Windows sotto attacco, c'è una falla ma manca la patch. Come provare a proteggersi

Una nuova vulnerabilità "zero day" colpisce Windows 10 e non solo. Microsoft ha rilevato in un bollettino che malintenzionati stanno sfruttando attivamente una falla nel sistema operativo - di livello critico - per prendere controllo dei computer su cui è installato. Al momento non è ancora stata emessa una patch per risolvere il bug di sicurezza, per cui tutti i PC sono potenziali prede di quelli che sono stati definiti come attacchi "limitati" e "mirati".

Il problema è legato alla libreria Adobe Type Manager (ATMFD.DLL), che Microsoft usa per riprodurre i caratteri PostScript Type 1 all'interno di Windows. L'azienda statunitense ha scoperto che ci sono due falle RCE - remote code execution, esecuzione di codice da remoto - all'interno della libreria in questione che consentono a malintenzionati di far girare codice sui sistemi e agire come se ne fossero i proprietari.

Tutte le versioni attualmente supportate di Windows e Windows Server sono vulnerabili - tra i colpiti rientra anche Windows 7, il cui supporto è terminato a metà gennaio. "Ci sono diverse modalità in cui un malintenzionato può sfruttare la falla, come convincere un utente ad aprire un documento preparato ad hoc o vederlo nel riquadro di anteprima di Windows".

Come scritto in apertura, una patch non è ancora disponibile, ma potrebbe arrivare con il Patch Tuesday del mese prossimo, attualmente previsto per il 14 aprile. Non è da escludere però che l'azienda acceleri il passo, più volte sono stati distribuiti correttivi di sicurezza al di fuori delle tempistiche canoniche. Microsoft nel frattempo ha pubblicato una serie di azioni per mitigare il problema:

• Disabilitare Riquadro di Anteprima e Riquadro dettagli in Windows Explorer (Esplora File)
• Disabilitare il servizio WebClient
• Rinominare ATMFD.DLL

La prima misura impedisce di visualizzare automaticamente i font OpenType, impedendo alcuni tipi di attacco. Attuarla è semplice: aprite Esplora File, cliccate sulla scheda Visualizza, togliete la selezione da Riquadro di anteprima e Riquadro dettagli. Cliccate poi su Opzioni (sulla destra della schermata), poi sulla scheda Visualizzazione e nelle "Impostazioni Avanzate" selezionate "Mostra sempre le icone, mai le anteprime". Chiudete poi tutte le istanze aperte di Esplora File affinché il cambiamento abbia effetto.

Disabilitare il servizio WebClient blocca i vettori di attacco che i malintenzionati di solito usano per sfruttare exploit da remoto. Ciò però non chiude tutte le porte e potrebbe creare qualche problema all'esperienza utente, con la necessità di confermare l'apertura di programmi arbitrari da Internet. Microsoft ha dichiarato che disattivare WebClient impedisce la trasmissione di "Web Distributed Authoring e Versioning", bloccando inoltre l'avvio di tutti i servizi che dipendono esplicitamente da WebClient e registrano i messaggi di errore nel registro di sistema.

Cambiare infine nome a ATMFD.DLL (libreria non è presente in Windows 10 versione 1709 e successive) porta a problemi di visualizzazione nelle applicazioni che sfruttano i caratteri integrati e potrebbe impedire ad alcune app di funzionare se usano font OpenType. Nel suo bollettino Microsoft parla anche di agire sul registro del sistema, ma è un'operazione complessa che potrebbe condurre, se non fatta a dovere, alla totale reinstallazione di Windows.