Gallina vecchia fa buon brodo, ma non altrettanto si può dire di un bug, cioè un errore di programmazione, che affligge Windows da ben 14 (quattordici) anni. E sì, affligge anche il nuovo, bello e fortunato Windows 10. Il team di ricercatori composto da Xiaoran Wang, Sergey Gorbaty, Hormazd Billimoria, Angelo Prado, Anton Rager e Jonathan Brossard ha presentato la scoperta al recente Black Hat 2015 di Las Vegas. E sembra chiaro che si tratti di una falla di sicurezza piuttosto corposa. Cerchiamo di capire perché.
Il principale motivo è che si tratta del primo attacco reale a Spartan, il nuovo browser di Windows 10. Sfruttando questa falla di sicurezza, infatti, è possibile accedere a un computer direttamente dal web, senza nemmeno la briga di utilizzare un qualche malware. Come può succedere una cosa del genere? Tutto ha inizio nel 2001, quando si scopre un errore di progettazione del protocollo SMB (Server Message Block) sfruttato da Microsoft nel suo sistema operativo per condividere file e periferiche in una rete di computer.
Il Server Message Block, sviluppato da IBM nel 1984, è utilizzato anche in altri sistemi operativi, ma tra le modifiche che Microsoft apporta al protocollo, per poi inserirlo a partire da Windows NT 4.0, una si dimostra vulnerabile ad attacchi sferrati via Internet. Ovviamente, l’azienda di Redmond è subito corsa ai ripari, turando alla bell’e meglio la falla, ma i ricercatori hanno scoperto ancora una certa debolezza del sistema. A partire da questa, hanno dunque confezionato un nuovo tipo d’attacco, chiamandolo, con un pizzico d’ironia, French Kiss Attack.
La dimostrazione dell’attacco si basa su due installazioni di Windows. Una con Windows 7 a 64 bit e una con Windows 10, in modo da testare la vulnerabilità sia sul “vecchio” Internet Explorer sia sul nuovo browser Spartan. Semplificando ai massimi livelli, l’attacco forza il sistema SMB a rilasciare i dati di accesso al sistema di appartenenza. Ovviamente, per motivi di sicurezza, questi dati sono criptati, ma una volta intercettati e memorizzati in un file di testo, i ricercatori hanno tutto il tempo di decodificarli. Anche perché la protezione è basata su NTLM, un vecchio algoritmo di crittazione un po’ deboluccio, che si scardina in pochi giorni se si ha a disposizione un buon hardware.
Da questa descrizione forse non emerge a sufficienza la pericolosità di questa falla. Innanzitutto, perché non è necessario alcun magheggio per sfruttarla. Basta qualche pagina HTML confezionata ad arte, un po’ di tempo, e l’attacco è fatto. E poi per l’applicazione pratica: coi dati ottenuti ci si può collegare alla macchina senza problemi, prendendone il controllo.
Soluzioni? I ricercatori, ovviamente, ne hanno proposte alcune. La prima riguarda una maggiore accortezza da parte dei sistemisti di rete, mentre la seconda è di utilizzare un buon firewall che blocchi alcuni dei dati che sfruttano il protocollo SMB. E per rendere dura la vita di eventuali criminali informatici capaci di sottrarre di dati autenticazione col French Kiss Attack, utilizzare password di lunghezza superiore ai 9 caratteri.
Riccardo Meggiato
Articolo distribuito con licenza Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License.
Nessun commento:
Posta un commento