L’80% dei computer Windows connessi in Rete, cioè oltre un miliardo di macchine, è a rischio senza sapere di esserlo: i report di errore utilizzati per segnalare crash e problemi con le applicazioni su Windows XP, Vista e 7 rappresentano un’occasione ghiotta per i criminali intenzionati a lanciare attacchi. Nel corso di un’analisi eseguita dai Websense Security Labs su programmi e servizi di comune utilizzo è emerso come il Windows Error Reporting, altrimenti detto Dr. Watson, invii al supporto Microsoft dati in chiaro, che potrebbero essere sfruttati dai cybercriminalimper individuare i bersagli più deboli.
Il Windows Error Reporting è una tecnologia di segnalazione dei crash introdotta da Microsoft con Windows XP, e utilizzata anche per Vista, Windows 7 e per le applicazioni Microsoft su Apple OS X. Mentre Windows 8 impone la crittografia TLS in tutte le fasi dei rapporti di telemetria a WER, seguendo le best practice di sicurezza It, quel che accade sulle altre piattaforme è che spesso i dati non vengono criptati; inoltre, a volte Windows invia automaticamente i report al sistema Watson, senza richiedere un intervento dell’utente.
Il problema è che Dr. Watson riporta le informazioni che gli hacker solitamente utilizzano per trovare e sfruttare le debolezze del sistema come OS, service pack e le versioni di aggiornamento. I crash sono per loro particolarmente utili dal momento che permettono di individuare la falla di un codice e sfruttarla per attacchi zero-day, per colpire target mirati o per compromettere le reti stesse. Le applicazioni che segnalano queste informazioni senza crittografare i dati espongono al rischio di perdita dei dati in diversi punti, cioè ogni in proxy verso la sorgente, firewall e Isp posizionati tra la rete aziendale e la destinazione.
Il rimedio c’è, in realtà: come spiegato da Microsoft nella dichiarazione delle policy online, amministratori posso implementare un controllo granulare sulla segnalazione automatizzata degli errori attraverso policy di gruppo per i computer in rete (qui le istruzione su come farlo). Tuttavia, la ricerca di Websense indica che molte aziende di default stanno segnalando in chiaro, per lo più in formato http, informazioni specifiche su applicazioni, servizi e hardware. I report non sono solo limitati ai crash di un’applicazione, ma anche a eventi quali aggiornamenti falliti, inserimenti di dispositivi Usb e in alcuni casi anche i timeout TCP tra i computer all’interno della rete.
Websense suggerisce alle aziende di stabilire policy di gruppo per rafforzare la crittografia di tutti i report di telemetria, e che periodicamente effettuino una valutazione della rete e delle applicazioni. Consigliato è anche l’utilizzo di servizi che segnalano la telemetria dell’applicazione e che contengono informazioni sull’ambiente di sicurezza. Inoltre, l’infrastruttura di rete sottostante dovrebbe essere almeno crittografata con SSL, idealmente usando TLS 1.2.