di Pierguido Iezzi

L’ultimo aggiornamento di Microsoft Defender permette al programma di scaricare malware. Ma davvero il cybercrime può sfruttare questa falla?

Solo la scorsa settimana un gruppo di esperti di cyber security aveva scoperto e pubblicato un rapporto nel quale descrivevano come un aggiornamento dell’antivirus Microsoft Defender per Windows 10 potrebbe essere – ironicamente – la chiave per permettere ai Criminal Hacker di scaricare malware sui computer bersaglio. Ma quanto è serio il problema, dobbiamo immediatamente rimuovere Windows Defender? La storia sembra dipendere dal fatto che un aggiornamento del Microsoft Anti-malware Service Command Line Utility (MpCmdRun.exe) ha attivato una funzionalità che permette al programma di scaricare file remoti. E questi potrebbero potenzialmente, essere di natura dannosa. Per testare l’ipotesi, i ricercatori hanno fatto proprio questo. Utilizzando il nuovo codice -DownloadFile dal comand prompt, come utente locale, hanno potuto utilizzare MpCmdRun.exe per scaricare lo stesso campione di ransomware WastedLocker utilizzato contro Garmin nell’ultimo grande caso di attacco di alto profilo.

Gli esperti di cyber security hanno testato il reale livello di minaccia, soprattutto in relazione agli attacchi living off the land (lotL), causato dall’update

Quanto confermato dagli esperti di cyber security apre una nuova via di attacco per il cybercrime, che deve essere presa sul serio.  Tuttavia, ci sono alcuni avvertimenti da valutare attentamente prima di preoccuparsi troppo del fatto che il sistema di sicurezza di Windows 10 abbia praticamente fatto un autogoal clamoroso. Il difetto sembra proprio essere perfetto per un attacco living off the land (LotL): l’uso di un file di sistema apparentemente genuino che può essere usato per attaccare un sistema senza avvertire l’utente. Nonostante questo, qualsiasi file dannoso scaricato utilizzando il codice -DownloadFile sarà comunque rilevato da Defender Antivirus e quindi bloccato dall’esecuzione. Infatti, un portavoce di Microsoft ha spiegato che “Nonostante questi rapporti, Microsoft Defender Antivirus e Microsoft Defender ATP proteggeranno comunque i clienti dal malware. Questi programmi rilevano i file dannosi scaricati nel sistema attraverso la funzione di download dei file antivirus”.

Il software è in grado di auto-proteggersi da sé stesso

La minaccia non si estende quindi all’effettivo aggiramento delle difese di Windows 10. Per scaricare un file in primo luogo è necessario accedere a un account utente locale, sia esso un amministratore o un utente limitato.  Infatti, il file dannoso non può a quanto sembra essere scaricato nella cartella di un altro utente o in quelle directory per le quali l’aggressore non aveva privilegi di scrittura. Il che significa che l’escalation dei privilegi non sembra possibile in questo caso. Insomma, anche se il possibile exploit fornisce agli amministratori di Windows 10 un altro .exe da tenere d’occhio e agli aggressori un’ulteriore arma da sfruttare potenzialmente, non è esattamente una minaccia che non ci farà dormire la notte. La finestra di attacco è a dir poco limitata e probabilmente si sarà chiusa completamente quando il prossimo aggiornamento di Microsoft Defender Antivirus verrà rilasciato.

Perché gli attacchi LotL sono usati dai Criminal Hacker

L’uso delle tattiche e degli strumenti di Living off the Land (LotL) da parte del cybercrime ha rappresentato una tendenza crescente nel panorama della cyber security negli ultimi tempi. Ma il concetto non è nuovo ed esiste già da 25 anni. I Criminal Hacker utilizzano questi strumenti per alcuni motivi, spesso nel tentativo di nascondere la loro attività: sperano che la loro attività sia nascosta in un mare di processi legittimi. Oltre a permettere agli aggressori di operare in modo furtivo, l’utilizzo degli strumenti LotL significa che spesso è difficile per gli esperti di sicurezza determinare chi c’è dietro l’attività dannosa anche una volta scoperta. I Criminali cibernetici, infatti, sono generalmente identificati dal tipo di malware che utilizzano, con gruppi più sofisticati come gli APT che spesso utilizzano codici custom. Il che rende facile identificare se sono dietro a determinate attività. Tuttavia, se un attacco viene effettuato utilizzando gli strumenti LotL e un malware non personalizzato, è molto più difficile determinare chi potrebbe essere dietro tale attività.