Windows Defender potrebbe eseguire codice JavaScript malevolo: come difendersi

Microsoft è immediatamente corsa ai ripari per risolvere un problema di sicurezza che, fino a qualche ora fa, affliggeva tutti i suoi software per la sicurezza.
Prodotti come Windows Defender (attivo di default in Windows 10 e Windows 8.1), Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection e Windows Intune Endpoint Protection sono prodotti – alcuni destinati agli utenti finali, altri al mondo dei professionisti e delle imprese – che condividono lo stesso motore di scansione: Malware Protection Engine.

Tavis Ormandy, ricercatore Google ormai ampiamente noto al “grande pubblico”, e Natalie Silvanovich hanno diffuso alcuni dettagli su una pericolosa vulnerabilità che interessa Windows Defender così come gli altri software Microsoft basati sul Malware Protection Engine.

Sfruttando la lacuna di sicurezza (che è stata nel frattempo corretta dai tecnici Microsoft con il recente rilascio di un aggiornamento risolutivo), un aggressore può eseguire codice nocivo sul sistema dell’utente in modalità remota.
Il bug risiede nel componente del motore di scansione antimalware che si occupa di riconoscere i contenuti JavaScript e di analizzarli. Una volta che un file JavaScript malevolo viene memorizzato su disco, il Malware Protection Engine può provocarne l’esecuzione del codice dannoso in esso contenuto.

Si tratta di un “attacco perfetto” perché per provocare il caricamento del codice dannoso il malintenzionato non deve disporre di alcun permesso speciale.
Come spiega Ormandy, infatti, il processo che sovrintende il funzionamento del Malware Protection Engine e che analizza i file in background lavora con i diritti NT AUTHORITY\SYSTEM ovvero quelli più ampi in assoluto e non sfrutta meccanismi di sandboxing.

Così, indipendentemente dalla cartella in cui il file JavaScript malevolo è stato memorizzato, il suo contenuto verrebbe caricato dal motore di scansione provocandone l’istantanea esecuzione a totale insaputa dell’utente.
La situazione è paradossale: a causa di un bug, l’antimalware esegue codice malevolo.

Un aggressore che provasse a prendere di mira sistemi Windows non aggiornati, potrebbe disporre l’esecuzione di codice nocivo semplicemente inserendo il JavaScript malevolo come allegato di un’email, caricandolo su qualche pagina web o disponendone in qualche modo il download.
Sui sistemi vulnerabili il codice verrebbe eseguito da remoto semplicemente scaricando la posta elettronica, senza neppure leggerla, oppure visitando una pagina web.

Come difendersi?

Ormady ha precisato di aver atteso 90 giorni dopo l’avvenuta segnalazione a Microsoft in forma privata per pubblicare i dettagli sulla vulnerabilità di Windows Defender e compagni.

Per risolvere il problema di sicurezza è importante installare o verificare che sia stato installato l’ultimo aggiornamento disponibile per il Malware Protection Engine.
È fondamentale che la versione del motore di scansione installata sia uguale o superiore a 1.1.13704.0.

In Windows 10 basta accedere a Windows Defender quindi fare clic sulla voce Protezione da virus e minacce quindi su Aggiornamenti della protezione.

Installando un software per la sicurezza di terze parti, Windows Defender viene automaticamente disabilitato. Ulteriori informazioni nel nostro articolo Windows Defender: opinioni sulla sua reale utilità.