Una ricercatrice indipendente ha appena rivelato di aver scoperto una vulnerabilità che affligge tutte le versioni di Windows e che permette a un utente o a un qualunque processo in esecuzione sul sistema locale di acquisire i diritti SYSTEM.
L’account SYSTEM nel mondo Windows corrisponde fondamentalmente ai privilegi root nei sistemi Linux/Unix e viene principalmente utilizzato per far eseguire i processi critici di sistema. Esso non è indicato tra gli account presenti (lo si può verificare premendo la combinazione di tasti Windows+R
e scrivendo lusrmgr.msc
) ed è considerato un account a uso “interno”.
Il fatto è che in alcune circostanze, di solito proprio facendo leva su un bug irrisolto del sistema operativo, è possibile arrivare ad acquisire i diritti SYSTEM.
Ci è riuscita ancora una volta la ricercatrice che si fa chiamare SandboxEscaper, a conferma dell’impegno da tempo profuso – ad esempio – nell’individuazione delle lacune di sicurezza che permettono di sfuggire ai paletti imposti da un ambiente sicuro e isolato qual è appunto una sandbox.
L'”escapologa delle sandbox” questa volta non ha contattato Microsoft per segnalare la sua scoperta ma ha preferito pubblicare online il codice proof-of-concept così da dimostrare le sue asserzioni. Come si legge in molti post sul blog di SandboxEscaper e sul suo account Twitter, la ricercatrice avrebbe maturato la sua decisione dopo che il suo lavoro – nel caso di altri 0-day – è stato ignorato. E cita una serie di record nel database CVE (Common Vulnerabilities and Exposures) in cui non è mai stata citata, neppure per mero riconoscimento.
Il problema appena scoperto e comune a tutte le versioni di Windows ha a che fare con l’interfaccia ALPC (Advanced Local Procedure Call). Essa viene utilizzata dalla funzionalità Pianifica attività del sistema operativo per mettere in comunicazione un processo client con un processo server e fare in modo che il primo possa raccogliere delle informazioni.
Il funzionamento del proof-of-concept appena pubblicato su GitHub è stato confermato con la pubblicazione di un bollettino sul sito del CERT statunitense.
Sebbene l’indice di pericolosità non sia elevatissimo (massimo 6,8 secondo il CERT), il problema potrebbe essere facilmente sfruttato da un utente che eseguisse un malware da un account utente sprovvisto dei diritti di amministratore. E fintanto che Microsoft non avrà sanato la vulnerabilità, a questo punto l’utilizzo di un account normale (non amministrativo) non è più sufficiente per evitare le conseguenze più spiacevoli.
In attesa dell’aggiornamento ufficiale Microsoft disponibili le correzioni di 0patch
Anche se qualcuno potrebbe storcere il naso, Acros Security, non certo una cenerentola nel settore della sicurezza informatica visto che è stata fondata nel 1999, ha lanciato rilasciato una serie di patch non ufficiali per risolvere la vulnerabilità individuata da SandboxEscaper.
Nell’ambito dell’iniziativa 0patch i tecnici di Acros hanno reso disponibili le loro micropatch per Windows 7, Windows 10 e Windows Server.
Blog post is in the making but for the impatient, here’s the source code of our micropatch. Three patchlets, one calling RpcImpersonateClient, one removing a premature call to RpcRevertToSelf, and one adding a RpcRevertToSelf call where it should be. Just 4 instructions. pic.twitter.com/PtgsPJiiSO
— 0patch (@0patch) 30 agosto 2018
0patch usa un approccio diametralmente opposto a quello di Microsoft che per tutte le versioni di Windows supportate propone pacchetti di aggiornamento omnicomprensivi non permettendo più all’amministratore di sistema di scegliere quali installare e quali posticipare.
Nel caso di 0patch gli update correttivi sono non ufficiali ma permettono di risolvere le singole problematiche senza essere costretti a installare pacchetti pesanti.
Per installare le micropatch basta scaricare e avviare l’apposito agent prelevabile dalla home page del sito di 0patch. Prima di installare gli aggiornamenti ufficiali Microsoft, sempre da preferire, bisognerà aver cura di disattivare le micropatch eventualmente attivate.
Gli esperti hanno inoltre verificato che la falla scoperta da SandboxEscaper non riguarda solo le versioni a 64 bit di Windows ma anche quelle a 32 bit.
PowerPool, la falla sull’interfaccia ALPC utilizzata per sferrare singoli attacchi
Il produttori di soluzioni per la sicurezza informatica ESET ha confermato che al momento non sono stati rilevati attacchi su larga scala che sfruttino la vulnerabilità in questione.
Purtuttavia, alcuni criminali informatici hanno iniziato a far leva sulla lacuna di sicurezza per acquisire i privilegi SYSTEM sulle macchine selezionando con cura le loro vittime.
Il malware PowerPool utilizza uno script PowerShell, spesso inviato per email o attraverso altri canali di comunicazione, che sovrascrive il contenuto del file benigno GoogleUpdate.exe
, usato – ad esempio – per effettuare scaricare e installare automaticamente gli aggiornamenti del browser Chrome. Dal momento che tale file viene regolarmente eseguito con i privilegi più ampi, lo script PowerShell malevolo ne modifica il comportamento così da prescrivere il download e il caricamento di ulteriore codice dannoso.
Maggiori informazioni sono state pubblicate sul sito di ESET.
Con ogni probabilità Microsoft dovrebbe rilasciare una patch a risoluzione della falla ALPC domani 11 settembre.