Negli ultimi giorni, la comunità informatica è in allerta a causa di una grave vulnerabilità scoperta dalla Trend Zero Day Initiative . Secondo i ricercatori, dal 2017 gruppi di attaccanti hanno utilizzato tecniche avanzate per sfruttare la falla di sicurezza presente nell’Esplora File di Windows. Questa vulnerabilità consente l’esecuzione di codice arbitrario sui sistemi delle vittime e permette la sottrazione di dati sensibili, con l’aggravante che Microsoft non ha ancora rilasciato una patch nonostante il problema persista da otto anni. Di seguito, gli aspetti chiave che emergono dalla scoperta degli esperti.
Indice dei contenuti
La vulnerabilità nei file .lnk e il suo sfruttamento
La falla di sicurezza identificata da ZDI, nota come ZDI-CAN-25373, è legata alla gestione dei collegamenti .lnk all’interno di Windows. Questo problema ha attirato l’attenzione di diversi gruppi APT sostenuti da stati nazionali, tra i quali si annoverano Corea del Nord, Iran, Russia e Cina. L’attacco è stato principalmente orientato verso le attività di spionaggio e i furti di dati, con incidenti che risalgono almeno al 2017.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
Le aree maggiormente colpite includono enti governativi, settori privati, industria finanziaria, ONG e telecomunicazioni. La portata degli attacchi suggerisce un rischio significativo non solo per le aziende, ma anche per la sicurezza nazionale.
I dettagli tecnici dell’attacco
La vulnerabilità ZDI-CAN-25373 si attiva grazie alla cattiva gestione da parte di Windows, in particolare di Esplora File, dei file lnk. Gli attaccanti progettano collegamenti malevoli in grado di mascherare comandi dannosi attraverso tecniche di manipolazione come l’inserimento di caratteri di spazio o tabulazione. Questo inganno rende invisibile la parte malevola del comando, confondendo così le difese del sistema.
Ogni file .lnk è strutturato in modo specifico, contenendo vari campi come ShellLinkHeader e LinkFlags, che identificano l’elemento come file di collegamento e il suo contenuto eseguibile. Gli aggressori possono quindi implementare comandi malevoli senza che l’utente sia in grado di percepirli. Alcuni gruppi, come APT37 e Konni, si sono serviti di file .lnk di dimensioni eccessive, fino a 70 MB, nel tentativo di eludere i controlli di sicurezza.
Il rischio legato ai collegamenti modificati
Una delle tecniche di attacco più insidiose consiste nel creare file di collegamento all’interno del sistema Windows, utilizzando comandi di PowerShell. Grazie all’implementazione di numerosi caratteri di tabulazione, gli aggressori riescono a nascondere la parte più compromettente del comando eseguito in modo che essa non sia visibile nelle proprietà del file. Questa manovra rende difficile identificare il contenuto malevolo da parte degli utenti o dei software di sicurezza.
Un esempio pratico di questo meccanismo è la creazione di un file .lnk in grado di eseguire un comando innocuo che, al contempo, avvia un’applicazione non autorizzata. La tecnica, pur apparendo banale, risulta efficace nel superare i controlli di sicurezza.
La risposta di Microsoft alla vulnerabilità
La reazione di Microsoft alla vulnerabilità segnalata da ZDI ha suscitato critiche. Gli esperti di sicurezza attendono da tempo una risposta concreta, ma la compagnia di Redmond sostiene che i suoi strumenti, come Microsoft Defender e Smart App Control, già bloccano i file .lnk sospetti provenienti dal Web. Questo approccio, però, lascia ancora aperta la questione sulla protezione effettiva dei file locali.
Il messaggio di sicurezza che viene visualizzato per i file .lnk, sia quelli provenienti da fonti esterne che quelli creati in locale con specifiche manovre, avverte l’utente su possibili rischi. Tuttavia, questa difesa non sembra essere sufficiente per garantire una protezione completa contro le pratiche ingannevoli degli attaccanti esperti.
Attraverso un’analisi dettagliata e la divulgazione delle vulnerabilità contestate, la speranza della comunità informatica è che Microsoft possa finalmente muoversi verso un aggiornamento essenziale per garantire la sicurezza dei suoi utenti e delle sue applicazioni.
