A distanza di alcuni giorni è possibile fare il punto della situazione per quanto riguarda la falla 0-day riscontrata in tutte le versioni di Windows basate su kernel NT.

Come avevo detto precedentemente, e confermato anche da altri ricercatori successivamente, non si tratta di una falla nella programmazione del codice, ma si tratta di una falla a livello di design del sistema operativo, un errore concettuale più che un bug.

Ciò significa che per Microsoft sarà un problema molto più difficile da sistemare, poiché richiede una nuova operazione di design affinché si possa risolvere la vulnerabilità.

Al momento la risposta delle società di antivirus non è rapida, anche perché la portata della falla non permette di poter scrivere velocemente signature generiche senza causare falsi positivi. Creando un nuovo file lnk ad hoc per sfruttare la falla si può subito vedere, tramite VirusTotal, come solo 7 antivirus su 42 riconoscano l’exploit. Invece, analizzando il proof of concept reso pubblico online qualche giorno fa, si può notare come quasi tutti i software antivirus lo individuino. Questo permette di capire come le signature per quest’ultimo file exploit non siano state studiate come signature generiche per la falla, ma come signature specifiche per il file specifico.

Non ho intenzione ancora di mostrare come poter creare da soli un exploit funzionante per questa falla, anche se le informazioni online sono oramai molte e permettono ai più abili di scoprirlo da soli. Quello che è oramai pubblico è in quale punto del sistema operativo risiede la falla, cioè nella gestione delle icone del pannello di controllo di Windows – dei file CPL.

Microsoft ha aggiornato il proprio bollettino di sicurezza, descrivendo più dettagliatamente la falla e comunicando alcuni possibili workaround da applicare per mitigare questo vettore di attacco.

Tra i workaround suggeriti c’è la disabilitazione della visualizzazione delle icone per i file LNK e PIF, la disabilitazione del servizio WebClient e il blocco del download di file LNK e PIF da Internet.

Chiaramente gli ultimi due sono dei consigli utili per mitigare il problema, ma il primo è quello veramente fondamentale, che permette al momento di bloccare la falla. Anche se, purtroppo, tutte le icone dei collegamenti nel sistema spariranno, lasciando spazio ad una icona bianca.

L’utilizzo più probabile di questa falla è tramite dispositivi USB removibili, permettendo ad un malware di venir eseguito automaticamente non appena l’utente apre attraverso un file manager – o semplicemente attraverso risorse del computer – la directory del dispositivo stesso. Ciò non toglie che sia possibile anche sfruttare questa falla tramite WebDAV, permettendo ad un file LNK o PIF di andare ad eseguire un malware che non è fisicamente presente nel sistema ma è residente in un PC collegato in rete. Inoltre, come anche dichiarato dal bollettino Microsoft, anche alcuni tipi di documenti che supportano per l’appunto questi collegamenti sono vulnerabili.

Purtroppo la diffusione dell’exploit tramite Metasploit non semplifica la vita alle società di sicurezza, ma la semplifica molto ai malware writer, che sanno ora come poter sfruttare questa falla in maniera rapida ed efficace.

Al momento tutte le versioni di Windows sono vulnerabili, ma gli utilizzatori di Windows 2000 e Windows XP (fino al Service Pack 2 compreso) dovrebbero preoccuparsi di aggiornare il proprio sistema operativo ad una versione che è ancora supportata da Microsoft. Questo perché, essendo questi sistemi operativi fuori supporto tecnico, non verranno aggiornati dalla società di Redmond. O ricorreranno a patch di terze parti (se verranno rilasciate), o continueranno a tenere il sistema operativo senza icone dei collegamenti, o continueranno a coesistere con tale falla – quest’ultima scelta sicuramente sconsigliata.

Microsoft ha messo a disposizione il proprio tool Fix It, per applicare il primo workaround sopra elencato. Il tool è scaricabile a questo indirizzo .

In coda a questo articolo metto un video che ho realizzato per mostrare SafeLink, una patch che sto sviluppando a titolo personale in grado di intercettare e bloccare questo exploit.