Windows sotto attacco, c'è una falla ma manca la patch. Come provare a proteggersi

Windows sotto attacco, c'è una falla ma manca la patch. Come provare a proteggersi

Microsoft ha avvertito aziende e utenti della presenza di una vulnerabilità critica in svariate versioni di Windows che, purtroppo, è attualmente sfruttata per attacchi mirati, seppur limitati. In attesa della patch ecco come provare a difendersi.

di pubblicata il , alle 08:01 nel canale Sicurezza
MicrosoftWindows
 

Una nuova vulnerabilità "zero day" colpisce Windows 10 e non solo. Microsoft ha rilevato in un bollettino che malintenzionati stanno sfruttando attivamente una falla nel sistema operativo - di livello critico - per prendere controllo dei computer su cui è installato. Al momento non è ancora stata emessa una patch per risolvere il bug di sicurezza, per cui tutti i PC sono potenziali prede di quelli che sono stati definiti come attacchi "limitati" e "mirati".

Il problema è legato alla libreria Adobe Type Manager (ATMFD.DLL), che Microsoft usa per riprodurre i caratteri PostScript Type 1 all'interno di Windows. L'azienda statunitense ha scoperto che ci sono due falle RCE - remote code execution, esecuzione di codice da remoto - all'interno della libreria in questione che consentono a malintenzionati di far girare codice sui sistemi e agire come se ne fossero i proprietari.

Tutte le versioni attualmente supportate di Windows e Windows Server sono vulnerabili - tra i colpiti rientra anche Windows 7, il cui supporto è terminato a metà gennaio. "Ci sono diverse modalità in cui un malintenzionato può sfruttare la falla, come convincere un utente ad aprire un documento preparato ad hoc o vederlo nel riquadro di anteprima di Windows".

Come scritto in apertura, una patch non è ancora disponibile, ma potrebbe arrivare con il Patch Tuesday del mese prossimo, attualmente previsto per il 14 aprile. Non è da escludere però che l'azienda acceleri il passo, più volte sono stati distribuiti correttivi di sicurezza al di fuori delle tempistiche canoniche. Microsoft nel frattempo ha pubblicato una serie di azioni per mitigare il problema:

  • Disabilitare Riquadro di Anteprima e Riquadro dettagli in Windows Explorer (Esplora File)
  • Disabilitare il servizio WebClient
  • Rinominare ATMFD.DLL

La prima misura impedisce di visualizzare automaticamente i font OpenType, impedendo alcuni tipi di attacco. Attuarla è semplice: aprite Esplora File, cliccate sulla scheda Visualizza, togliete la selezione da Riquadro di anteprima e Riquadro dettagli. Cliccate poi su Opzioni (sulla destra della schermata), poi sulla scheda Visualizzazione e nelle "Impostazioni Avanzate" selezionate "Mostra sempre le icone, mai le anteprime". Chiudete poi tutte le istanze aperte di Esplora File affinché il cambiamento abbia effetto.

Disabilitare il servizio WebClient blocca i vettori di attacco che i malintenzionati di solito usano per sfruttare exploit da remoto. Ciò però non chiude tutte le porte e potrebbe creare qualche problema all'esperienza utente, con la necessità di confermare l'apertura di programmi arbitrari da Internet. Microsoft ha dichiarato che disattivare WebClient impedisce la trasmissione di "Web Distributed Authoring e Versioning", bloccando inoltre l'avvio di tutti i servizi che dipendono esplicitamente da WebClient e registrano i messaggi di errore nel registro di sistema.

Cambiare infine nome a ATMFD.DLL (libreria non è presente in Windows 10 versione 1709 e successive) porta a problemi di visualizzazione nelle applicazioni che sfruttano i caratteri integrati e potrebbe impedire ad alcune app di funzionare se usano font OpenType. Nel suo bollettino Microsoft parla anche di agire sul registro del sistema, ma è un'operazione complessa che potrebbe condurre, se non fatta a dovere, alla totale reinstallazione di Windows.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LL124 Marzo 2020, 08:31 #1
Avete omesso il più e il meglio:
For systems running supported versions of Windows 10 a successful attack could only result in code execution within an AppContainer sandbox context with limited privileges and capabilities
phmk24 Marzo 2020, 08:41 #2

Bhe...

