Altri dettagli sulla falla LNK: Microsoft rilascerà una patch

Ci sono novità per quanto riguarda la vulnerabilità, recentemente scoperta, che interessa tutte le versioni di Windows e della quale abbiamo parlato nella giornata di ieri (ved. questa notizia).

Il colosso di Redmond ha infatti confermato che rilascerà una patch per la risoluzione della problematica. “Microsoft sta al momento lavorando per sviluppare un aggiornamento di sicurezza per Windows“, è comparso nel bollettino dedicato alla vulnerabilità. Non è dato sapere quali siano le tempistiche per la pubblicazione di una patch né se Microsoft, con uno “strappo alla regola”, intenda sanare la falla di sicurezza anche su Windows 2000, sistema operativo non più supportato da appena una settimana. Nell'”advisory” di Microsoft (ved. questa pagina), i sistemi operativi indicati come affetti dalla vulnerabilità sono infatti i seguenti: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008 R2 e Windows 7 mentre manca all’appello proprio Windows 2000 che, seppur egualmente affetto dal problema, ha ormai raggiunto il suo “fine-vita”.

Per il momento, il workaround che consente di evitare di correre rischi, su qualunque versione di Windows, è quello che consente di disattivare la visualizzazione delle icone per i file .LNK (i “collegamenti” o “shortcuts”). Per applicarlo, lo ricordiamo, è necessario avviare l’Editor del registro di Windows (Start, Esegui…, REGEDIT), portarsi in corrispondenza della chiave HKEY_CLASSES_ROOTlnkfileshellexIconHandler, farvi clic con il tasto destro del mouse, scegliere Esporta e specificare il nome del file REG da creare. In questo modo si genererà una copia di backup della chiave sopra citata.
Nel pannello di destra, quindi, è necessario cliccare due volte sul valore “Predefinito”, e rimuovere l’intero contenuto del campo “Dati valore”.

Dopo aver operato un riavvio del personal computer, le icone associate ai vari collegamenti non appariranno più. Tutti i collegamenti continueranno a funzionare regolarmente ma non saranno più esposte le icone ad essi associate.
Qualora si volesse ripristinare la situazione iniziale, basterà fare doppio clic sul file .REG precedentemente generato ed acconsentire all’inserimento delle informazioni in esso contenute all’interno del registro di Windows.

Il secondo workaround citato da Microsoft consiste nella disattivazione del servizio WebClient da Start, Esegui…, services.msc. Si tratta però di una soluzione alternativa che però protegge solamente da talune tipologie d’attacco: esclude cioè la possibilità di essere infettati in modalità remota. La disabilitazione di WebClient permette di rendere non automatico il tentativo di attacco attuato verso le applicazioni che usano il protocollo WebDAV (ad esempio Outlook), inducendo la richiesta di conferma dell’esecuzione che dovrebbe insospettire l’utente.

Ove possibile, però, il consiglio è quello di servirsi del primo workaround (intervento sul registro di Windows con conseguente disattivazione delle icone dei collegamenti): tale operazione consente infatti di proteggersi da ogni tipologia di attacco.

Nel frattempo, Marco Giuliani ha pubblicato – a titolo puramente esemplificativo – un video che mostra come avviene l’attacco:

Come si vede, Giuliani ha preparato un collegamento salvandolo sul desktop con il nome malicious_link.lnk_. Come si vede, l’estensione è .lnk_: in questo modo il file non viene ancora elaborato da parte della shell di Windows. Non appena il file viene rinominato in .lnk, questo viene immediatamente “processato” da parte del sistema operativo ed il codice dannoso, richiamato dal collegamento, automaticamente eseguito.

Mentre Microsoft sta lavorando allo sviluppo della patch c’è anche chi pensa sia davvero un problema risolvere questa vulnerabilità. “Questa vulnerabilità prende di mira una parte fondamentale dell’approccio utilizzato da Windows per la gestione dei file LNK“, scrive Roel Schouwenberg (Kaspersky Labs) spiegando che ci sono due punti di particolare criticità: “in primis, dal momento che si tratta di una funzionalità ‘standard’, sarà difficile creare algoritmi di rilevamento generico senza produrre falsi positivi; per secondo, penso che Microsoft dovrà lavorare molto per risolvere questo problema. Non sembra esservi infatti alcun modello di sicurezza associato alla gestione dei collegamenti di Windows“. L’esperto prosegue facendo un parallelismo: “questa situazione mi ricorda molto le vulnerabilità individuate nel formato WMF; abbiamo a che fare con un altro caso di codice ‘legacy’ che torna a rompere le uova nel paniere di Microsoft“.
Schouwenberg spiega che già in Rete stanno proliferando i primi tentativi di attacco basati sulla vulnerabilità che coinvolge i file LNK ma si attende una più ampia ondata di attacchi, prima del rilascio di una patch risolutiva.