I collegamenti di Windows ospitano una grave vulnerabilità

Una nuova pericolosa vulnerabilità è stata scoperta in Windows. La falla è particolarmente grave anche perché interessa, in modo trasversale, tutte le versioni del sistema operativo di Microsoft: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 sono certamente a rischio. Test su Windows 2000 non sono stati ancora portati a termine ma, analizzando i dettagli della vulnerabilità, il quadro non dovrebbe essere differente. Nel caso di Windows 2000, dal momento che il sistema operativo non è – da qualche giorno – più supportato, potrebbe trattarsi della prima falla grave che resterà senza soluzione (vista la portata della problematica, tuttavia, Microsoft potrebbe fare un’eccezione e rilasciare comunque un aggiornamento risolutivo anche per i sistemi Windows 2000).

La lacuna di sicurezza riguarda i file .LNK, i cosiddetti “collegamenti“, file che in Windows puntano ad eseguibili, documenti ed altri comandi.
Un aggressore potrebbe riuscire ad eseguire codice nocivo sul sistema dell’utente semplicemente “confezionato” un file .LNK modificato “ad arte”. Tale “collegamento” può essere sfruttato per avviare qualunque file a patto che la sua locazione sia indicata in modo corretto.
Il problema principale è che aprendo con “Esplora risorse” la cartella contenente il file .LNK maligno, il suo contenuto viene automaticamente elaborato da parte del sistema operativo, con il rischio di vedere eseguiti elementi dannosi.
Il file .LNK nocivo può risiedere ovunque, su unità disco di tipo tradizionale, dischi rimovibili, unità di rete e così via.

Il quadro è aggravato dal fatto che è stato da poco pubblicato in Rete il codice “proof-of-concept” della vulnerabilità: ciò significa che, assai probabilmente, la lacuna di sicurezza sta per essere sfruttata per condurre attacchi su vasta scala.

Come soluzione temporanea, nell’attesa che venga rilasciata una patch ufficiale, Microsoft consiglia di disattivare la visualizzazione delle icone per i file .LNK. Per procedere è necessario avviare l’Editor del registro di Windows (Start, Esegui…, REGEDIT), portarsi in corrispondenza della chiave HKEY_CLASSES_ROOTlnkfileshellexIconHandler, farvi clic con il tasto destro del mouse, scegliere Esporta e specificare il nome del file REG da creare. In questo modo si genererà una copia di backup della chiave sopra citata.
Nel pannello di destra, quindi, è necessario cliccare due volte sul valore “Predefinito“, e rimuovere l’intero contenuto del campo “Dati valore“.

Il secondo “workaround” suggerito da Microsoft consiste nella disattivazione del servizio “WebClient” (Start, Esegui…, services.msc).

Dopo aver riavviato il sistema operativo, l’icona associata a ciascun collegamento non sarà più visualizzata ma si eviterà che sul proprio personal computer possano essere eseguiti comandi o file nocivi, semplicemente accedendo ad una cartella contenente “collegamenti” .LNK maligni.

Marco Giuliani, malware technology specialist per Prevx, ha spiegato che “non si tratta di una falla vera e propria, nel senso di un exploit in grado di sfruttare qualche errore di programmazione lato Microsoft tramite stack overflow, heap overflow o tecniche similari“. La falla sfrutterebbe insomma una funzionalità di Windows: “è lecito pensare che sia più una leggerezza lato programmazione, una feature sviluppata senza pensare ai possibili rischi conseguenti, che non piuttosto un bug vero e proprio“, ha osservato Giuliani.

Per completezza, citiamo l’advisory pubblicato da Microsoft sull’argomento e disponibile in questa pagina.

Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, riportando l’analisi del “Microsoft Malware Protection Center” (MMPC) segnala che la vulnerabilità in questione è anche attualmente sfruttata come uno dei metodi di propagazione della famiglia di malware denominata “Stuxnet”. “Già correttamente rilevata dai vari software antimalware Microsoft“, scrive Intini. “Da un lato questo malware provvede ad infettare tutti i drive USB connessi al sistema che è stato infettato, e dall’altro tali drive USB infetti possono a loro volta infettare nuovi sistemi operativi se l’AutoPlay è attivo (utile ricordare che in Windows 7 questa funzionalità è disabilitata) o se intenzionalmente si esplora la loro cartella di root“.