Windows integra una funzionalità chiamata IFEO (Image File Execution Options) che permette a uno sviluppatore di effettuare il debugging di un processo in esecuzione.
C’è proprio una chiave del registro di sistema (vedere anche Regedit e registro di sistema: guida agli aspetti più utili) che permette di specificare il modulo debugger da usare per una specifica applicazione. La chiave è la seguente HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
.
Cliccando sul nome di un eseguibile dall’Editor del registro di sistema quindi aggiungendo il valore stringa debugger
nel pannello di destra, è possibile raggiungere l’obiettivo.
Il fatto è che questa funzionalità, concepita per gli sviluppatori, è stata nel corso del tempo oggetto di ripetuti abusi. Malware writer e malintenzionati l’hanno sfruttata per provocare l’esecuzione automatica di codice malevolo non appena l’utente dovesse avviare un eseguibile legittimo.
Creando ad esempio il valore debugger
all’interno della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe
e assegnandogli il valore c:\windows\system32\cmd.exe
, l’avvio del programma di sistema Tasti permanenti, pensato per semplificare l’utilizzo del PC da parte delle persone diversamente abili, provocherà la comparsa della finestra del prompt dei comandi di Windows (cmd
).
Riavviando il sistema e premendo cinque volte il tasto MAIUSC
alla comparsa della schermata di login (quindi prima ancora di effettuare il login), un utente malintenzionato potrebbe controllare il sistema operativo in uso senza conoscere alcuna password.
È emerso in queste ore che d’ora in avanti Windows Defender riuscirà a riconoscere l’eventuale utilizzo malevolo del valore debugger
all’interno del registro di sistema.
Tutti i tentativi di “hijacking” saranno automaticamente rilevati e neutralizzati nel caso delle seguenti applicazioni di sistema: DisplaySwitch.exe, osk.exe, Magnify.exe, Narrator.exe, utilman.exe
.
Un ulteriore pungolo per attivare la crittografia delle unità di memorizzazione con BitLocker non solo sui notebook ma anche sui sistemi desktop: vedere BitLocker, cos’è, come funziona e perché è da attivarsi in ottica GDPR e Crittografia SSD: quella hardware talvolta fa acqua e BitLocker può risultare inefficace.