Ingegneri e sviluppatori di Microsoft si sarebbero affidati a vecchi strumenti compromessi per creare gli eseguibili di Visual C++ Redistributable per Visual Studio 2017, con il risultato di aver portato sul mercato una soluzione vulnerabile. La bomba l’ha lanciato il ricercatore Stefan Kanthak, secondo cui il bug contenuto negli installer potrebbe portare un hacker a ottenere ai privilegi massimi. Lo strumento insicuro sarebbe la versione 3.7 di Wix Toolset, una release ormai non più supportata di un software open source utilizzato per anni per assemblare i pacchetti di installazione degli applicativi Windows. “Microsoft ha progettato la versione corrente degli eseguibili ricorrendo a robaccia obsoleta e ha osato distribuirli a centinaia di milioni di clienti, con il rischio che queste vulnerabilità ben note vengano sfruttate”, ha scritto Kanthak nella mailing list Full Diclosure di Seclists.org.

Secondo il ricercatore, tutte le versioni di Windows sarebbero a rischio di un attacco di tipo Dll hijacking. Questo metodo di incursione nei sistemi permette a un malware contenuto nella stessa cartella dell’installer di avviarsi in contemporanea al pacchetto eseguibile, con tutto quello che ne comporta. Se un utente dovesse visitare, ad esempio, un sito compromesso in grado di scaricare un Dll con lo stesso nome di una delle librerie caricate dall’installer di Visual C++ Redistributable, quest’ultimo lancerebbe anche i file contenenti il programma maligno.

Il baco è presente nella release 3.7 di Wix, ma fu risolto già a inizio 2016 quando il distributore del toolset, Firegiant, pubblicò la versione 3.10.2 per eliminare dallo strumento la possibilità di dirottamento delle librerie Dll. L’unico nota positiva della vicenda è che si tratta, almeno in linea teorica, di un attacco locale. Ma, avverte Kanthak, “può diventare remoto se un pirata informatico è capace di creare un sito Web compromesso e di avviare il download” delle risorse corrotte.

Microsoft, che ha riconosciuto la vulnerabilità del pacchetto, ha dichiarato di aver risolto il problema con il Patch Tuesday di agosto. Il ricercatore, però, non è affatto d’accordo e tramite The Register ha accusato l’azienda di mentire, sottolineando come la pezza sviluppata dalla casa di Redmond riguardi un altro baco e non il Dll hijacking: “Non esistono soluzioni per gli installer assemblati con Wix Toolset”, ha aggiunto Kanthak. Attendiamo quindi la prossima mossa di Microsoft.