Il bug nel framework .NET che aveva facilitato la diffusione della minaccia si basava su uno zero-day a livello di sistema. Ora chiuso
Microsoft ha rilasciato la patch di settembre che tappa una falla fondamentale di Windows, quella che aveva permesso la diffusione dello spyware FinSpy. A scoprire il problema era stata l’agenzia di sicurezza FireEye, che l’aveva considerata estremamente critica a causa della possibilità che terzi potessero prendere il controllo completo del sistema per installare programmi, cancellare dati e creare account con diritti di amministratore. Il team di Microsoft non era a conoscenza della vulnerabilità, indicata come zero-day. Stando a FireEye, l’exploit è stato distribuito tramite un documento maligno di Office in formato RTF che, una volta aperto, avviava il caricamento del famoso software di spionaggio, tramite una porta aperta (e qui il buco) nel framework .NET.
Cosa succede
Le prime indagini di FireEye farebbero risalire la minaccia ad hacker russi, per la lingua utilizzata nella compilazione. Diverse copie dello spyware sono state inoltre vendute in passato da Gamma Group, un’azienda di firma britannica-tedesca a clienti appartenenti al mondo delle forze dell’ordine, sempre interessati a scovare nuovi metodi per intercettare specifici obiettivi. Se una delle vie di ingresso di FinSpy nei computer è stata chiusa non è detto che non ne esistano altre in grado di essere sfruttate da spioni e criminali. Come fatto notare da Trend Micro, l’opera di patching di Redmond si è intensificata di recente, interessando anche altre piattaforme del gruppo, come gli HoloLens. In quest’ultimo caso, la compagnia ha tappato la vulnerabilità BroadPwn, la stessa che aveva preso di mira i device iOS e Android. Sono in tutto 81 le patch inserite nell’ultimo aggiornamento di settembre, tese a rendere più sicuri Windows, Internet Explorer, Edge, Exchange, .NET framework, Office e Hyper-V.
