Dopo la Apple, anche Windows 10 si scopre vulnerabile ad un particolare tipo di attacco a base di script PowerShell malevoli. Il punto debole risiede in Anti-Malware Scan Interface (AMSI), la nuova tecnologia che è stata introdotta con il nuovo OS per facilitare la scansione standardizzata del file tramite il software antivirale locale. AMSI può essere utilizzato per bloccare attività sospette ed è progettato per gestire, in particolare, la scansione degli script (PowerShell ed altri) e può essere usata da altre applicazioni per richiedere all’antivirus di analizzare un file dopo l’esecuzione.
L’applicazione, infatti, non è in grado di gestire il carattere null, la cui eventuale presenza in un file interrompe immediatamente la scansione. Un malintenzionato potrebbe nascondere del codice dopo il carattere, permettendo così allo script malevolo di passare inosservato ai controlli.
La Microsoft ha già ovviato al problema buttando fuori la patch con gli ultimi aggiornamenti mensili. Ad ogni modo ricordiamoci che la difesa in profondità è sempre la migliore strategia come ad esempio la rimozione di privilegi amministrativi da parte degli utenti e la protezione antivirus.
Il CSG è a disposizione per ulteriori chiarimenti, interventi di supporto, fornitura di antivirus e installazione della patch.