BlueHammer continua a fare danni, e la cosa un po’ fa storcere il naso, visto che una patch per chiudere questa falla di Windows Defender gira già da diversi mesi. La vulnerabilità era saltata fuori in primavera, considerata subito parecchio pericolosa, e adesso arrivano segnalazioni che confermano come venga ancora usata con successo per portare avanti attacchi di tipo ransomware. Tradotto: non tutti hanno installato l’aggiornamento correttivo. A lanciare l’allarme è stata la Cybersecurity and Infrastructure Security Agency degli Stati Uniti, la famosa CISA.
Come funziona la falla e chi l’ha scoperta
A scoprire il problema è stato un ricercatore indipendente che si firma online come Nightmare Eclipse, un personaggio piuttosto discusso nell’ambiente. I suoi metodi, diciamo, non seguono proprio le cosiddette best practice del settore, tanto che è finito addirittura bannato da GitHub. Al di là delle polemiche sul suo modo di lavorare, quello che ha portato alla luce è tecnicamente serio.
Si tratta di una cosiddetta race condition, un errore che nasce quando due processi si accavallano nel momento sbagliato. Il risultato è che un malintenzionato riesce a ottenere, senza alcuna autorizzazione, privilegi di livello SYSTEM. Che poi sarebbe il livello più alto disponibile su Windows. Arrivati lì, non c’è molto altro da aggiungere: chi attacca ha il controllo completo della macchina infetta, senza limiti. Può fare praticamente quello che vuole.
Perché la patch c’è ma non basta
La parte che preoccupa di più è la semplicità con cui si può sfruttare questa vulnerabilità. Non servono strumenti complicati o competenze da esperti. Basta un piccolo script piazzato su una pagina Web, e il gioco è fatto. Una barriera d’ingresso bassissima, insomma, che spiega bene perché gli attacchi continuino a funzionare.
Eppure la soluzione esiste, ed è disponibile da un pezzo. Microsoft ha rilasciato la correzione il 14 aprile, attraverso i canali standard e regolari del sistema operativo. Niente di nascosto o difficile da reperire, quindi. In teoria Windows Update dovrebbe scaricare e installare tutto in automatico, senza che l’utente debba muovere un dito. E qui casca l’asino.
Perché è ormai risaputo che il passaggio più complicato, quando si tratta di sistemare una falla di sicurezza, non è tanto trovare la soluzione. È fare in modo che, una volta pubblicata, la patch venga effettivamente installata da tutti. Un aggiornamento correttivo che resta lì, ignorato su migliaia di computer, di fatto non serve a granché. E BlueHammer, con i suoi attacchi ransomware ancora in corso, ne è la dimostrazione lampante.