Ennesima querelle diplomatica tra Google e Microsoft sulle falle di sicurezza, con la corporation di Redmond impegnata a difendere il suo comportamento “responsabile” contro quello che, a suo dire, è stato un episodio fastidioso di rivelazione dei particolari delle vulnerabilità zero-day prima dell’arrivo di una patch.
I due bug incriminati sono stati scoperti dagli esperti di sicurezza di Google, riguardano il solito plugin Adobe Flash oltre al kernel di Windows e sono già attivamente sfruttati dai cyber-criminali per campagne di phishing mirate (spear-phishing) indirizzate a soggetti-bersaglio particolarmente qualificati.
Dietro la nuova minaccia c’è un gruppo russo che Microsoft chiama “STRONTIUM”, è altresì noto come Fancy Bear o Tsar Team (APT28) ed è già stato indicato come responsabile degli attacchi contro la campagna presidenziale di Hillary Clinton e l’ agenzia mondiale anti-doping WADA .
Le falle zero-day possono essere sfruttate per evadere la sandbox di Windows ed eseguire codice malevolo con privilegi elevati, e Microsoft rassicura gli utenti che installano sempre gli aggiornamenti indicando il browser Edge e l’Anniversary Update di Windows 10 come ambienti capaci di neutralizzare i tentativi di compromissione di Fancy Bear/APT28.
Una patch correttiva per i bug è in via di collaudo in attesa del prossimo “Update Tuesday” dell’8 novembre, ha confermato Microsoft, ma la decisione di Google di svelare la loro esistenza in anticipo sui tempi è “deludente”: in questo modo la corporation dell’advertising ha messo inutilmente a rischio gli utenti.
Alfonso Maruccia