Spyware+e+virus%2C+aumentano+gli+attacchi+%7C+Microsoft+alza+gli+scudi%2C+ma+forse+%C3%A8+troppo+tardi
player
/tech/537084-microsoft-no-comment-su-rischio-spyware.html/amp/
Tech

Spyware e virus, aumentano gli attacchi | Microsoft alza gli scudi, ma forse è troppo tardi

L’azienda di Redmond si rifiuta di commentare sulla possibilità che i suoi applicativi possano essere vittima di due spyware che si stanno diffondendo a macchia d’olio.

Nell scorse settimane sono emerse particolari vulnerabilità in due librerie di codice utilizzato da svariati applicativi, web e non, su sistemi operativi Windows e Mac OS. Le libreria in questione sono libwebp e libvpx. Della prima, in particolare, vi avevo parlato la scorsa settimana in virtù del fatto che fu Google a rendersi conto del pericolo, intervenendo per correggere la falla che minacciava seriamente la sicurezza di Chrome, il cui framework Electron ricorre proprio a tale libreria per eseguire il rendering dei file webp, un recente formato di file immagine la cui leggerezza ben si presta alla pubblicazione web; libvpx invece è una libreria software atta alla riproduzione web dei codec video VP8 e VP9, due formati largamente utilizzati in virtù del loro alto fattore di compressione.

Entrano dalle f*****e librerie!

Trattandosi di librerie ampiamente utilizzate su ogni computer che svolga compiti riguardanti Internet, i software a rischio compromissione sono numerosi: Skype, Teams, Edge… solo per citare i programmi di casa Microsoft. L’azienda di Redmond però all’oggi non ha ancora dichiarato se tali vulnerabilità siano state effettivamente sfruttate da spyware, né se abbia effettivamente modo di verificarlo.

Zero-days

Le vulnerabilità delle librerie libwebp e libvpx sono di una tipologia che in gergo viene definita zero-days: questa denominazione sta a significare che, da parte dello sviluppatore, non vi è possibilità di accorgersi del pericolo e quindi correggere il problema in anticipo, ma solo una volta che il problema si riscontra. I primi ad accorgersi della loro esistenza sono stati i ricercatori di Google e Citizen Labs, un laboratorio dell’Università di Toronto. I primi report ne hanno subito sottolineato la pericolosità, poiché tali librerie non sono presenti solamente nei computer, ma anche negli smartphone, tramite browser e/o app di vario tipo. Inoltre ci sono stati casi verificati in cui tali vulnerabilità sono state sfruttate da malintenzionati che sono penetrate nei sistemi di alcuni individui tramite spyware.

Gli spyware Zero-days sono i più pericolosi

La pericolosità di tale breccia è tale da portare ai cosiddetti zero-click attack, ovvero attacchi informatici che non richiedono azioni concrete da parte dell’utente il cui dispositivo viene hackerato. In pratica, i malintenzionati possono limitarsi a sfruttare queste vulnerabilità per insinuarsi nel dispositivo di un malcapitato senza che quest’ultimo faccia nulla di particolare per favorirne involontariamente l’ingresso. Citizen Lab ha raccolto prove di attacchi di questo tipo condotti su dispositivi Apple, compreso un recentissimo modello di iPhone regolarmente aggiornato.

Levata di scudi

Apple è corsa ai ripari il più velocemente possibile, rilasciando la scorsa settimana un aggiornamento di sicurezza per iOS e iPadOS che ha corretto il bug riguardante libvpx. Altre contromisure sono state prese da Google, che ha rilasciato della patch di aggiornamento fin dal mese scorso per arginare il rischio falla di libwebp su proprio browser Chrome, strada seguita poco tempo dopo anche da Mozilla. Insomma le grandi aziende tech si sono fortunatamente rese conto ben presto della gravità del problema, attivandosi per porvi rimedio. E Microsoft?

Le difese sono state attivate troppo tardi?

