Alessandro Giovannini
L’azienda di Redmond si rifiuta di commentare sulla possibilità che i suoi applicativi possano essere vittima di due spyware che si stanno diffondendo a macchia d’olio.
Nell scorse settimane sono emerse particolari vulnerabilità in due librerie di codice utilizzato da svariati applicativi, web e non, su sistemi operativi Windows e Mac OS. Le libreria in questione sono libwebp e libvpx. Della prima, in particolare, vi avevo parlato la scorsa settimana in virtù del fatto che fu Google a rendersi conto del pericolo, intervenendo per correggere la falla che minacciava seriamente la sicurezza di Chrome, il cui framework Electron ricorre proprio a tale libreria per eseguire il rendering dei file webp, un recente formato di file immagine la cui leggerezza ben si presta alla pubblicazione web; libvpx invece è una libreria software atta alla riproduzione web dei codec video VP8 e VP9, due formati largamente utilizzati in virtù del loro alto fattore di compressione.
Trattandosi di librerie ampiamente utilizzate su ogni computer che svolga compiti riguardanti Internet, i software a rischio compromissione sono numerosi: Skype, Teams, Edge… solo per citare i programmi di casa Microsoft. L’azienda di Redmond però all’oggi non ha ancora dichiarato se tali vulnerabilità siano state effettivamente sfruttate da spyware, né se abbia effettivamente modo di verificarlo.
Zero-days
Le vulnerabilità delle librerie libwebp e libvpx sono di una tipologia che in gergo viene definita zero-days: questa denominazione sta a significare che, da parte dello sviluppatore, non vi è possibilità di accorgersi del pericolo e quindi correggere il problema in anticipo, ma solo una volta che il problema si riscontra. I primi ad accorgersi della loro esistenza sono stati i ricercatori di Google e Citizen Labs, un laboratorio dell’Università di Toronto. I primi report ne hanno subito sottolineato la pericolosità, poiché tali librerie non sono presenti solamente nei computer, ma anche negli smartphone, tramite browser e/o app di vario tipo. Inoltre ci sono stati casi verificati in cui tali vulnerabilità sono state sfruttate da malintenzionati che sono penetrate nei sistemi di alcuni individui tramite spyware.
La pericolosità di tale breccia è tale da portare ai cosiddetti zero-click attack, ovvero attacchi informatici che non richiedono azioni concrete da parte dell’utente il cui dispositivo viene hackerato. In pratica, i malintenzionati possono limitarsi a sfruttare queste vulnerabilità per insinuarsi nel dispositivo di un malcapitato senza che quest’ultimo faccia nulla di particolare per favorirne involontariamente l’ingresso. Citizen Lab ha raccolto prove di attacchi di questo tipo condotti su dispositivi Apple, compreso un recentissimo modello di iPhone regolarmente aggiornato.
Levata di scudi
Apple è corsa ai ripari il più velocemente possibile, rilasciando la scorsa settimana un aggiornamento di sicurezza per iOS e iPadOS che ha corretto il bug riguardante libvpx. Altre contromisure sono state prese da Google, che ha rilasciato della patch di aggiornamento fin dal mese scorso per arginare il rischio falla di libwebp su proprio browser Chrome, strada seguita poco tempo dopo anche da Mozilla. Insomma le grandi aziende tech si sono fortunatamente rese conto ben presto della gravità del problema, attivandosi per porvi rimedio. E Microsoft?
L’azienda di Redmond ha riconosciuto la gravità delle vulnerabilità in oggetto, che riguardano anche i suoi applicativi, e ha rilasciato un comunicato nel quale ha dichiarato di aver implementato le correzioni necessarie per renderli nuovamente sicuri. Lo ha reso noto con un comunicato ufficiale pubblicato sul Microsoft Security Response Center:
Microsoft è consapevole dell’esistenza di vulnerabilità inerenti due software open-source, CVE-2023-4863 and CVE-2023-5217, e ha rilasciato delle patch correttive. Nel corso delle nostre indagini abbiamo scoperto che tali vulnerabilità hanno interessato gruppi distinti di applicazioni di nostra proprietà, che dettagliamo di seguito:
CVE-2023-4863
– Microsoft Edge
– Microsoft Teams for Desktop
– Skype for Desktop
– Webp Image Extensions (rilasciata su Windows e aggiornata tramite Microsoft Store)CVE-2023-5217
– Microsoft Edge – Microsoft’s Response to Open-Source Vulnerabilities – CVE-2023-4863 and CVE-2023-5217 – 2 ottobre 2023
Tutto risolto, quindi? Nì, nel senso che Microsoft si è “dimenticata di specificare” una dettaglio fondamentale, ovvero se abbia contezza di casi verificatisi di effettivi exploit di dispositivi tramite spyware che abbiano sfruttato queste vulnerabilità. In caso affermativo, l’azienda dovrebbe quantomeno fornire dei dati quantitativi e qualitativi, specificando ad esempio se ci siano stati paesi particolarmente colpiti. In caso negativo, inoltre, Microsoft dovrebbe dichiarare se non ha riscontrato casi perché non ve ne sono stati o perché non dispone di strumenti per verificarlo. In questo secondo caso, l’evidente problema sarebbe che potrebbe esserci un numero imprecisato di dispositivi infetti di cui nessuno ha potuto o potrà rendersi conto, fintato che non saranno compromessi.
Insomma anche se le difese sono state alzate, il rischio è che Microsoft abbia chiuso il recinto quando tutti i buoi sono già scappati. Sarebbe il caso che chiarisse il prima possibile questo particolare, non certo di poco conto.