Le versioni di Windows pensate per l’utilizzo aziendale sono dotate di un pacchetto di funzionalità avanzate per proteggere al meglio i dati sensibili di utenti e imprese. E se, per una volta, fosse proprio una di queste funzioni a mettere a repentaglio la sicurezza di un’azienda? Il ricercatore ed esperto di security Casey Smith ha rilanciato sul proprio blog una vulnerabilità di Applocker, strumento introdotto da Microsoft con l’avvento di Windows Server 2008 R2 e Windows 7 che permette di specificare gli utenti o i gruppi che possono eseguire determinate applicazioni all’interno del perimetro aziendale, in base a identità univoche. Utilizzando Applocker, quindi, è possibile creare regole che consentono o negano l’esecuzione di singoli applicativi.
Per sfruttare la falla, che riguarderebbe tutte le versioni professionali di Windows dalla release 7 in su, è necessario utilizzare regsvr32, utility eseguibile da riga di comando nata sostanzialmente per registrare (e deregistrare) le librerie dll. Grazie a regsvr32 si può recuperare o fare riferimento a qualsiasi risorsa remota disponibile tramite la rete (l’utility accetta anche Url come script), in modo che anche un software bloccato da Applocker venga eseguito.
Inoltre, la nuova vulnerabilità non richiede particolari privilegi per essere sfruttata e gli script possono essere eseguiti utilizzando anche protocolli sicuri come Https. E, in caso di attacco, il bug non lascia traccia nel registro di sistema, diventando così particolarmente difficile da rintracciare e neutralizzare. Questo perché regsvr32, riconosciuta da Windows come funzione essenziale per il sistema, è posta di default nella whitelist.
Microsoft al momento non ha comunicato il rilascio di eventuali patch, lasciando così a brancolare nel buio gli utilizzatori aziendali di Windows. Secondo gli esperti di sicurezza che hanno animato in queste ore in Rete le discussioni sul problema, esisterebbe però un modo per bypassare la vulnerabilità, in attesa di una soluzione definitiva del vendor. Alcuni ricercatori hanno suggerito di bloccare temporaneamente regsvr32.exe e regsvr64.exe utilizzando Windows Firewall, in modo da affrontare la questione direttamente alla radice.
Alex Ionescu, invece, ha proposto su Twitter di sfruttare lo strumento Device Guard e di attivare tutte le funzionalità previste per bloccare anche l’esecuzione di script. Ma, sottolinea l’esperto, solo le aziende che hanno in dotazione Windows 10 Enterprise e presentano Hyper-V possono seguire questa strada.