giovedì 25 novembre 2010

Pericolosa falla 0-day minaccia tutte le versioni di Windows

È stata scoperta una vulnerabilità in Windows in grado di portare a degli attacchi 0-day verso gli utenti del sistema operativo di Microsoft. La falla è stata rilevata da Prevx e viene giudicata potenzialmente molto pericolosa, in quanto ad essere interessati sono praticamente tutti i sistemi operativi Windows, compresi anche i più recenti Windows 7 e Windows Vista.

La falla in questione consente ad un aggressore di eseguire un malware anche nelle versioni progettate per non essere vulnerabili a questo tipo di attacchi. I dettagli tecnici sono già stati pubblicati su vari forum cinesi, questo ovviamente non è un bene, in quanto spianerà la strada i malintenzionati che vorranno sfruttare quanto prima la falla di sicurezza a meno che Microsoft non rilasci con estrema celerità una patch straordinaria. La falla è stata definita da Prevx particolarmente seria perché interessa il file win32k.sys al quale fa capo il "kernel mode" di Windows. Della vulnerabilità è stato pubblicato online il proof of concept necessario a dimostrare come, sfruttando questa falla, eventuali cracker siano in grado di bypassare il Controllo Account Utente introdotto nelle ultime due versioni di Windows, riuscendo ad accedere al sistema con privilegi di amministratore e da lì, di conseguenza, avere il pieno controllo delle attività. In modalità kernel le applicazioni hanno piena libertà di accedere alla memoria, all'hardware ed a tutte le altre risorse disponibili sul sistema in uso.


Il ricercatore italiano della Prevx, Marco Giuliani ha affermato che l’exploit per la diffusione di eventuali malware verrà utilizzato molto presto in quanto si presenta come una ghiotta e facile opportunità da sfruttare per tutti i virus-writer. "L'API NtGdiEnableEUDC definita nel file win32k.sys non effettua una validazione corretta delle informazioni in ingresso, ha osservato Marco Giuliani, Malware Technology Specialist per Prevx. Sfruttando tale lacuna di sicurezza, un aggressore può modificare l'indirizzo di memoria restuito dalla funzione facendolo puntare al codice dannoso messo a punto. Così facendo, il malintenzionato può eseguire, sulla macchina Windows, una serie di istruzioni arbitrarie utilizzando la modalità kernel e, quindi, sfruttando i privilegi più elevati. Trattandosi di un exploit che consente di guadagnare diritti più elevati, l'attacco - come spiega Giuliani - "permette di bypassare tutte le protezioni implementate in Windows, comprese quelle integrate in Windows Vista ed in Windows 7".

http://www.exploit-db.com/

Sia il sistema di protezione UAC (User Account Control) che l'impiego di un account utente di tipo limitato riescono ad offrire una difesa a questa nuova aggressione che sembra andare a buon fine su qualsiasi versioni di Windows. "La buona notizia", aggiunge l'esperto di Prevx, "è che per il momento nessun malware sta facendo leva sulla vulnerabilità. La brutta notizia, di contro, è che il codice exploit è stato pubblicato online. Si tratta di una problematica che potrebbe ben presto divenire un vero e propro incubo. Riteniamo infatti che, con buona probabilità, gli autori di malware comincino molto presto a sfruttarla su larga scala". Da parte sua, nella giornata di ieri Microsoft aveva fatto sapere di essere al lavoro sul problema. Il Microsoft Security Response su Twitter aveva lasciato un cinguettio: "Stiamo indagando su PoC pubblico per un EOP vuln locale che richiede un account sul sistema di destinazione", anche se al momento la vulnerabilità rimane senza una patch mettendo a rischio la sicurezza di milioni di utenti.

Nessun commento:

Posta un commento