Microsoft corregge una grave falla per Windows Defender

Nel corso del weekend i ricercatori Tavis Ormandy e Natalie Silvanovich di Google Project Zero hanno diramato tramite Twitter la scoperta di una grave falla in Windows Defender che permette l'esecuzione di codice da remoto.

Gli sviluppatori di Microsoft hanno elaborato una patch che è già stata resa disponibile tramite Windows Update per le versioni interessate (7, 8.1, RT e 10 e le versioni dedicate ai professionisti IT) e che sarà scaricata automaticamente nel corso dei prossimi giorni per coloro i quali non aggiornassero manualmente.

Di cosa si tratta, dunque? L'engine di protezione antimalware di Windows, che dovrebbe analizzare i file per individuare eventuali problemi, può essere tratto in inganno ed eseguire codice incluso in un'email, in una pagina web o in un messaggio istantaneo.

Per sfruttare questa vulnerabilità, un file opportunamente creato deve essere analizzato dalla versione fallata di Microsoft Malware Protection Engine: un attaccante potrebbe ad esempio sfruttare un sito web per recapitare un file compromesso sul sistema della vittima che viene analizzato quando si visualizza il sito web, oppure inviare il file in un messaggio email o un instant messenger che viene analizzato quando il file viene aperto. Se le misure antimalware prevedono la protezione in tempo reale i file sono scansionati automaticamente e la vulnerabilità può essere sfruttata non appena il file viene analizzato, quindi in maniera pressoché immediata.

Natalie Silvanovich ha realizzato inoltre un proof of concept dimostrando che anche tramite un semplice tweet è possibile sfruttare la vulnerabilità. Consigliamo, ovviamente, di aggiornare immediatamente il sistema e di non attendere la distribuzione automatica della patch.