Security Le scorciatoie mettono a rischio Windows

[Asterix]

Una falla nella gestione delle shortcut minaccia la sicurezza di tutti gli utenti di Windows. Il bug viene già sfruttato da un malware in grado di infettare i drive USB

Roma - Tutte le versioni di Windows correntemente supportate da Microsoft soffrono di una seria vulnerabilità di sicurezza già sfruttata in alcuni attacchi. A confermare il problema è il recente advisory 2286198 di Microsoft, dove si possono trovare due workaround da applicare in attesa del rilascio di una patch.

Il bug è legato alla gestione delle shortcut (scorciatoie) da parte della Windows Shell: un aggressore potrebbe creare un file ".lnk" ad hoc che, quando visualizzato (sotto forma di icona) in Windows Explorer o altra applicazione, esegue del codice maligno con gli stessi privilegi dell'utente loggato nel sistema. Sophos spiega in questo post che l'exploit funziona anche nel caso in cui le funzioni AutoRun e AutoPlay siano disattivate: per innescare il codice dannoso è sufficiente che l'utente esplori la cartella di root del drive infetto.

Microsoft spiega che la vulnerabilità viene già sfruttata da una famiglia di malware denominata Stuxnet, e in particolare da un trojan che si propaga attraverso i drive USB ed è in grado di scaricare rootkit e altri tipi di malware.
PCWorld riporta che la falla era già stata segnalata lo scorso 17 giugno da una piccola società operante nel campo della sicurezza: ciò significa che il problema è noto da almeno un mese.

Come si è detto, della debolezza soffrono tutte le versioni di Windows, inclusa la recente beta pubblica del Service Pack 1 di Windows 7. Questa è anche la prima seria vulnerabilità di sicurezza che non verrà corretta in Windows 2000 e Windows XP SP2: il periodo di supporto di questi due sistemi operativi è terminato la scorsa settimana.

In attesa del rilascio di una patch ufficiale, gli utenti più smaliziati possono applicare una delle soluzioni temporanee descritte nell'advisory di Microsoft: la più semplice è quella che disattiva la visualizzazione delle icone relative alle scorciatoie.

Alessandro Del Rosso
Punto Informatico

[MarcoStraf]

... : la più semplice è quella che disattiva la visualizzazione delle icone relative alle scorciatoie. ...

Beh, veramente non bisogna solo disattivare le "icone", ma occorre disabilitare completamente l'uso delle scorciatoie. Cosa non banale in quanto occorre modificare a mano il registro di sistema (cosa che non tutti si sentono di fare) senza contare poi che tutti gli applicativi che usano le scorciatoie non funzioneranno più
Problema tosto...

[Clairvoyant]

Doh, pericolosissimo, ed il workaround proposto da M$ è pessimo.

A parte la difficoltà della modifica del registro, che è soggettiva, quello che è oggettivo è come riporta Marco il discorso delle funzionalità che verrebbero a mancare.
Diversi applicativi potrebbero risentirne e si dovrebbe andare a cercare documenti ed applicazioni manualmente ogni volta.

In ambito home usare i criteri di gruppo per far si che possano essere lanciati solo .exe presenti in C:\ o comunque in partizioni locali potrebbe essere una soluzione, cosa riportata tra l' altro anche nel link Sophos.

Qui però stiamo parlando di sistemi privi di qualunque protezione, in quanto AntiVirus e Firewall ( magari dotato di HIPS o similare ) aggiornati dovrebbero essere più che sufficienti ad impedire l' esecuzione del codice.

Non so se si tratti della stessa cosa, ma giusto la settimana scorsa AntiVir mi ha segato un file .lnk estratto da un archivio proveniente da un torrent recente; Comodo invece non ha fatto una piega, si vede che non ha fatto in tempo a vederlo.

Ennesima prodezza M$....