Microsoft ha pubblicato in queste ore un bollettino di sicurezza relativo ad un nuovo bug che interessa varie versioni di Windows, tra cui XP SP3, Vista SP2 ed anche Windows 7 SP1 beta.
L'azienda di Redmond spiega che questa vulnerabilità è causata "da una cattiva analisi delle scorciatoie, che può determinare l'esecuzione di codice malevolo quando l'utente clicca sull'icona di una scorciatoia modificata". Questo bug sarebbe in particolare sfruttato da un malware denominato Stunxnet inizialmente individuato dal team di sicurezza VirusBlokAda. Questo rootkit funziona anche in modalità di esecuzione automatica: basta collegare una chiavetta USB infettata e aprire il contenuto con Esplora Risorse di Windows (o qualsiasi altra utility) per generare l'attacco.
L'attacco è caratterizzato dall'inserimento di un file .dll, nascosto sotto due file mrxnet.sys e mrxcls.sys. Questi ultimi avrebbero ottenuto un certificato convalidato da Verisign per il produttore RealTek. Ciò permette l'introduzione di codice nei processi di sistema. Microsoft precisa che se l'utente è loggato come amministatore di sistema, l'hacker potrebbe prendere il controllo della macchina per installare un software, consultare, modificare o cancellare dati o creare altri account da amministratore.
Per questa ragione, un utente collegato come semplice guest sul suo computer è ritenuto meno vulnerabile. Gli esperti di F-Secure aggiungono che il rootkit sarebbe capace di diffondersi su altri supporti collegati in USB ma anche su storage di Rete collegati in WebDav attraverso il servizio WebClient di Windows. E' consigliato quindi chiudere questo servizio e disattivare la visualizzazione delle icone per scorciatoie. Non sappiamo se Microsoft rilascerà un correttivo prima del suo prossimo Patch Tuesday previsto per il 10 agosto prossimo.
