/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/05/ghostlock-blocco-file-senza-ransomware.jpg "GhostLock mostra come Windows possa bloccare file senza ransomware")
Un normale meccanismo di accesso ai file presente in Windows può trasformarsi in uno strumento di sabotaggio silenzioso. La dimostrazione arriva da GhostLock, proof of concept pubblicato da un ricercatore di sicurezza, Kim Dvash (Israel Aerospace Industries). Il meccanismo messo a punto sfrutta l’API CreateFileW per aprire file locali o condivisi tramite SMB con accesso esclusivo, impedendo ad altri processi, utenti o applicazioni di leggerli, modificarli o cancellarli.
La tecnica non cifra i dati e non altera il contenuto dei file: a differenza del ransomware tradizionale, GhostLock punta a bloccare l’operatività senza lasciare tracce evidenti di compromissione. L’idea ricorda alcune tecniche già viste in ambienti enterprise durante incidenti interni o attività di disturbo, ma il proof of concept evidenzia in modo molto chiaro quanto sia semplice abusare di funzioni native del sistema operativo.
Come funziona l’abuso dell’API CreateFileW per bloccare file in Windows
Windows gestisce i file attraverso handle e modalità di condivisione definite a livello API. Da decenni gli sviluppatori usano queste funzioni per evitare conflitti tra applicazioni, garantire coerenza nei database oppure impedire scritture simultanee.
Da parte sua, la tecnica alla base di GhostLock fa leva su un meccanismo legittimo e lo usa contro il sistema stesso: non serve un driver kernel, non servono exploit sofisticati e non serve elevare privilegi.
La funzione CreateFileW, disponibile nelle storiche librerie Win32, consente di aprire risorse specificando permessi e modalità di accesso condiviso. Il parametro più delicato riguarda proprio la modalità di condivisione: un processo può decidere se consentire ad altri software di leggere, scrivere o eliminare il file mentre esso resta aperto.
GhostLock apre il file con flag restrittivi e mantiene l’handle attivo: in questo modo qualsiasi applicazione che successivamente tenti di accedere allo stesso file riceve errori legati al blocco del file o mostra il messaggio di accesso negato. Il comportamento interessa sia file locali NTFS sia condivisioni SMB remote.
Perché le condivisioni SMB rendono la tecnica più interessante
Il supporto per le condivisioni SMB amplia di molto l’impatto: nelle reti Windows, infatti, file server e NAS gestiscono continuamente aperture concorrenti da parte di utenti e applicazioni. GhostLock sfrutta proprio questo modello operativo.
Se un utente con accesso legittimo apre centinaia di documenti condivisi in modalità esclusiva, gli altri client iniziano a ricevere errori. Da fuori potrebbe sembrare un problema di rete, un file corrotto o un malfunzionamento del server.
Il rischio operativo aumenta nelle realtà aziendali che lavorano su file condivisi in tempo reale: CAD, contabilità, ambienti medicali, studi tecnici oppure piattaforme di virtualizzazione basate su storage SMB 3.x. In molti casi il personale IT tende inizialmente a cercare problemi sul file server invece di verificare l’esistenza di lock anomali.
Rilevamento e attività di difesa
Dvash ha condiviso anche esempi di regole e indicatori utili per individuare comportamenti anomali. L’elemento più utile consiste nel monitorare processi che aprono quantità elevate di file con accesso esclusivo oppure che mantengono handle attivi troppo a lungo.
Strumenti come Sysmon, Microsoft Defender for Endpoint oppure piattaforme EDR commerciali possono registrare accessi file sospetti e correlare gli eventi con il processo responsabile. Non sempre però il rilevamento è immediato: molte applicazioni legittime aprono file in modalità esclusiva durante le normali attività correnti.
Il vero problema è infatti distinguere un comportamento lecito da uno malevolo: un database SQL Server, ad esempio, mantiene lock costanti sui propri file. Lo stesso vale per alcuni software CAD o gestionali ERP.
Una dimostrazione semplice ma significativa
GhostLock mostra ancora una volta una realtà spesso sottovalutata nella sicurezza Windows: molte tecniche offensive non sfruttano vulnerabilità, ma funzionalità legittime. Il confine tra amministrazione di sistema e abuso può insomma diventare molto sottile.
Il proof of concept non presuppone abilità particolarmente avanzate dal punto di vista tecnico: qualsiasi sviluppatore con esperienza Win32 può replicare il comportamento usando poche chiamate API. E proprio per questo ci troviamo dinanzi a una tecnica che merita attenzione e che non va certamente presa sottogamba.
Microsoft non considera il comportamento una vulnerabilità di sicurezza: la funzione API opera secondo le specifiche previste. Le tecniche living off the land, quelle che sfruttano strumenti già presenti nel sistema per evitare le probabilità di rilevamento dell’attacco, sono in continua crescita e strumenti come GhostLock dimostrano quanto sia ormai fondamentale adottare sistemi di monitoraggio comportamentale capaci di individuare attività sospette analizzando il comportamento dei processi e delle applicazioni.
/https://www.ilsoftware.it/app/uploads/2026/05/microsoft-no-trucchi-velocizzazione-windows-11.jpg "Windows 11 non sta barando: Microsoft difende il controverso boost della CPU")
/https://www.ilsoftware.it/app/uploads/2026/05/windows-11-codice-legacy-30-anni.jpg "Windows 11 dipende ancora da codice scritto oltre 30 anni fa: la conferma di Microsoft")
/https://www.ilsoftware.it/app/uploads/2026/05/windows-11-veloce-low-latency-profile-cpu.jpg "Windows 11 potrebbe accelerare tutto sfruttando picchi CPU intelligenti")
/https://www.ilsoftware.it/app/uploads/2026/05/sfida-microsoft-ibm-tasto-TAB.jpg "Microsoft contro IBM per il tasto TAB: la frase sulla mamma di Bill Gates diventata leggenda")