I ricercatori del team di Google Project Zero hanno scoperto una vulnerabilità zero-day in Windows che è già utilizzata, combinandola con altre falle di sicurezza, per eseguire codice arbitrario sui sistemi altrui.
L’esistenza della problematica è stata confermata dai tecnici di Microsoft che ne hanno accertato la presenza in Windows 10, Windows 8.1 e Windows 7.
Dal momento che il bug di sicurezza è attivamente sfruttato dai criminali informatici per attaccare gli utenti, Project Zero ha concesso appena 7 giorni di tempo a Microsoft per applicare un intervento correttivo.
Nel frattempo, una settimana è trascorsa e a questo indirizzo sono stati pubblicati i dettagli tecnici.
Si apprende quindi che la falla (contraddistinta dall’identificativo CVE-2020-17087) riguarda il driver Windows Kernel Cryptography ed è utilizzabile per acquisire i privilegi amministrativi più ampi e acquisire massima libertà d’azione sul sistema della vittima.
Quasi scontato che Microsoft decida di rilasciare la patch ufficiale il prossimo 10 novembre, secondo martedì del mese.
L’azienda di Redmond ha voluto comunque gettare acqua sul fuoco: innanzi tutto il problema di sicurezza non è ancora attaccato su larga scala (viene comunque usato per attacchi mirati, molto pericolosi) e non può essere direttamente sfruttato da remoto.
Ciò significa che è necessario che ad esempio l’utente non abbia aggiornato Chrome o Edge (per i quali sono già state recentemente rilasciate le patch corrispondenti) perché la vulnerabilità CVE-2020-17087 possa essere sfruttata.
Nei giorni scorsi avevamo infatti parlato della lacuna CVE-2020-15999 che interessa tutti i browser derivati da Chromium e che è utilizzata da gruppi di malintenzionati per disporre il caricamento di codice arbitrario sul sistema degli utenti semplicemente visitando una pagina web.
Le due falle di sicurezza, combinate insieme, possono ovviamente portare all’esecuzione di codice dannoso sul sistema, anche senza un’esplicita interazione.
In addition to last week’s Chrome/freetype 0day (CVE-2020-15999), Project Zero also detected and reported the Windows kernel bug (CVE-2020-17087) that was used for a sandbox escape. The technical details of CVE-2020-17087 are now available here: https://t.co/bO451188Mk
— Ben Hawkes (@benhawkes) October 30, 2020
L’importante quindi allo stato attuale è verificare di utilizzare su tutti i propri sistemi le ultime versioni di Chrome (Aggiornamento Chrome: perché effettuarlo e cosa significano le icone), Edge e degli altri browser derivati di Chromium evitando al solito di dare credito ad allegati provenienti da fonti sconosciute.