Windows: oltre che dai file LNK, minaccia anche dai PIF

Nell’attesa di rilasciare una patch risolutiva, Microsoft ha aggiornato l’advisory dedicato al problema recentemente evidenziato nella gestione dei file .LNK, i “collegamenti” (o “shortcuts“, in inglese) che utilizziamo quotidianamente. Tali file possono “puntare” ad eseguibili, documenti, file multimediali e generalmente mostrano l’icona dell’applicazione o del file che vengono aperti con un doppio clic.

Della vulnerabilità di sicurezza legata ai collegamenti di Windows abbiamo parlato in modo approfondito in questi due precedenti articoli:
I collegamenti di Windows ospitano una grave vulnerabilità
Altri dettagli sulla falla LNK: Microsoft rilascerà una patch
Un aggressore, modificando “ad arte” un file .LNK può fare in modo di eseguire, sul sistema dell’utente, operazioni arbitrarie aprendo così la porta ad infezioni malware. Come già sottolineato, un file .LNK “malevolo” può eseguire un’operazione potenzialmente pericolosa semplicemente visitando, con la shell di Windows (i.e. Risorse del computer od Esplora risorse) la cartella che lo contiene.
La minaccia può quindi arrivare da unità rimovibili o risorse remote (semplici condivisioni di rete).

Aggiornando il suo bollettino di sicurezza, Microsoft ha comunicato che lo stesso problema riguarda anche i file con estensione .PIF.

Per risolvere temporaneamente il problema, il colosso di Redmond suggerisce di disattivare temporaneamente la visualizzazione delle icone per i file .LNK e .PIF: il desktop ed il menù Programmi di Windows presenteranno un “look” piuttosto deludente ma si eviterà così di incorrere in possibili problemi.

Microsoft ha rilasciato uno strumento che si incarica di applicare automaticamente due interventi sul registro di Windows: il primo permette di disattivare l’esposizione delle icone per i file .LNK, il secondo per i file .PIF.
La modifica è applicabile scaricando ed installando il “Fix it” 50486 a metà di questa pagina. Le variazioni apportate sono annullabili ricorrendo al “Fix it” 50487, disponibile nella medesima pagina.

Coloro che preferissero operare manualmente, possono avviare l’Editor del registro di Windows (Start, Esegui…, REGEDIT), portarsi in corrispondenza della chiave HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, farvi clic con il tasto destro del mouse, scegliere Esporta e specificare il nome del file REG da creare. In questo modo si genererà una copia di backup della chiave sopra citata.
Nel pannello di destra, quindi, è necessario cliccare due volte sul valore “(Predefinito)“, e rimuovere l’intero contenuto del campo “Dati valore” (una stringa alfanumerica racchiusa tra parentesi graffe).
Analoga operazione può essere compiuta nel caso del file PIF accedendo alla chiave seguente: HKEY_CLASSES_ROOT\piffile\shellex\IconHandler. Cliccando con il tasto destro sulla chiave IconHandler quindi scegliendo Esporta si dovrà aver cura di creare un file REG con un nome diverso rispetto a quello prodotto in precedenza. Quindi, cliccando due volte sul valore “(Predefinito)“, si dovrà eliminare l’intero contenuto del campo “Dati valore” (anche in questo caso, una stringa alfanumerica racchiusa tra parentesi graffe).