La funzionalità antiransomware di Windows 10 può essere sconfitta da un semplice documento Office

Con il rilascio del pacchetto di aggiornamento Fall Creators Update, Microsoft ha aggiunto in Windows 10 una funzionalità che protegge il sistema dai ransomware.

Come spiegato nell’articolo Ransomware, come li blocca Windows 10, digitando Windows Defender Security Center nella casella di ricerca di Windows 10 Fall Creators Update quindi cliccando sull’icona a forma di scudetto (Protezione da virus e minacce) e su Impostazioni di Protezione da virus e minacce, scorrendo le varie opzioni si troverà anche Accesso alle cartelle controllato.

Con un clic su Consenti app tramite accesso alle cartelle controllato, si possono definire le applicazioni che hanno titolo per accedere e modificare il contenuto delle cartelle specificate nella sezione Cartelle protette.

Sebbene la funzionalità antiransomware di Windows 10 sia ancora piuttosto ostica e poco “usabile”, fino ad oggi non erano stati evidenziati particolari problemi di sicurezza.

Yago Jesus, un ricercatore spagnolo in forze presso SecurityByDefault, ha però verificato che Microsoft pone automaticamente in una “lista bianca” tutti i componenti della suite Office con il risultato che l’applicazione ha sempre titolo per accedere al contenuto delle cartelle protette nei confronti dei ransomware.

Un criminale informatico può quindi creare un documento Office contenente, al suo interno, script che vanno a modificare il contenuto delle cartelle protette e si comportano come un ransomware.
Gli ultimi due esempi presentati dal ricercatore chiedono proprio un riscatto all’utente dopo la codifica dei file personali dell’utente, esattamente come fa qualunque malware.