È comprensibile che la scoperta di un problema di sicurezza in un programma diffusissimo come Microsoft Word susciti clamore e agitazione al punto di raggiungere le pagine Web delle testate non specializzate oltre che quelle di Apogeonline. L’idea che Word, dalla versione 97 in poi, contenga meccanismi che permettono di generare documenti che rubano file a chiunque li apra e li modifichi è davvero inquietante. Alzi la mano chi, per diletto o per lavoro, non riceve e modifica documenti Word. Chi non l’ha alzata probabilmente l’ha già impegnata in gesti scaramantici poco signorili.
Tuttavia occorre analizzare a mente serena la vera portata del problema, e per farlo bisogna conoscere qualche dettaglio del suo funzionamento, che varia a seconda delle versioni di Word.
I documenti Word possono contenere i cosiddetti campi, ossia zone in cui il testo viene generato automaticamente: la numerazione automatica delle pagine e l’indice ne sono tipici esempi.
Un campo poco conosciuto è IncludeText, che permette di includere automaticamente un documento in un altro. Come descritto da Alex Gantman su Bugtraq, l’aggressore può mandare alla vittima un documento Word che contiene l’istruzione IncludeText seguita dal nome di un file che gli interessa rubare dal computer del malcapitato. Se la vittima apre il documento Word, lo modifica (aggiornandone quindi i campi) con Word 97 e lo rispedisce all’aggressore, la copia rispedita include anche il file rubato. Semplice, pratico ed elegante.
Microsoft ha pubblicato dichiarazioni contrastanti sulla faccenda. Come riferito su Apogeonlineda Davide Pellegrino, Microsoft ha negato che il problema esista in Word 2000 e 2002, ma News.com cita un portavoce di Microsoft secondo il quale la falla si verifica anche in Word 2000 e 2002 se la vittima stampa il documento prima di rispedirlo. Inoltre esiste una variante di questa falla, scoperta da Woody Leonhard, che non richiede la stampa del documento anche quando la vittima usa Word 2000/2002.
Scenari improbabili?
È evidente che se non vi capita mai di ricevere documenti Word e rispedirli dopo averli modificati, questa doppia magagna è del tutto irrilevante. Se poi considerate che l’aggressore deve conoscere nome e percorso esatti del file che vuole rubare ed è teoricamente rintracciabile perché deve fornire un indirizzo di e-mail al quale farsi rispedire il documento, le situazioni reali in cui questa falla è utilizzabile sembrano davvero poche.
Soprattutto, l’aggressore deve trovare il modo di convincere la vittima ad aprire e modificare il documento Word: perché mai dovreste aprire un file ricevuto da uno sconosciuto? Lo sanno anche i muri che gli allegati ricevuti dagli sconosciuti non si aprono perché possono contenere virus.
Ma aspettate un momento prima di considerarvi immuni al problema. Gli scenari in cui queste falle sono sfruttabili da un aggressore non sono così inconsueti come possono apparire. Supponete, ad esempio, di ricevere via e-mail un modulo scritto con Word da un vostro superiore o da un fornitore, con la preghiera di stamparlo per conservarne copia cartacea e di rispedirlo dopo averlo compilato. Oppure supponete che un collega vi chieda di rivedere e correggere un documento Word che ha scritto e di rimandargli la versione corretta. Pensate anche a quelle catene di sant’Antonio che chiedono di aggiungere la propria adesione in calce a un documento Word.
Sono situazioni che capitano così spesso che neppure ci si fa caso. Inoltre falsificare il mittente di un messaggio è facilissimo, per cui ciò che sembra provenire da fonte fidata può essere stato spedito da un aggressore. Anche sapere il nome ed il percorso esatti di un file contenente informazioni ghiotte è banale: in Windows 95/98/ME, per esempio, il Registro di Windows è quasi immancabilmente in c:windows, e dal Registro è facile ricavare le ubicazioni di molti altri file appetibili. Senza contare il fatto che l’aggressore può nascondere nel proprio documento-trappola tutti i tentativi che vuole di indovinare nomi e percorsi. Improvvisamente gli ostacoli descritti non sembrano più tanto insormontabili
Strumenti di difesa
Queste falle di Word sono un classico esempio di quello che succede quando si deve scegliere fra facilità d’uso e sicurezza e si sceglie la facilità. Sarebbe sufficiente che Word visualizzasse una finestra di dialogo con il nome del file da includere nei campi e ne chiedesse conferma: l’utente avrebbe così l’occasione di notare che il documento Word sta cercando di carpire file che non lo riguardano. Ma siccome le finestre di dialogo sono considerate una scocciatura e un inestetismo, vengono omesse anche quando servirebbero a proteggere dalle intrusioni.
Microsoft offrirà le correzioni per le versioni più recenti di Word, ma probabilmente non per la 97, benché sia tuttora assai diffusa (alcune stime parlano di oltre il 30% dell’utenza business). I maligni penseranno a una scelta commerciale per indurre gli utenti a migrare alle nuove versioni di Word, ma obiettivamente è difficile pretendere che una società faccia la manutenzione di un programma risalente a ben cinque anni fa, ossia un’eternità in campo informatico. Ripensate a che computer usavate cinque anni fa e chiedetevi se ne pretendereste ancora la manutenzione gratuita.
In attesa delle correzioni o perlomeno di un antivirus che includa nei propri criteri di identificazione dei file a rischio anche la presenza del campo IncludeText, non vi resta che esaminare ogni documento che ricevete e dovete rispedire, alla ricerca di eventuali campi sospetti (ossia contenenti nomi di file): in molte versioni di Word occorre usare il menu Strumenti, accedere alla voce Opzioni e attivare la casella Codici di campo nella scheda Visualizza. Un’impresa tutt’altro che facile e gradevole, e che ironicamente è resa necessaria dall’ambizione di rendere tutto facile.