Un partner di Microsoft ha distribuito codice pericoloso. Lo afferma la stessa azienda, dopo che inizialmente si era pensato che la fuga di dati avesse avuto origine direttamente dentro all'azienda di Redmond.
La storia è cominciata lo scorso maggio, quando Luigi Auriemma scovò un bug in Windows, per poi spedirne la relativa documentazione a Microsoft qualche mese dopo. L'azienda ha poi pubblicato un aggiornamento correttivo la settimana scorsa, esattamente il 13 marzo.
Kaiser Soze è tra i sospetti
Tutto normale fino a qui. La sorpresa sta nel fatto che, come ha scoperto lo stesso Auriemma, qualcuno ha pubblicato online "una proof-of-concept elementare e mal scritta" che conteneva esattamente lo stesso codice mandato dal ricercatore a Microsoft. Non si trattava quindi di qualcuno che era giunto alla stessa conclusione, ma della diffusione non autorizzata del codice originale.
Microsoft esclude che le informazioni possano essere fuoriuscite dalla propria struttura, e l'ipotesi di un attacco è poco probabile. Non resta che cercare tra i partner dell'azienda: Microsoft infatti trasmette questo tipo d'informazioni ai collaboratori del programma MAPP (generalmente aziende che producono antivirus e simili), così che possano lavorarci e aggiornare i propri prodotti.
Ed è proprio contro uno di questi partner che si finirà per puntare il dito, sempre se le indagini porteranno a qualche conclusione rilevante.
Tutto considerato Auriemma si dice contento. "Visto che la prima proof-of-concept è proprio il mio pacchetto originale non c'è un vero vincitore (nella corsa alla creazione dell'exploit, NdR) … anzi, sembra che il vincitore sia io stesso", scrive sul suo blog.
Ma soprattutto il ricercatore ha scritto una considerazione, prima della dichiarazione di Microsoft, molto intensa. "Se l'autore della fuga è uno dei partner MAPP, è il fallimento epico di tutto il sistema, che cosa ti aspetti se dai la PoC ai tuoi partner super affidabili?".
Al momento gli exploit noti non producono altro che un crash di sistema e la nota schermata blu di Windows, ma "il fatto che non sia noto un public remote code execution exploit (RCE) non significa che non esista, ma solo che nessuno ha interesse nel pubblicarlo, perché chi investe tempo e risorse nello sfruttare una falla ha un vero interesse nel farlo (accedere a un sistema per ragioni economiche o di altro genere)", conclude Auriemma.
"Se un exploit RCE non è affidabile al 100% o fallisce per ragioni tecniche allora abbiamo solo un crash (una BSOD in questo caso), ma se funziona correttamente la vittima non vede quasi nulla, e nel caso di bug che danno privilegi del massimo livello come questo è persino possibile restare completamente nascosti nel sistema (non sto dicendo che sia facile, solo che è tecnicamente possibile)".
Una "regola generale da tenere a mente" dice Auriemma. E di certo chi ha avuto a disposizione queste informazioni e ne ha permesso la fuga la conosceva piuttosto bene. E se è vero che per la maggior parte di noi non esiste alcun pericolo immediato, se il sistema operativo è aggiornato, lo è anche il fatto che ma da un punto di vista di sicurezza "reale" questa cosa e' stata davvero gravissima. Dopotutto in un modo o nell'altro tutto e' partito da Microsoft stessa", ci ha spiegato Auriemma via posta elettronica.