Un ricercatore francese, Clément Labro, ha scoperto in modo piuttosto casuale una vulnerabilità che interessa sistemi operativi quali Windows 7 e Windows Server 2008 R2, al momento non ancora risolta da parte di Microsoft.
Il problema di sicurezza dettagliato da Labro lo scorso 12 novembre non è stato ancora risolto: l’azienda di Redmond non ha infatti ad oggi pubblicato alcuna patch correttiva.
Sfruttabile in ambito locale, la falla di sicurezza emersa in questi giorni consente a un utente malintenzionato di acquisire privilegi più elevati e di conseguenza di effettuare qualunque tipo di intervento sulla macchina vulnerabile.
Fulcro della nuova problematica è la configurazione errata di due chiavi del registro di sistema:
HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
Per acquisire “carta bianca” e controllare in toto il sistema un aggressore deve semplicemente limitarsi ad aggiungere una speciale “sotto-chiave” normalmente utilizzata dal sistema Monitoraggio affidabilità di Windows (vedere Registro eventi e monitoraggio affidabilità di Windows: a cosa servono).
Labro rivela di aver scoperto la falla zero-day in Windows dopo il rilascio dell’ultima versione di PrivescCheck, uno strumento software sviluppato per controllare l’utilizzo di configurazioni Windows che possono essere sfruttate da malintenzionati e criminali informatici per acquisire privilegi più elevati.
Avendo ormai reso pubblico il suo tool era ormai troppo tardi, racconta Labro, per segnalare il problema privatamente a Microsoft.
Il fatto è che, a questo punto, chi ancora utilizza Windows 7 o Windows Server 2008 R2, pure avendo stipulato un abbonamento ESU (Extended Security Updates) con Microsoft, sa di avere un potenziale problema di sicurezza irrisolto. Un aggressore che riuscisse ad accedere alla macchina potrebbe disporre il caricamento di una libreria DLL malevola agendo sulle chiavi di registro indicate e acquisire i privilegi SYSTEM.
A risolvere in anticipo la problematica di sicurezza ci hanno pensato i tecnici di Acros Security. Come spiega la società in questa pagina la micro-patch risolutiva sarà applicabile da tutti gli utenti almeno fintanto che Microsoft non distribuirà un aggiornamento ufficiale.
Come abbiamo visto nell’articolo Aggiornamento di Windows 10, Windows Server e degli altri software anche quando non sono disponibili patch ufficiali, l’utilità 0patch di Acros consente di applicare micro-patch senza neppure bisogno di riavviare la macchina.