completa); in Acer Quick Access (vedere queste note) il problema di sicurezza è presente nelle versioni fino alla 2.01.3027 e alla 3.00.3008 (le release corrette, esenti da qualunque bug noto, sono le 2.01.3028 e 3.00.3009); per quanto riguarda Intel Rapid Storage Technology Service, il problema è stato risolto dai tecnici della società di Santa Clara – con il rilascio di versioni aggiornate – lo scorso 10 dicembre (vedere questa pagina per maggiori informazioni).
È vero che le vulnerabilità più pericolose sono certamente quelle sfruttabili in modalità remota ma le lacune di sicurezza che offrono il fianco ad attività di privilege escalation non vanno comunque prese sotto gamba. Esse possono essere ad esempio sfruttate in combinazione con altre falle di sicurezza per assumere pieno controllo del PC altrui, anche a distanza (si pensi a quanto accaduto qualche settimana con una falla scoperta in Google Chrome – Ecco la vulnerabilità di Windows usata insieme con quella di Chrome in un recente attacco – combinata con un problema di Windows che esponeva a rischi di privilege escalation).
Anche i software preinstallati dai produttori di PC, quindi, vanno aggiornati periodicamente (in modo da risolvere eventuali vulnerabilità) o addirittura rimossi se non fossero utili. Utilità come PC Decrapifier e AdwCleaner, entrambe presentate nell’articolo Disinstallare programmi inutili in Windows: alcuni suggerimenti, offrono un valido aiuto in tal senso.
Diversamente, nel caso dei sistemi Windows 10, si può ricorrere alla funzione Installazione da zero per sbarazzarsi di tutti gli elementi preinstallati: Windows 10, differenza tra Installazione da zero o Fresh Start e Reimposta il PC.