L’incubo delle pen drive USB (in gergo, le chiavette USB) infette è ormai una realtà da diversi anni. Basta spesso l’inserimento di una pen drive USB infetta in un sistema, per eseguire automaticamente il malware e infettare il sistema vittima. La causa di tutto ciò è la famigerata funzionalità di Windows denominata Autorun (o Autoplay) che permette di eseguire automaticamente delle operazioni – o file eseguibili – nel momento in cui un dispositivo rimovibile – quali cdrom o pen drive USB – viene collegato al sistema.

Questa funzionalità, proprio perché ampiamente abusata da malware – è stata disattivata di default in Windows 7 ma continua a mietere vittime nella moltitudine di sistemi Windows XP diffusi nel mondo. Anche nelle aziende, tutt’ora, è prassi comune disattivarla poiché causa primaria di infezioni.

Ora c’è un’altra minaccia di cui preoccuparsi tuttavia: è stata isolata da pochi giorni una falla 0-day (CVE-2010-2568) che colpisce trasversalmente tutte le versioni di Windows da XP a Windows 7 e che permette l’esecuzione automatica di qualsiasi libreria (dll) senza che essa venga effettivamente eseguita dall’utente.

La falla risiede in una gestione “errata” dei file LNK, dei file collegamento di Windows. Un file LNK volutamente malformato può forzare Windows a caricare in memoria un eventuale file nocivo. Ciò significa che un collegamento che magari potreste trovare in una pen drive USB in realtà è utilizzato per caricare un malware.

L’unica cosa che l’utente deve fare è aprire la finestra in Windows, ad esempio attraverso Risorse del computer, e nel momento in cui semplicemente si accede alla directory dove il file lnk è presente automaticamente Windows processerà il file e caricherà il file collegato.

Questa tipologia di attacco – prima sconosciuta – è stata individuata proprio durante un’analisi di alcuni malware da parte della società bielorussa VirusBlokAda Ltd. Malware che sembra siano stati utilizzati per degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, visti alcuni codici specifici presenti nelle loro stringhe.

Non mi è possibile rilasciare ulteriori informazioni tecniche su come la falla funzioni, sebbene online si possano trovare stralci di informazioni tecniche che possono aiutare a comprenderne il funzionamento. Quello che però posso dire è che non si tratta di una falla vera e propria, nel senso di un exploit in grado di sfruttare qualche errore di programmazione lato Microsoft tramite stack overflow, heap overflow o tecniche similari. In realtà questa falla sfrutta una funzionalità di Windows.

Da una analisi che ho effettuato oggi della falla è lecito pensare che sia più una leggerezza lato programmazione, una feature sviluppata senza pensare ai possibili rischi conseguenti, che non piuttosto un bug vero e proprio.

Non ci sono aggiornamenti disponibili per ora da parte di Microsoft, la quale sta analizzando il problema. Al momento, come consigliato anche dalla società di Redmond, è necessario disabilitare la visualizzazione delle icone nei file lnk.

La procedura è meglio specificata nel bollettino di sicurezza Microsoft 2286198, alla sezione Workarounds.