Microsoft ha annunciato il rilascio di una patch la prossima settimana per risolvere pericolose vulnerabilità trovate nel suo sistema operativo Windows, da Vista a Windows 10 (eccetto l’Anniversary Update).

Un gruppo di hacker, chiamato Strontium, che si è ritenuto inizialmente legato all’intelligence russa e sospettato dei recenti attacchi al comitato nazionale democratico degli Stati Uniti, ha recentemente sfruttato falle di sicurezza nel sistema operativo Windows per "condurre una piccola campagna di spear phishing", vale a dire un attacco mirato verso un individuo o una compagnia tramite email che potrebbero contenere informazioni sull’obbiettivo per avere maggiori probabilità di successo.

A renderlo noto è un post pubblicato da Terry Myerson, vice presidente esecutivo di Microsoft per Windows and Devices Group, secondo cui potenziali obiettivi della campagna del tipo spear phishing possono essere le imprese con versioni di Windows che risalgono a Vista. In caso di successo dell’attacco, gli hacker che utilizzano l’exploit potrebbero ottenere l’accesso al computer di una vittima. Anche Adobe Flash è stato trovato vulnerabile, ma Adobe ha gia’ risolto.

"Le patch per tutte le versioni di Windows sono ora in fase di sperimentazione da molti operatori del settore", ha detto Myerson.

Microsoft prevede di rendere disponibile la patch per l’8 novembre.

Gli exploit sono stati scoperti dal Threat Analysis Group di Google, e condivisi pubblicamente Lunedi 31 ottobre. Myerson ha definito la decisione di Google di condividere i dettagli delle vulnerabilità "deludente", aggiungendo che questa mossa mette i clienti di Windows a rischio. Infatti, solitamente una vulnerabilità viene resa pubblica una volta che una patch è gia’ stata rilasciata per risolverla, cosi’ eventuali malintenzionati ormai non possono piu’ sfruttarla. In questo caso, invece, Google ha rivelato l’exploit con un anticipo di una settimana rispetto al giorno in cui è previsto il rilascio di una patch, quindi fino a quando Microsoft non rilascerà la patch molte imprese e utenti di Windows sono a rischio.

Nella nota di Google in cui viene dettagliato l’exploit si legge che gli esperti di sicurezza hanno segnalato le vulnerabilità privatamente il 21 ottobre e Google dice che Adobe ha risolto i problemi cinque giorni più tardi. Microsoft sarebbe quindi ‘in ritardo’.

"Dopo 7 giorni, nel rispetto della nostra politica per la vulnerabilità critiche sfruttate attivamente, oggi riveliamo l’esistenza di una vulnerabilità critica in Windows per la quale non è stata rilasciata ancora alcuna correzione", hanno congiuntamente scritto Neel Mehta e Billy Leonard del team di Google. "Questa vulnerabilità è particolarmente grave perché sappiamo che è attivamente sfruttata."

Il gruppo di hacker individuato da Microsoft meglio conosciuto come "Fancy Bear" solitamente ha come obiettivi agenzie governative, istituzioni diplomatiche e organizzazioni militari per riuscire a rubare loro informazioni private.

"Strontium usa spesso account di posta elettronica compromessi, per esempio di una vittima per inviare dannosi messaggi di posta elettronica a una seconda vittima, e costantemente persegue obiettivi specifici per mesi fino a quando non riescono a compromettere il computer delle vittime", ha detto Myerson.

Cosa fare in attesa della patch? Sicuramente mantenere aggiornato il sistema operativo all’ultima versione. A rischio, ricordiamo, ci sono sono le versioni di Windows da Vista e successive ad eccezione dell’ultimo Windows 10 Aggiornamento Anniversario disponibile dallo scorso agosto.