sabato 15 settembre 2007

Microsoft aggiorna in modo silente i sistemi


Negli scorsi giorni alcune fonti di informazione specializzate in argomenti relativi alla sicurezza informatica hanno diffuso importanti informazioni relative agli aggiornamenti Microsoft. Non ci riferiamo al consueto appuntamento mensile gli update dei prodotti Microsoft, ormai universalmente denominato "patch day", ma facciamo riferimento a un'altra vicenda che merita di essere citata e approfondita.

Alcuni utenti hanno segnalato alla newletter Windows Secret che alcuni file del sistema operativo venivano aggiornati da remoto senza la preventiva autorizzazione dell'utente. Non ci riferiamo ovviamente allo strumento Microsoft Update infatti, in questo caso, l'aggiornamento forzato prende altre vie.

A meritare le attenzioni di Microsoft sono i seguenti file di Windows Vista: wuapi.dll, wuapp.exe, wuauclt.exe, wuaueng.dll, wucltux.dll, wudriver.dll, wups.dll, wups2.dll e wuwebv.dll. Ma anche Windows XP non è immune a questa particolare modalità di aggiornamento, infatti è stato scoperto che anche i file cdm.dll, wuapi.dll, wuauclt.exe, wuaucpl.cpl, wuaueng.dll, wucltui.dll, wups.dll, wups2.dll e wuweb.dll hanno subito modifiche. Il nome dei file appena citati è abbastanza autoesplicativo: sono alcuni componenti del sistema di aggiornamento di Microsoft. Stando a varie fonti in rete questi file vengono aggiornati anche su sistemi in cui l'opzione automatica di Windows Update è stata disabilita.

Microsoft Watch dedica un ampio approfondimento in merito alla vicenda e analizza anche la documentazione distribuita con i vari sistemi operativi in merito a privacy e problematiche di sicurezza. Joe Wilcox ricorda come lo strumento Windows Update sia estremamente chiaro nelle proprie impostazioni: totalmente automatico nell'applicare le patch, disabilitato oppure con altri due differenti gradi di intervento che necessitano conferma esplicita da parte dell'utente. In nessun caso, quindi, è previsto un arbitrario e forzato aggiornamento del sistema.

Emerge quindi che Microsoft potrebbe avere una modalità alternativa per intervenire da remoto su macchine che utilizzano Microsoft Windows XP o Vista, una modalità alternativa che prevarica i canonici strumenti di Windows Update e, soprattutto, che non richiede autorizzazioni all'utente.

Queste segnalazioni hanno già sollevato qualche critica da parte degli esperti di sicurezza: nessuno al momento crede che tali aggiornamenti abbiano natura malevola, ma ad alimentare le discussioni pare essere la modalità silente con cui tali modifiche sono state applicate. Alcune dichiarazioni accomunano il comportamento degli strumenti Microsoft in questa particolare circostanza a quelli di un worm.

In ambito domestico un sistema di semplice aggiornamento e che richiede il minor intervento possibile a utenti inesperti può essere considerato il principale obiettivo, ma in realtà aziendali, in cui vi siano problematiche di sicurezza e precise policy da seguire, un comportamento così arbitrario può lasciare un minimo di sconcerto.Non è da escludere che Microsoft possa rilasciare una propria nota chiarificatrice nei prossimi giorni.

UPDATE

Microsoft, per voce di Nate Clinton -Program Manager Windows Update - ha pubblicato una nota in cui viene descritta tutta la vicenda. Il tutto risulta assai chiaro e circostanziato: di fatto vengono confermate tutte le osservazioni riportate nelle varie news online tranne una circostanza. Microsoft ribadisce che l'aggiornamento dei componenti Windows Update non avviene qualora tale opzione sia disabilitata dall'utente.

Nate Clinton nel suo intervento pare affermare che, forse, il comportamento di Microsoft non è stato estremamente trasparente con la clientela: in futuro tale approccio dovrà essere migliorato evitando anche ogni possibile fraintendimento.

Fabio Boneschi
www.hwupgrade.it