L’azienda di Redmond ha riconosciuto la gravità delle vulnerabilità in oggetto, che riguardano anche i suoi applicativi, e ha rilasciato un comunicato nel quale ha dichiarato di aver implementato le correzioni necessarie per renderli nuovamente sicuri. Lo ha reso noto con un comunicato ufficiale pubblicato sul Microsoft Security Response Center:

Microsoft è consapevole dell’esistenza di vulnerabilità inerenti due software open-source, CVE-2023-4863 and CVE-2023-5217, e ha rilasciato delle patch correttive. Nel corso delle nostre indagini abbiamo scoperto che tali vulnerabilità hanno interessato gruppi distinti di applicazioni di nostra proprietà, che dettagliamo di seguito:

CVE-2023-4863

– Microsoft Edge
– Microsoft Teams for Desktop
– Skype for Desktop
– Webp Image Extensions (rilasciata su Windows e aggiornata tramite Microsoft Store)

CVE-2023-5217

– Microsoft Edge

Microsoft’s Response to Open-Source Vulnerabilities – CVE-2023-4863 and CVE-2023-5217 – 2 ottobre 2023

Tutto risolto, quindi? Nì, nel senso che Microsoft si è “dimenticata di specificare” una dettaglio fondamentale, ovvero se abbia contezza di casi verificatisi di effettivi exploit di dispositivi tramite spyware che abbiano sfruttato queste vulnerabilità. In caso affermativo, l’azienda dovrebbe quantomeno fornire dei dati quantitativi e qualitativi, specificando ad esempio se ci siano stati paesi particolarmente colpiti. In caso negativo, inoltre, Microsoft dovrebbe dichiarare se non ha riscontrato casi perché non ve ne sono stati o perché non dispone di strumenti per verificarlo. In questo secondo caso, l’evidente problema sarebbe che potrebbe esserci un numero imprecisato di dispositivi infetti di cui nessuno ha potuto o potrà rendersi conto, fintato che non saranno compromessi.

Insomma anche se le difese sono state alzate, il rischio è che Microsoft abbia chiuso il recinto quando tutti i buoi sono già scappati. Sarebbe il caso che chiarisse il prima possibile questo particolare, non certo di poco conto.

This post was published on 10 Ottobre 2023 20:30

Alessandro Giovannini

Puoi scrivermi in modo sicuro a: alessandro.giovannini.1990@proton.me Cinema e videogiochi: le mie due più grandi passioni. Da bambino mi alzavo presto la mattina per giocare con il Sega Mega Drive II prima di andare a scuola; passavo i pomeriggi a guardare Terminator 2 fino a consumare il nastro della VHS; impiegavo le serate a cimentarmi nelle avventure grafiche di Lucas Arts su un glorioso PC con Windows 95 in compagnia di mio fratello. Poi è venuta la laurea in cinema, nonché le esperienze di redattore presso siti di informazione cinematografica e gaming. Su Player mi sono specializzato in analisi di mercato e monografie su developers e franchise storici della gaming industry. Ho anche lanciato la newsletter Gamer's Digest che offre una rassegna settimanale della principali novità dell'industria del gaming. Primo videogioco: The Adventures of Captain Comic (DOS) Videogioco console casalinga preferito: Final Fantasy VII (PSX) Videogioco console mobile preferito: Advance Wars (GBA) Piattaforme di gioco possedute: Super Famicom, Game Boy Color, Mega Drive II, PSX, PS2, PS3, PS4, Xbox One S, PC.

Pubblicato da

Recent Posts

Il prossimo Google Maps sarà il migliore di sempre grazie a Pokémon Go

Il sistema di geolocalizzazione migliorerà sempre di più e questo sarà possibile grazie a Pokémon…

Questo è il momento migliore per regalare e regalarti un Kindle: lo sconto Black Friday è esagerato

Il Black Friday può essere sfruttato a pieno dagli amanti della lettura ed è la…

Grande Fratello, rabbia della produzione: arriva la pesante punizione

Il Grande Fratello non ha personato il comportamenti degli inquilini della casa che si sono…

Final Fantasy: il capitolo più popolare della saga arriva su Android e iOS

La saga di Final Fantasy è pronta a tornare sul mercato mobile, questa volta con…

Si, Sony vuole veramente comprarsi Elden Ring (ma è ancora tutto da vedere)

Elden Ring potrebbe ben presto diventare un titolo di Sony: l'azienda molto vicina all'acquisto del…

Android 16, iniziano ad emergere i primi dettagli certi: cosa dobbiamo aspettarci

Android 16 è pronto a cambiare e anche nettamente tutti i nostri dispositivi appena sarà…