Tecnologia SafeDisc non così sicura: a rischio i sistemi XP e Server 2003

Macrovision, azienda che sviluppa e commercializza tecnologie per la sicurezza, il controllo degli accessi e la verifica di licenze software, ha ufficialmente dichiarato quest’oggi che il suo sistema DRM sarebbe al momento oggetto di attacchi. Il driver denominato “secdrv.sys” (memorizzato nella cartella WINDOWSsystem32drivers), sinora distribuito insieme con tutte le versioni di Windows XP, Windows Server 2003 e Windows Vista, è alla base del funzionamento della tecnologia “anti-copia” SafeDisc di Macrovision.
Il driver si occupa di controllare l’autenticità, essenzialmente, dei videogiochi protetti con tecnologia SafeDisc ed impedisce l’utilizzo di copie non autorizzate.
Circa tre settimane fa, tuttavia, l’esperto di sicurezza Elia Florio, dei laboratori Symantec, ha reso noto di aver individuato una vulnerabilità insita nel driver che può portare all’acquisione di privilegi utente più elevati da parte di personale non autorizzato. Secondo Florio, la sola presenza del driver “secdrv.sys” aprirebbe quindi potenzialmente tutte le macchine Windows XP e Windows Server 2003 a rischi di attacco (non è necessario che l’utente faccia uso di alcun videogioco protetto con SafeDisc).
Microsoft starebbe già lavorando su un aggiornamento che però, con buona probabilità, non sarà parte del prossimo “patch day”, previsto per il 13 Novembre.
Gli utenti possono rimuovere il driver vulnerabile eliminandolo dalla cartella %System%drivers oppure aggiornarlo con una versione più recente, al momento sicura, scaricabile dal sito ufficiale di Macrovision. Il portavoce Microsoft interpellato sull’argomento, ammonisce comunque: “se si decide di rimuovere il driver, i videogiochi protetti con la tecnologia Macrovision SafeDisc non potranno più funzionare correttamente”. Sebbene lo stesso driver sia incluso anche in Windows Vista, il sistema operativo non è risultato vulnerabile (un aggiornamento sarà comunque reso disponibile al più presto possibile, anche in questo caso).
Secondo Elia Florio, i rischi maggiori potrebbero correrli le strutture aziendali più che i singoli privati. “L’aggressore deve essere loggato sul computer vulnerabile per poter sferrare un attacco e guadagnare privilegi utente maggiori”, ha dichiarato Florio aggiungendo che “ciò riduce i rischi per gli utenti domestici poiché questi solitamente usano un unico account”. Va osservato che un malware in grado di insediarsi sul sistema vulnerabile potrebbe sfruttare la “deficienza” di sicurezza scoperta nel driver “secdrv.sys” per eseguire azioni potenzialmente molto pericolose.