Come ben sappiamo ad ottobre 2017 Microsoft ha introdotto una funzionalità anti-ransomware in Windows Defender denominata “Accesso alle cartelle controllato“: un ricercatore ha scoperto un modo per eludere questa protezione, vediamo come.
Potresti leggere: Come attivare la protezione contro i ransomware in Windows Defender
Accesso alle cartelle controllato: come funziona
Prima di vedere il metodo usato per eludere la protezione cerchiamo di capirne il funzionamento. La funzionalità prevede una lista di eseguibili predefiniti considerati sicuri le quali fanno parte di una “whitelist”, normalmente queste applicazioni sono di sistema e sviluppate direttamente da Microsoft. E’ possibile, ad ogni modo, aggiungere delle applicazioni manualmente grazie alla voce presente nel menù sottostante. Il problema riscontrato sta proprio nella lista di queste applicazioni “sicure”, vediamo perchè.
Le applicazioni Office sono tutte nella whitelist
Avete letto bene: Microsoft ha inserito tutte le app di Office nella whitelist, cosa che ha permesso al ricercatore di usare una di queste applicazioni per modificare la lista delle applicazioni attendibili.
Il ricercatore spagnolo Yago Jesus della SecurityByDefault ha pubblicato degli esempi in merito la questione: un ransomware potrebbe sfruttare questo metodo per infettare il computer, usando come veicolo di infezione un file di office allegato ad una qualsiasi email.
Microsoft è stata informata del problema ed ha indicato al ricercatore che implementerà e migliorerà la protezione integrata contro i ransomware per evitare lo sfruttamento di questo bypass, non considerandola però una vera vulnerabilità di sicurezza.
Rimane perciò fondamentale prestare molta attenzione agli allegati che riceviamo via email oltre a seguire i suggerimenti di questo articolo:
Linee guida e suggerimenti utili per la sicurezza online da Windows XP a Windows 10
Fonte ed approfondimento: MICROSOFT ANTI RANSOMWARE BYPASS (NOT A VULNERABILITY FOR MICROSOFT)