Come può una sola email, che non avete neanche letto, infettare il vostro PC?

Ve l’abbiamo detto e ripetuto: mai cliccare su link sospetti, mai aprire file ricevuti da fonti sconosciute, cancellare sempre le email di mittenti non fidati. Tutti questi sono buoni consigli, ma non possono aiutarvi se state utilizzando Outlook poiché queste precauzioni non vi proteggeranno dalla vulnerabilità BadWinmail. Per essere infettati non occorre cliccare o aprire nulla: ricevete soltanto un’email e questo è quanto. In effetti, non dovete neanche aprirla questa email.

How’s that possible?

Se avete familiarità con Microsoft Office, probabilmente sapete che gli oggetti possono essere inseriti tra i file di MS Office. Non qualunque tipo di oggetti, ma la lista è piuttosto lunga. Viene chiamata tecnologia OLE, o Object Linking and Embedding (collegamento e incorporazione di oggetti).

Logo for #BadWinMail ? pic.twitter.com/gP45Iq3ShE

— Erlend Oftedal (@webtonull) December 16, 2015

È risultato che questa tecnologia funzioni non solo con DOC, XLS e così via, ma anche con la posta elettronica di Outlook. Inoltre, la sopramenzionata lista di oggetti includa, oltre a generico materiale di MS Office, anche belle cose come gli oggetti di Adobe Flash.

Sapete perché i cybercriminali amano tanto Flash? Perché ci sono un sacco di vulnerabilità. Alcuni di questi bug sono zero-days, ciò significa che sono privi di patch. Queste vulnerabilità possono essere sfruttate per fare al vostro PC alcune cose che sicuramente non vi piacerebbero.

Adobe Patches 23 Critical Vulnerabilities in Flash Player: https://t.co/ON2iKYKk5f via @threatpost pic.twitter.com/29dRbc5KTI

— Kaspersky Lab (@kaspersky) September 21, 2015

È un problema ben noto e per combatterlo, la maggioranza degli sviluppatori compie la stessa, semplice azione: consentono al contenuto Flash di funzionare nei loro software (per esempio, i browser) solo nelle cosiddette “sandbox”. Un codice dannoso può fare di tutto all’interno di queste sandbox, anche avviare una stravagante apocalisse informatica.

L’idea però è che non possa uscire dalla sandbox e non colpirà nulla al di fuori di esse, quindi i vostri file non saranno compromessi. Beh, perlomeno è per questo che sono state progettate: a volte questo trucchetto non funziona, ma non è questo il momento di parlarne, qui non è proprio il caso.

Se state aspettando per il terzo “è risultato che”, ci siete arrivati. È risultato che Outlook non utilizzi questo trucco delle sandbox per via di oggetti potenzialmente pericolosi e conduce tutto nella modalità normale. Significa che il codice dannoso tra gli oggetti inseriti può agire come ogni altro software che avete installato sul vostro PC.

Cos’è una vulnerabilità #BadWinmail e perchè è davvero dannosa

Tweet

Il problema non si conclude con queste tre brutte notizie. Outlook è così cortese che apre le email più recenti prima che lo facciate voi. Così se l’email dannosa con allegato l’exploit BadWinmail è l’ultima nella vostra casella di posta in arrivo, viene lanciato immediatamente con l’avvio di Outlook.

Haifei Li, ricercatore della sicurezza che ha scoperto il bug, ha creato la prova del concetto di un possibile attacco che sfrutta la vulnerabilità BadWinmail, come la chiama lui. Nelle sue ricerche lo descrive con parole sorprendentemente semplici.

Ha anche realizzato questo video relativamente breve, che spiega perfettamente l’idea centrale di come questa vulnerabilità funzioni davvero:

Special Report: #BadWinmail – The "Enterprise Killer" Attack Vector in #Microsoft #Outlook https://t.co/pOTNIh6bQs. https://t.co/BaDEBZXCSm.

— Haifei Li (@HaifeiLi) December 15, 2015

Per capire perché è veramente dannosa, immaginate soltanto che un ragazzaccio invece di aprire un’innocua app calcolatrice, avvii dei ransomware sul vostro PC.

La buona notizia è che Haifei Li ha denunciato questo bug a Microsoft e la compagnia ha risolto questo problema l’8 dicembre. La cattiva notizia è che le persone che non erano solite aggiornare velocemente i loro software hanno ancora questa vulnerabilità. E molti di loro ce l’avranno per settimane, mesi o anche anni.

#IT #Tip Disable the “remind me later” button to ensure critical updates installed https://t.co/jVKXcJ1vWm #infosec pic.twitter.com/KNnlnjk0Ej

— Kaspersky Lab (@kaspersky) November 5, 2015

Poiché il report è stato divulgato pubblicamente, un sacco di cybercriminali proveranno sicuramente a servirsi di questa vulnerabilità per infettare, tramite essa, migliaia o anche milioni di PC. E se vi siete mai chiesti  se è veramente così importante aggiornare sempre tutti i vostri software immediatamente e utilizzare software di sicurezza, suppongo che adesso abbiate delle buone ragioni per rispondere in modo affermativo.