Office File Validation e un nuovo winload.exe contro il malware

Parallelamente al rilascio di 17 bollettini nel Patch Tuesday di ieri, che hanno risolto molti bug gravi tra cui il famigerato SMB, Microsoft ha tirato fuori anche altre due novità studiate appositamente per evitare due scenari comuni di attacco informatico contro Windows.

Il primo strumento di "difesa" si chiama Office File Validation e riguarda alcune vecchie versioni di Office tra cui la 2003 e la 2007. Si tratta di una nuova funzionalità che fornisce all'utente informazioni sulla possibile presenza di un componente malevolo in un file di Office che si sta aprendo.

Lo strumento Office File Validation effettua un'ispezione del file e avvisa l'utente nel caso in cui venga individuato un potenziale pericolo. Si tratta di una ipotesi non campata in aria visto che ad esempio nei mesi scorsi si sono visti diversi casi di file Flash con codeice malevolo inclusi all'interno di documenti Word ed Excel.

Il secondo miglioramento introdotto ieri da Microsoft sul versante sicurezza è un aggiornamento del file winload.exe, il componente che carica Windows. L'update è disegnato per prevenire alcune tecniche utilizzate dai rootkit per nascondersi dalle scansioni e rimanere in modo persistente sulle macchine infette.

Un sistema tipco utilizzato dai rootkit per non essere individuati nei sistemi a 64-bit è di bypassare il check della firma dei driver fatta da winload.exe. L'update in se' stesso non rimuoverà alcun rootkit, ma farà in modo che vengano messi in evidenza quelli installati e finora rimasti nascosti, consentendo al software anti-malware utilizzato dall'utente di individuarli e rimuoverli.