Un bug di Windows risalente a 10 anni fa semplifica il caricamento di malware: come proteggersi

• Patch management
• Windows 10

La maggior parte dei software per la sicurezza informatica controllano le firme digitali che arricchiscono i file memorizzati in Windows. La presenza di una firma digitale valida e riconosciuta rappresenta una conferma della bontà del file oggetto di scansione. Viceversa, per i file sprovvisti di firma digitale, vengono svolti controlli più puntuali e approfonditi.

Una firma digitale apposta su un file dovrebbe certificare che l’oggetto non è stato in alcun modo modificato e che esso viene distribuito nella stessa forma in cui è stato pubblicato originariamente dallo sviluppatore.

In questi giorni è emerso che un gruppo di criminali informatici è riuscito a modificare i file dell’applicazione client distribuita da 3CX per i sistemi Windows aggiungendo al pacchetto pubblicato sui server ufficiali librerie DLL contenenti codice malware.

3CX è una società che fornisce soluzioni di comunicazione unificate basate su software per le piccole, medie e grandi imprese: offre una piattaforma completa che include una centralino (PBX), videoconferenza, chat, sistema di messaggistica vocale e altre funzionalità avanzate. Tutte queste funzionalità sono disponibili attraverso un’interfaccia Web facile da usare e integrabili con i principali sistemi di gestione dei clienti (CRM) e di posta elettronica.

Al di là dell’aggressione subìta da 3CX, è interessante evidenziare come gli attaccanti abbiano sfruttato una vulnerabilità di Windows vecchia ormai di 10 anni.
In assenza della correzione rilasciata da Microsoft, un aggressore può aggiungere codice dannoso a file firmati senza che perdano il loro stato: la firma resta valida sia agli “occhi” del sistema operativo che a qualunque software installato, antimalware compresi.

La falla di sicurezza sulla quale hanno fatto leva i criminali informatici è contraddistinta dall’identificativo CVE-2013-3900, è stata risolta per la prima volta nel 2013 e di recente, nel 2022, ha apportato alcune modifiche alle linee guida per proteggersi.

Sebbene esista quindi una correzione per la vulnerabilità in questione, tuttavia, l’aspetto più critico è che essa deve essere applicata manualmente: ad oggi non esiste una patch che Microsoft distribuisce attraverso Windows Update e mediante gli altri suoi canali.

Gli aggressori hanno quindi avuto gioco facile ed è altamente probabile che la stessa lacuna di sicurezza possa essere sfruttata in altri attacchi.

Come proteggersi dall’aggiunta di codice malevolo ai file dotati di firma digitale

Questa volta l’aggressione ha interessato gli utenti di 3CX, che tra l’altro sono prevalentemente professionisti e imprese. Potete però facilmente immaginare che cosa accadrebbe se un gruppo di criminali informatici riuscisse a legare il codice malevolo con eseguibili e librerie utilizzati nei software più utilizzati a livello globale.

Per proteggersi da qualunque tentativo di sfruttamento della falla di sicurezza in questione, basta digitare cmd nella casella di ricerca di Windows, scegliere Esegui come amministratore quindi digitare quanto segue:

reg add HKLM\Software\Microsoft\Cryptography\Wintrust\Config /v EnableCertPaddingCheck /d 1 /f

Sulle versioni a 64 di Windows è necessario digitare anche il comando seguente:

reg add HKLM\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config /v EnableCertPaddingCheck /d 1 /f

Per rendere effettive le modifiche, è necessario riavviare Windows. In questo modo il sistema operativo Microsoft attiva un meccanismo di verifica delle firme digitali più rigoroso. Windows considera come “non firmati” tutti i file che non risultassero conformi con la specifica Authenticode.
La specifica Authenticode consta di un insieme di requisiti e procedure per la gestione delle firme digitali in Windows a loro volta utilizzate per garantire l’autenticità e l’integrità del software, proteggere gli utenti da malware e fornire una maggiore sicurezza.