La sicurezza informatica è un tema delicato, ne siamo tutti consapevoli, spesso per questo motivo ci affidiamo ciecamente alle soluzioni proposte dai colossi del settore; non avendo magari le conoscenze adeguate per spulciare tra i meandri di un sistema, ci limitiamo ad installare diligentemente gli aggiornamenti che ci vengono proposti, il che va più che bene, di solito. Sembra infatti che, a causa probabilmente di un errore, negli ultimi due anni Microsoft abbia esposto milioni di PC a potenziali attacchi malware.

Una falla di sicurezza ha permesso svariati attacchi malware tramite driver compromessi

Chiunque utilizzi un computer avrà sicuramente sentito parlare dei driver, sono quelle componenti software necessarie al corretto funzionamento del sistema associato ad una serie di periferiche, nonché necessarie per eseguire analisi sul funzionamento dell’hardware del computer. I driver per svolgere il loro lavoro necessitano di un collegamento diretto con il kernel, parte del sistema operativo in cui risiede codice sensibile, per questo motivo Microsoft richiede che tutti i driver contengano una firma digitale e un certificato, che attestino come questi provengano da una fonte attendibile.

Nonostante ciò, può capitare che anche dei driver attendibili contengano delle vulnerabilità, che consentirebbero agli hacker di infettare il kernel con del codice malevolo; questi driver, anche quando le vulnerabilità vengono successivamente risolte, rimangono degli ottimi candidati per mettere in atto attacchi BYOVD (bring your own vulnerable driver), in quanto contengono già una firma attendibile e risparmiano parecchio lavoro e tempo ai malintenzionati.

Per ovviare a questo tipo di pericoli, Microsoft dichiarò che Windows Update avrebbe regolarmente rilasciato non solo nuovi driver software, ma soprattutto delle liste aggiornate per bloccare l’installazione dei driver riconosciuti come compromessi (nonostante la firma digitale). Bè a quanto pare qualcosa non ha funzionato a dovere negli uffici del colosso di Redmond, visto che si è scoperto che queste liste non sono state aggiornate per tre anni.

Il mancato aggiornamento delle liste da parte di Microsoft ha portato, negli ultimi tempi, ad un incremento di attacchi malware condotti con la pratica BYOVD, incremento causato anche dal fallimento nel funzionamento delle altre tecniche di difesa: ci sono infatti altre due tecniche molto comuni per impedire che Windows consenta l’installazione di driver firmati ma compromessi, HVCY (Hypervisor-Protected Code Integrity) e ASR (Attack Surface Reduction), ma entrambe sembrano non aver funzionato correttamente nei numerosi attacchi malware portati a termine negli ultimi due anni.

Come già detto, Microsoft ha pubblicizzato le proprie soluzioni di sicurezza in questo frangente dal 2020, ma diversi attacchi in seguito hanno dimostrato che qualcosa non funziona; Peter Kálnai, ricercatore presso la società di sicurezza ESET, ha testato alcuni dei driver utilizzati per portare a termine gli attacchi di cui sopra, scoprendo come nonostante le rassicurazioni di Microsoft, Windows in realtà permettesse l’installazione dei driver compromessi. In seguito altri ricercatori, fra cui Will Dormann, hanno scoperto che alcuni di questi driver (già utilizzati per scopi illeciti) non erano nemmeno presenti nelle liste di blocco rilasciate da Microsoft, scoprendo inoltre che la blocklist dei driver per le macchine Windows 10 abilitate per HVCI non era stata aggiornata dal 2019 e la blocklist iniziale per Server 2019 includeva solo due driver.

In seguito alle incalzanti dimostrazioni degli sviluppatori, Microsoft ha ammesso l’errore, rilasciando un aggiornamento per distribuire gli aggiornamenti alla blocklist non rilasciati negli ultimi tre anni; tuttavia le indicazioni dell’azienda si rivolgono principalmente agli utenti aziendali.

È disponibile una soluzione più semplice per gli utenti comuni

Qualora foste preoccupati per il vostro computer non disperate, uno degli sviluppatori impegnati nelle dimostrazioni di cui sopra ha infatti creato e pubblicato uno script appositamente pensato per gli utenti consumer; per utilizzarlo sarà sufficiente aprire PowerShell come amministratore, copiare l’intero contenuto dello script di Dormann e incollarlo nella finestra di PowerShell utilizzando la classica combinazione di tasti Ctrl + V, in seguito digitate ApplyWDACPolicy -auto -enforce e premete invio.

La procedura è stata testata da diversi sviluppatori e si è confermata funzionante, macchine che precedentemente installavano driver noti come compromessi non sono più state in grado di farlo dopo aver eseguito lo script di cui sopra, ma ovviamente non c’è una certezza matematica che funzioni correttamente su tutti i computer.

Bisogna considerare che se Microsoft avesse correttamente aggiornato, come inizialmente dichiarato, le liste di blocco dei suddetti driver, probabilmente molti degli attacchi malware compiuti negli ultimi anni avrebbero avuto un esito negativo; inoltre se non fosse stato per l’insistenza di sviluppatori esterni all’azienda, probabilmente quelle liste non sarebbero state aggiornate ancora per molto. Insomma ben vengano gli aggiornamenti di sicurezza distribuiti dalle aziende, noi utenti comuni non possiamo fare altro che fidarci e seguire le istruzioni, sperando che Microsoft tragga insegnamento da questa esperienza e faccia più attenzione in futuro.

Potrebbe interessarti anche: Il nuovo malware “Chaos” sta infettando sempre più dispositivi Windows e Linux