Di recente, Windows Defender ha impressionato nei test, battendo forti concorrenti con McAfee, Kaspersky e altri antivirus, ma questo non significa che il sistema di Microsoft sia completamente protetto. L’esempio più recente è quello di un’azienda austriaca che vendeva spyware che sfruttavano falle di sicurezza in Windows sconosciute alla stessa Microsoft.
DSIRF è riconosciuto da Microsoft come KNOWEED ed è accusato di vendere uno spyware chiamato Subzero, che è già stato utilizzato per violare i sistemi di studi legali, banche e società di consulenza nel Regno Unito, Austria e Panama.
MSTIC ha trovato diversi collegamenti tra DSIRF e gli exploit e il malware utilizzati in questi attacchi. Questi includono l’infrastruttura di comando e controllo utilizzata dal malware che si collega direttamente a DSIRF, un account GitHub associato a DSIRF utilizzato in un attacco, un certificato di firma del codice rilasciato a dSIRF utilizzato per firmare un exploit e altre notizie open source che attribuiscono Subzero a DSIRF.
L’azienda è descritta come un fornitore commerciale non regolamentato di spyware con hacker che possono essere assunti da governi autoritari che agiscono in modo incoerente con lo stato di diritto attraverso regimi repressivi che spesso vanno contro le norme sui diritti umani.
In che modo lo spyware ha invaso il sistema?
Il rapporto di Microsoft afferma che Subzero ha utilizzato un sistema di escalation dei privilegi CSRSS per accedere ad aree riservate di Windows, oltre a un attacco di esecuzione di codice dannoso in remoto su Adobe Reader.
Fortunatamente, Microsoft afferma che il problema di sicurezza è già stato risolto dall’aggiornamento di sicurezza rilasciato il 12 luglio per Windows 10, 8.1, RT 8.1, 7, Windows Server 2016 e 2008; Windows 11 non è vulnerabile.
Conseguenze nel mondo reale
Inoltre, durante l’audizione, Microsoft ha affermato che governi come gli Stati Uniti devono discutere su come gli spyware possano diventare vere e proprie “armi informatiche” contro la libertà di espressione e i diritti umani. Pertanto, lo spyware deve essere soggetto alle stesse regole e regolamenti applicati ad altre classi di armi.
Per sostenere questa argomentazione, Carine Kanimba, figlia dell’attivista ruandese Paul Rusesabagina, che ha salvato 1.200 persone dal genocidio nel 1994, ha dato la sua testimonianza affermando che il telefono di suo padre potrebbe essere stato dirottato dallo spyware Pegasus del gruppo NSO. Lo stesso che ha giocato un ruolo essenziale nell’esecuzione di un giornalista saudita.
