Microsoft risolve una vulnerabilità conosciuta almeno da 2 anni: di cosa si tratta

Nel corso del patch day di agosto 2020 Microsoft ha finalmente risolto una vulnerabilità di sicurezza che era stata segnalata all’azienda di Redmond già 2 anni fa.
Ne abbiamo parlato brevemente nell’articolo Patch day Microsoft di agosto 2020: ben 120 i problemi di sicurezza risolti facendo riferimento al problema di sicurezza contraddistinto dall’identificativo CVE-2020-1464.

Approfondiamo l’argomento non soltanto perché il bug è piuttosto curioso e sfruttabile per causare danni importanti ma anche perché in rete è stato pubblicato il codice exploit per far leva sulla vulnerabilità e gruppi di criminali informatici lo stanno attivamente utilizzando.

Sfruttando il bug di sicurezza è possibile, per un malintenzionato, convertire un file MSI firmato digitalmente in un eseguibile Java malevolo conservando la firma digitale originale.

Un attacco può così andare facilmente a buon fine perché, in forza della presenza della firma digitale, il file supera le misure di sicurezza a livello di sistema operativo che prevengono il caricamento di elementi dotati di firme non valide.

Già nel 2018 i tecnici di VirusTotal (VirusTotal: guida all’uso del servizio per controllare l’identità dei file) rilevarono il caricamento di un file MSI al quale era stato aggiunto un elemento JAR (Java Archive).
Gestito in ambiente Windows, tale file – rinominato con l’estensione .JAR – veniva ritenuto dal sistema operativo come un elemento legittimo perché dotato di una firma digitale di un soggetto conosciuto (nel caso del campione malware rilevato da VirusTotal, la firma visualizzata era quella di Google).

Dopo aver segnalato il problema a Microsoft, VirusTotal aggiunse uno specifico controllo per smascherare i file MSI dotati di firma digitale legittima trasformati in JAR malevoli. Anche il software Sigcheck di Microsoft-SysInternals riusciva ad accorgersi dell’inghippo.
Lo facemmo presente a gennaio 2019: Microsoft si allea con VirusTotal: pericolo file Java all’interno di archivi MSI.

Con la patch rilasciata da Microsoft lo scorso martedì, viene finalmente posta soluzione a un problema di sicurezza particolarmente grave che per troppo tempo era stato sottovalutato.