Riavviare il Pc non vi salverà da questa minaccia informatica. Oddvar Moe, ricercatore svedese di cybersecurity, ha pubblicato i dettagli di un nuovo metodo che permetterebbe a un malware di ottenere la boot persistance, vale a dire la capacità di riattivarsi anche dopo lo spegnimento (e la successiva accensione) del computer. La procedura sfrutta il registro di Windows 10 ed è compatibile soltanto con le applicazioni Uwp, vale a dire i software Universal Windows Platform lanciati da Microsoft nel 2015. Moe ha spiegato a Zdnet che la tecnica funziona teoricamente con qualsiasi app, ma il suo massimo potenziale si ha con programmi e funzionalità che partono in automatico dopo l’avvio delle macchine, come ad esempio Cortana. Tutto quello che il malware deve fare, non appena riesce a infettare un sistema grazie a tecniche diffuse come le campagne di phishing, è aggiungere una chiave di registro che modifichi le impostazioni di boot delle applicazioni Uwp.
Al momento del riavvio del Pc, questa chiave di registro consente all’app coinvolta di mettersi in modalità debug e di lanciare anche la relativa utility di debugging. Il problema è che, secondo Moe, il malware potrebbe far partire qualsiasi applicativo: incluso un altro processo maligno. Ma i “benefici” di questa procedura non finiscono qui. Le app che il cybercriminale potrebbe coinvolgere, come per l’appunto Cortana, non finiscono nella lista Autorun, che elenca tutti i software in grado di avviarsi in autonomia.
In questo modo l’attacco in corso rimane nascosto agli occhi dell’utente. Infine, il metodo esposto dal ricercatore non richiede privilegi di amministratore per essere adottato, perché le chiavi possono essere scritte sul registro di Windows da chiunque. Moe ha informato Microsoft del problema, ma l’azienda ha risposto sottolineando come la minaccia non dipenda da vulnerabilità del sistema operativo e sia effettiva soltanto quando un malware infetta il computer.
Proprio in queste ore il colosso di Redmond ha pubblicato per la prima volta due documenti che illustrano come vengono classificati e gestiti a livello interno i bug software. Tramite il “Microsoft Security Servicing Criteria for Windows” è possibile conoscere quali funzionalità dei sistemi operativi vengono manutenute tramite i classici aggiornamenti del Patch Tuesday, quindi con massima priorità, e quali invece vengono demandate a un altro team di sviluppo con il compito di risolvere i problemi meno urgenti. Questi rilasci sono affidati agli update semestrali di Windows.
Le applicazioni universali di Windows 10
Il secondo documento è un Pdf che descrive come vengono assegnati i quattro livelli di gravità delle vulnerabilità (critico, importante, moderato e basso) a livello di software server e client. Per esempio, un bug che consente a un attaccante di eseguire codice arbitrario o di elevare il proprio livello di privilegio è considerato critico. Una falla che permette invece di modificare i dati di un’applicazione solo in uno scenario specifico e in modo temporaneo (che non persiste quindi dopo il riavvio) verrà sempre valutata a basso rischio.