17 Maggio 2018
L'ultimo Patch Tuesday di Microsoft, quello dell'11 aprile 2017, è stato particolarmente importante per gli utenti Office, perché chiude una falla di sicurezza molto pericolosa di Word scoperta ben nove mesi fa. Microsoft ne era a conoscenza da sei mesi.
La vulnerabilità era stata scoperta inizialmente dal ricercatore Ryan Hanson, consulente di sicurezza presso Optiv Inc, intorno a luglio 2016, e notificato a Microsoft nel mese di ottobre 2016 - tempo che Hanson ha impiegato per perfezionare la propria ricerca e scovarne i risvolti più pericolosi. Permetteva la connessione automatica a un server remoto semplicemente aprendo dei documenti Word opportunamente modificati.
Sei mesi sono un tempo molto lungo per gli standard del settore, in cui la prontezza di risposta è uno dei fattori principali. In genere le falle di sicurezza vengono chiuse nel giro di settimane, nei casi migliori giorni. In questo specifico frangente, però, Microsoft, non essendo a conoscenza di alcun caso di attacco che sfruttasse la vulnerabilità, ha deciso di prendersi del tempo per investigare bene a fondo sulla natura del problema, rilasciando alla fine una patch in grado di risolvere un numero di vulnerabilità superiori a quella trovata in origine.
Microsoft avrebbe potuto agire con più rapidità e proporre una soluzione palliativa, ma così facendo avrebbe rivelato agli hacker malintenzionati l'esistenza della falla, i quali avrebbero potuto cercare metodi nuovi per sfruttarla.
Il problema è che, con il passare dei tempi, la falla è stata scoperta comunque, e da gennaio hanno iniziato a circolare diversi attacchi che sfruttano. Diversi ricercatori hanno iniziato ad avvisare Microsoft, tra cui McAfee. Per qualche motivo Microsoft ha però smesso di comunicare con McAfee, che ha quindi rivelato pubblicamente i dettagli dell'exploit, incrementando così esponenzialmente la diffusione globale degli attacchi basati su di esso. Quest'ultimo sviluppo è avvenuto il 7 aprile, pochi giorni prima del Patch Tuesday.
Appurata la natura estremamente pericolosa dell'attacco - e stabilendo quindi che è consigliabile provvedere ad aggiornare il proprio Office con la massima tempestività - il caso della vulnerabilità CVE-2017-0199 ci offre uno spunto interessante per riflettere sull'estrema complessità del settore della sicurezza informatica, e sul precario equilibrio tra velocità e qualità in cui gli sviluppatori operano costantemente. È addirittura possibile che la questione non si chiuderà qui, e che avrà risvolti giudiziari. Staremo a vedere.
Commenti
Brava Microsoft, avresti potuto essere veloce invece hai fatto infestato milioni di pc in tutto il mondo... Grazie
Chiudere un exploit? Sarebbe come chiudere un piede di porco.
Ma ormai in italiano verbi come scendere o uscire stanno diventando transitivi...
??????
microsoft=senza senso
9 mesi? inconcepibile!!!!!
deduzione da blog di paese
Basta che non accada come per flashback su Mac
Approccio sbagliato: prima di tappa la falla, poi si indaga.
E' inutile dire che forse gli hacker avrebbero potuto individuare nuove vulnerabilità: si sta mantenendo una falla aperta nell'ipotesi che ce ne siano altre. E' un discorso privo di senso.
" ha deciso di prendersi del tempo per investigare bene a fondo "
ma questa è una deduzione o hanno proprio affermato così?
Puah, Microsoft non riesce nemmeno a tappare una falla in uno dei loro prodotti di punta in un tempo accettabile!!