Virus Microsoft, utenti Windows in pericolo: succede il finimondo

logo Microsoft con davanti uomo in ombra

Una falla nella sicurezza ha messo in pericolo gli utenti di Misocrosoft. La società ha esposto i suoi clienti a virus pericolosi per la loro sicurezza.

Microsoft si dichiara colpevole, ha esposto i suoi clienti a virus dannosi e pericolosi. La società non è riuscita a proteggere i PC Windows da alcuni driver dannosi per un periodo durato quasi 3 anni.

A quanto pare l’azienda si è accorta di aver fallito in un aspetto chiave della sicurezza di Windows. Questa falla nella sicurezza ha lasciato gli utenti scoperti verso una modalità di infezione da malware che soprattutto negli ultimi mesi è stata particolarmente efficace.

La multinazionale di informatica si scusa con i suoi clienti e si prepara a risarcirli. Lo scandalo ha messo in cattiva luce Microsoft difronte al mercato internazionale. Scopriamo meglio nel dettaglio cosa prevede questa falla nella sicurezza e cosa ha comportato.

Driver dannosi

Il problema è nato quando la società di Redmond ha confermato che Windows Update avrebbe aggiunto automaticamente nuovi driver software a un elenco di blocchi. L’elenco è stato progettato per contrastare un noto sistema d’infezione da malware.

Per chi non lo sapesse, ricordiamo che i driver vengono installati e utilizzati dal sistema operativo del computer per comunicare con dispositivi e hardware esterni, come una stampante, una scheda grafica o una webcam, e molto altro. Poiché i driver possono accedere a ogni sezione del sistema operativo di un dispositivo. Anche quelle più interne, come il kernel, Microsoft richiede una firma digitale che dimostri che questi siano sicuri.

lucchetto forato sopra scheda pc

Ma se un driver è firmato e presenta comunque una falla nella sicurezza? In quel caso gli hacker possono sfruttarla e attaccare il sistema operativo in cui questo è installato. Una delle tecniche di questo genere è nota con il nome di BYOVD e consente a un utente malintenzionato, dotato di previlegi da amministratore, di aggirare le protezioni del kernel di Windows.

L’attacco è semplice quanto efficace, poiché non serve un exploit scritto da zero, ma in questo caso è sufficiente installare uno dei tanti driver di terze parti dotati di vulnerabilità note. Una volta fatto, l’hacker è in grado di sfruttare queste vulnerabilità per ottenere l’accesso istantaneo e diretto a ogni parte di Windows, anche quelle più nascoste.

Sebbene Microsoft affermi che i suoi aggiornamenti di Windows aggiungono nuovi driver dannosi a una blocklist scaricata dai dispositivi. Ars Technica ha riscontrato che questi aggiornamenti non sono mai stati effettivamente bloccati e tale lacuna nella copertura ha lasciato gli utenti vulnerabili.

Attacchi di questo genere sono noti ed esistono diversi casi simili scovati anche in tempi recenti. Ad esempio quello relativo al ransomware BlackByte individuato ad agosto in un driver utilizzato dall’utility di overclocking, MSI AfterBurner, o quello relativo alla vulnerabilità nel driver anti-cheat del gioco Genshin Impact. Ci sono molteplici casi simili e molto spesso vengono identificati solamente a posteriori.

Eppure il nodo cruciale della questione è che Microsoft avrebbe dovuto proteggere il sistema grazie all’hypervisor (HVCI). Questo sistema di protezione secondo la società è abilitato per impostazione predefinita su alcuni dispositivi Windows.

Tuttavia, sia Ars Technica che Will Dormann, analista di vulnerabilità senior presso la società di sicurezza informatica Analygence, hanno scoperto che questa funzionalità non fornisce una protezione adeguata contro i driver dannosi.