Password account Microsoft a rischio: massima attenzione

C’è un bug conosciuto e presente sin dai tempi di Windows 95 che in queste ore sta pericolosamente tornando in auge. Inserendo semplice codice all’interno di una qualunque pagina web, un criminale informatico può rubare la password dell’account Microsoft di un utente.

Perché l’attacco abbia successo, il malintenzionato può limitarsi a pubblicare in una pagina HTML qualsiasi un’immagine che faccia riferimento a una risorsa condivisa.
Utilizzando Edge o Internet Explorer (Chrome e Firefox non sono affetti dal problema), la vittima richiederà automaticamente – spesso senza neppure rendersene conto – tale risorsa condivisa. Sfruttando una “leggerezza” insita nel browser Microsoft, nome utente e password dell’account Microsoft verrebbero immediatamente inviati al server remoto. La password non sarà trasmessa in chiaro (verrà inviato il suo hash) ma trattandosi di un’informazione protetta usando il protocollo NTLM è questione di pochi secondi (vedere questa pagina), almeno per le password meno complesse, risalire alla parola chiave esatta.

Il problema è che i sistemi operativi più recenti, come Windows 8, Windows 8.1 e Windows 10, spronano l’utente ad effettuare il login con l’account Microsoft.
Usando prodotti come Edge, quindi, si sarà costantemente “loggati” al proprio account durante tutta la durata della sessione di navigazione.

Imbattendosi in una pagina web “malevola”, quindi, si potrebbe trasmettere a terzi i dati che serviranno ai malintenzionati per autenticarsi su OneDrive, su Outlook.com (accedendo al contenuto degli archivi di posta), su Skype (a patto di aver effettuato il login con l’account Microsoft), alla rete Xbox Live, a Office, all’account MSN, all’account Windows Mobile e all’account Bing (con l’accesso alla cronologia delle ricerche).

Il problema in questione è noto almeno dal 1997 quando Aaron Spangler ne denunciò l’esistenza. Non fu ritenuto meritevole di soluzione perché poteva essere sfruttato solamente in ambito locale. Le cose, però, sono notevolmente cambiate con l’arrivo di Windows 8.x e Windows 10 dal momento che la lacuna è divenuta sfruttabile anche da remoto.

Come risolvere il problema e proteggere il proprio account utente Microsoft

Per evitare che le proprie credenziali di accesso possano cadere in mani altrui, una possibile soluzione consiste nell’utilizzo di Chrome o Firefox al posto di Edge e Internet Explorer. Almeno fintanto che Microsoft non avrà corretto il problema.

In alternativa, è possibile avviare Windows Firewall con sicurezza avanzata e creare manualmente una nuova regola che blocchi qualunque tentativo di connessione verso indirizzi IP remoti sulle porte 137, 138, 139 e 445. In questo modo, anche visitando una pagina web malevola con Edge o Internet Explorer, non verrà stabilita alcuna connessione.

Per verificare se si fosse vulnerabili (e per controllare l’efficacia della regola impostata usando Windows Firewall), si può visitare questa pagina cliccando poi su I understand, start the test.
A test concluso, suggeriamo di cambiare immediatamente la password associata al proprio account utente Microsoft.