.."come convincere un utente ad aprire un documento preparato ad hoc"..
già , appunto, devi "convincerlo" ...
giovanbattista24 Marzo 2020, 08:56 #3
Originariamente inviato da: phmk
.."come convincere un utente ad aprire un documento preparato ad hoc"..
già , appunto, devi "convincerlo" ...


se uno ha la mamma puttan@ ciclicamente utilizza i trend delle parole chiave + cercate sul web e ci sono varie % (anche a doppia cifra) di pesciolini che sicuramente cadono nella rete.....ho visto modi di utilizzare il pc al cui confronto uno che ramazzava con il manico di scopa infilato nel cul0 potevi considerarlo un genio

se a distanza di anni vedo in modo ciclico riproporre le stesse truffe vuol dire che i loro soldi li portano a casa o vivono in paesi del 4° modo dove anche 10€ sono "un capitale" altrimenti tutto queste risorse e tempo impiegato devono portare a ben altri lauti guadagni

i miei sono solo pensieri di uno che non è dentro il "sistema" ma ho solo fatto un ragionamento e letto qualche articolo/libro, quindi la mia è solo teoria
Cfranco24 Marzo 2020, 08:57 #4
Originariamente inviato da: phmk
.."come convincere un utente ad aprire un documento preparato ad hoc"..
già , appunto, devi "convincerlo" ...


Quello è facile ...
Basta chiamarlo donnenude.doc
Marko_00124 Marzo 2020, 09:45 #5
se si opta per la prima soluzione, estenderei il problema pure a outlook
disattivando l'anteprima delle mail arrivate.
zappy24 Marzo 2020, 11:10 #6
Originariamente inviato da: LL1
Avete omesso il più e il meglio:
For systems running supported versions of Windows 10 a successful attack could only result in code execution within an AppContainer sandbox context with limited privileges and capabilities

e allora? anche se ha solo i privilegi utente può distruggerti tutti i TUOI dati a cui accedi con i diritti di utente. E che poi sono l'unica cosa che interessa.

Originariamente inviato da: phmk
.."come convincere un utente ad aprire un documento preparato ad hoc"..
già , appunto, devi "convincerlo" ...

non hai mai scaricato un pdf da internet?
LL124 Marzo 2020, 11:22 #7
Originariamente inviato da: zappy
e allora? anche se ha solo i privilegi utente può distruggerti tutti i TUOI dati a cui accedi con i diritti di utente. E che poi sono l'unica cosa che interessa.


non credo proprio dato che contrasta con quanto riportato,
"code execution within an AppContainer sandbox context with limited privileges and capabilities" (te magari disponi di altre fonti e conosci nel dettaglio il preciso grado di libertà di manovra concesso al sandbox, chissà..




Se hai comunque cose (possibilmente sensate) da aggiungere sei evidentemente libero di integrare.
acerbo24 Marzo 2020, 13:55 #8
fortunatamente per lavorare da casa ho una VPN abbastanza blindata e a mia moglie ho dato il pc fisso con linux
Nicodemo Timoteo Taddeo24 Marzo 2020, 14:58 #9
Originariamente inviato da: acerbo
fortunatamente per lavorare da casa ho una VPN abbastanza blindata e a mia moglie ho dato il pc fisso con linux


Fortunatamente gli dai i bug di Linux :-) Hai presente quanti secutiy update arrivano continuamente?

Solo oggi.

[CODE]:~$ sudo apt list --upgradable
[sudo] password di
Elencazione... Fatto
libasound2-data/eoan-updates,eoan-updates 1.1.9-0ubuntu1.2 all [aggiornabile da: 1.1.9-0ubuntu1]
libasound2/eoan-updates 1.1.9-0ubuntu1.2 amd64 [aggiornabile da: 1.1.9-0ubuntu1]
libglib2.0-0/eoan-updates,eoan-security 2.62.4-1~ubuntu19.10.2 amd64 [aggiornabile da: 2.62.1-1]
libglib2.0-bin/eoan-updates,eoan-security 2.62.4-1~ubuntu19.10.2 amd64 [aggiornabile da: 2.62.1-1]
libglib2.0-data/eoan-updates,eoan-updates,eoan-security,eoan-security 2.62.4-1~ubuntu19.10.2 all [aggiornabile da: 2.62.1-1]
vim-common/eoan-updates,eoan-updates,eoan-security,eoan-security 2:8.1.0875-5ubuntu2.1 all [aggiornabile da: 2:8.1.0875-5ubuntu2]
vim-tiny/eoan-updates,eoan-security 2:8.1.0875-5ubuntu2.1 amd64 [aggiornabile da: 2:8.1.0875-5ubuntu2]
xxd/eoan-updates,eoan-security 2:8.1.0875-5ubuntu2.1 amd64 [aggiornabile da: 2:8.1.0875-5ubuntu2]

[/CODE]
gd350turbo24 Marzo 2020, 16:02 #10
Per quello l'ha dato alla moglie...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^