Ricercatori di Elastic Security Labs hanno rivelato l’esistenza di un bug e metodi per sfruttarlo che permettono ad attacker di eseguire applicazioni malevole in Windows, bypassando completamente le impostazioni di sicurezza Microsoft e relativi messaggi.
Il bug è sfruttato da sei anni ed è stato individuato dai ricercatori alla ricerca di metodi per aggirare Windows SmartScreen (la funzione per la protezione dei sistemi Windows che utilizza l’intelligenza basata sul cloud per bloccare applicazioni, file e siti potenzialmente dannosi) e il controllo Smart App (SAC), controllo che dovrebbe bloccare app dannose o non attendibili.
Una delle tecniche individuate da Joe Desimone, tech lead di Elastic, è denominata “LNK Stomping” e sfrutta un bug di Windows nella gestione dei collegamenti rapidi (file .LNK) che annulla la funzionalità conosciuta come Mark of the Web (MotW) e che consente di associare al file scaricato l’origine dello stesso, un “tag” digitale legato ai file scaricati che può essere sfruttato per eseguire codice malevolo.
SmartScreen, riferisce The Register, scansiona solo i file taggati da MotW e il SAC è impostato per bloccare alcuni file ma non altri, permettendo di eludere l’MotW, con ovvii vantaggi per chi crea malware.
Il metodo di attacco prevede la creazione di file LNK non-standard obbligando Windows Explorer a correggere alcuni errori prima dell’avvio dell’app, un procedimento che prevede di disabilitare per un attimo MotW impedendo inoltre al SAC di rilevare il file come pericoloso. A quanto pare basta aggiungere un punto (“.”) oppure uno spazio nel percorso del file eseguibile (Es. “target.exe.”) per consentire l’esecuzione del software malevolo. Windows Explorer riconosce l’errore nel percorso, cerca l’eseguibile di riferimento e l’aggiorna, annullando la protezione MotW.
Su un diverso versante sono stati recentemente resi noti due importanti vulnerabilità zero-day che possono essere sfruttate per effettuare un “downgrade attack“, in altre parole installare vecchie versioni dei componenti di Windows su sistemi aggiornati.
Quest’ultima scoperta arriva dal ricercatore Alon Leviev che ha sviluppato un tool, battezzato Windows Downdate, con il quale è possibile disattivare alcune protezioni di Windows 10/11 ed effettuare il downgrade dei componenti critici del sistema operativo, incluse DLL, driver e kernel NT.
Questo attacco invisibile, persistente e irreversibile: Windows update indicherà che il sistema è aggiornato, anche quando non lo è. Per quanto concerne quest’ultimo problema, Microsoft è stata informata a febbraio ma non ha ancora rilasciato una patch.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
