Il supporto per i programmi a 16 bit porta con sé una falla

Sono giorni, questi, certamente “caldi” per Microsoft. Dopo il turbinio di dichiarazioni sollevatosi a proposito della falla di sicurezza scoperta in Internet Explorer, arriva oggi la notizia di una vulnerabilità che coinvolgerebbe tutte le versioni a 32 bit di Windows, da Windows NT sino ad arrivare a Windows 7.
Secondo Tavis Ormandy, scopritore della lacuna di sicurezza, il problema deriverebbe da una “breccia” presente nella “Virtual DOS Machine” (VMD) introdotta in Windows nel lontano 1993 per garantire il supporto per le vetuste applicazioni a 16 bit.

Ormandy, che ha “militato” per anni nel “security team” di Google, avrebbe individuato diverse vulnerabilità nell’implementazione della VMD che potrebbero far sì che programmi a 16 bit, dotati di nessun particolare privilegio utente, riescano a minare il funzionamento del kernel di Windows. Questo tipo di falle potrebbe facilitare l’esecuzione di codice nocivo sul sistema dell’utente grazie all’acquisizione di privilegi elevati.

L’autore della scoperta ha puntualizzato di aver informato Microsoft intorno alla metà dello scorso anno: al momento, però, non è stata resa disponibile alcuna patch risolutiva. Ormandy, quindi, suggerisce una metodologia efficace per proteggersi da eventuali attacchi: disattivare la VMD e quindi l’esecuzione di applicazioni a 16 bit. La procedura è applicabile accedendo alla finestra Criterio gruppo di Windows (gpedit.msc), cliccando su Configurazione computer, Modelli amministrativi, Componenti di Windows, Compatibilità tra applicazioni ed infine su Impedisci accesso ad applicazioni a 16 bit. Facendo doppio clic su quest’ultima voce, si dovrà abilitare la restrizione selezionando l’opzione Attivata e confermando la scelta mediante la pressione del pulsante OK.
Aprendo il prompt dei comandi e tentando di avviare un’applicazione a 16 bit (ad esempio debug) si noterà come questa non venga più eseguita.

Per stabilire se un’applicazione è a 16 bit è sufficiente fare clic, dalla shell di Windows, con il tasto destro del mouse, sul suo eseguibile, scegliere la voce Proprietà e verificare la presenza della scheda Versione. Se tale scheda è assente, significa che l’applicazione è a 16 bit.
Per controllare se vi fossero in esecuzione eventuali programmi a 16 bit, è sufficiente accedere al task manager di Windows, cliccare sulla scheda Processi e verificare se in elenco c’è ntvdm.exe. In tal caso un’applicazione a 16 bit è in corso di esecuzione: il suo nome è indicato, indentato, insieme con il processo wowexec.exe.