Chi non muore si rivede, e non sarà un incontro piacevole se si tratta di una vecchia vulnerabilità che affligge il sistema operativo Windows e che mai è stata sconfitta. Redirect to Smb, così battezzata dal team di ricercatori della società di sicurezza Cylance, non risparmia nemmeno l’anteprima di Windows 10, già in circolazione. Il bug è noto fin dal 1997, e quella scoperta adesso da Cylance è sostanzialmente una nuova versione. E la buona notizia è che questa vulnerabilità non è mai stata sfruttata per veicolare degli attacchi: Microsoft, anzi, ha detto di non averla mai sanata proprio perché i rischi sono minimi. La cattiva notizia è che, almeno nella teoria, questa falla permetterebbe ai malintenzionati di rubare milioni di password di utenti Windows.
Redirect to Smb consente di lanciare attacchi di tipo “man in the middle” reindirizzando gli utenti verso server di autenticazione Smb (Server Message Block) da cui i criminali potrebbero estrarre username e parole chiave. Con queste credenziali, gli hacker potrebbero eseguire diverse operazioni: raccogliere dati custoditi in applicazioni e archivi, usare il dispositivo della vittima all’interno di una botnet e, addirittura, prendere possesso da remoto del Pc o tablet Windows.
La vulnerabilità non riguarda solo numerose funzioni del sistema operativo (incluse, paradossalmente, quelle di sicurezza come Baseline Security Analyzer, oltre a Windows Media Player ed Excel 2010), ma anche i software di una trentina di produttori, fra cui Adobe Reader, Apple Quick Time e gli antivirus di Avg (la versione Free) e di Comodo.
Il meccanismo di attacco (clicca per ingrandire)
Il rischio è reale, oppure no? I ricercatori di Cylance hanno osservato il meccanismo di reindirizzamento durante un test di laboratorio, dimostrandone la fattibilità. Tra le possibili manifestazioni dell’attacco, la società di sicurezza cita un adware o un programma che si spaccia per un update di un’applicazione legittima.
A Redmond la pensano diversamente: “Non siamo d’accordo con le affermazioni di Cylance sul presunto nuovo tipo di attacco”, ha dichiarato un portavoce di Microsoft all’iDigitalTimes. “I cybercriminali continuano a utilizzare diverse tattiche nefande. Per questo genere di attacco, tuttavia, sarebbe necessaria la concomitanza di numerosi fattori, a partire dal fatto di convincere un utente a inserire informazioni su un sito Web fasullo". Nel dubbio su chi abbia ragione, potrebbe essere una buona idea seguire i suggerimenti di Cylance, utili per mitigare il rischio di attacchi basati su Redirect to Smb.