Un ricercatore ha scoperto una vulnerabilità zero-day in tutte le versioni di Windows (compresi Windows 11, Windows 10 e Windows Server 2022) che permette di acquisire i privilegi di amministratore utilizzando un account utente standard.
Utilizzando la falla di sicurezza individuata da Abdelhamid Naceri un utente malintenzionato può avere carta bianca su qualunque sistema Windows e ottenere i diritti amministrativi per eseguire qualunque modifica sul sistema operativo.
Come parte del “patch day” di novembre 2021 Microsoft ha risolto la vulnerabilità contraddistinta dall’identificativo CVE-2021-41379: si tratta proprio di una lacuna che consente attività di privilege escalation.
Naceri ha spiegato che il codice da lui sviluppato prende le mosse proprio da quella vulnerabilità che non sarebbe stata completamente risolta da Microsoft.
Anche sui sistemi completamente “patchati” quindi l’exploit appena presentato funziona alla perfezione e permette di acquisire i privilegi più elevati possibile (SYSTEM).
Per ovvie ragioni non pubblichiamo il link al lavoro di Naceri anche se è facilmente individuabile su GitHub cercando InstallerFileTakeOver. Molti motori di scansione antimalware (Microsoft Defender compreso), considerate le operazioni che vengono eseguite, indicano già l’eseguibile di InstallerFileTakeOver come malevolo.
Il file non è ovviamente pericoloso in quanto tale ma può esserlo se utilizzato da parte di malintenzionati e criminali informatici per acquisire ampi privilegi sui sistemi altrui.
Differenze tra SYSTEM e account amministratore in Windows
L’exploit messo a punto da Naceri consente di acquisire i privilegi SYSTEM.
L’account SYSTEM e l’account amministratore (gruppo Administrators) hanno gli stessi privilegi sui file pur essendo utilizzati per scopi diversi.
L’account di sistema è usato dal sistema operativo e dai servizi che girano sotto Windows: molti servizi e processi all’interno di Windows hanno bisogno della capacità di accedere in profondità alle impostazioni e alla configurazione del sistema.
L’account SYSTEM è stato progettato per questo scopo: è un account interno, non appare nella finestra Utenti e gruppi locali (premere Windows+R
e digitare lusrmgr.msc
nelle edizioni Pro, Enterprise ed Education) né in risposta al comando net user
), non può essere aggiunto a nessun gruppo e non può avere diritti utente assegnati. L’account di sistema appare comunque nella scheda Sicurezza delle proprietà (file system NTFS) di singoli file e cartelle. Per impostazione predefinita all’account di sistema è garantito il pieno controllo di tutti i file su un volume NTFS.
Gli account amministratore possono invece essere creati, gestiti e ogni sistema Windows ne utilizza almeno uno di cui uno è nascosto per impostazione predefinita. Essi appartengono al gruppo Administrators.
Come funziona InstallerFileTakeOver
Di InstallerFileTakeOver il ricercatore Naceri ha pubblicato sia il codice sorgente che la versione compilata.
Avviando l’eseguibile InstallerFileTakeOver su qualsiasi sistema Windows con un utente standard si apre una finestra del prompt dei comandi. Da qui si può lavorare con i privilegi SYSTEM avendo piena libertà d’azione sul sistema in uso.
È facile verificarlo impartendo il comando whoami
al prompt dei comandi prima e dopo l’utilizzo di InstallerFileTakeOver.
Naceri ha voluto evitare la segnalazione responsabile del bug di sicurezza a Microsoft per polemizzare apertamente con la decisione dell’azienda di Redmond di tagliare le remunerazioni previste per i ricercatori. Secondo l’esperto, che fa eco a diversi altri colleghi, Microsoft ha ridotto il suo programma “bug bounty” già da aprile 2020.
A questo punto l’azienda di Redmond risolverà il problema di sicurezza nel corso del “patch day” di dicembre, a meno che i tecnici non ritengano opportuno risolverlo prima con il rilascio di un aggiornamento out-of-band (OOB).