Total Meltdown: esecuzione di codice con i privilegi SYSTEM in Windows 7 e Server 2008 R2

Le patch contro la vulnerabilità Meltdown scoperta nei processori distribuite nelle scorse settimane da Microsoft avevano aperto una vera e propria voragine, in termini di sicurezza, in Windows 7 e Windows Server 2008 R2.
A riferirlo è stato Ulf Frisk, il ricercatore svedese che ha scoperto il problema e lo ha tempestivamente segnalato a Microsoft.

Frisk ha accertato che dopo l’installazione delle patch anti Meltdown, distribuite da Microsoft come parte integrante degli aggiornamenti cumulativi per Windows di gennaio e febbraio 2018, codice malevolo eventualmente posto in esecuzione sul sistema poteva leggere il contenuto delle aree protette della memoria, estrapolare informazioni personali ed eseguire qualunque operazione con i diritti SYSTEM, addirittura più ampi rispetto a quelli di amministratore.

Il problema è stato giudicato talmente grave anche da Microsoft che i tecnici dell’azienda si sono affrettati a “confezionare” e distribuire l’aggiornamento out-of-band KB4100480: Microsoft rilascia una patch per impedire la sottrazione di informazioni sensibili su Windows 7 e Server 2008 R2.

In queste ore è stato pubblicato in rete il codice exploit che permette di sfruttare la falla battezzata Total Meltdown ed avviare qualunque eseguibile con i diritti SYSTEM sulle macchine Windows 7 e Windows Server 2008 R2.

Come si vede nel video, dapprima viene eseguito il comando whoami per dimostrare l’utilizzo di un account utente dotato di privilegi normali. Dopo l’esecuzione dell’exploit, whoami conferma l’acquisizione dei privilegi SYSTEM.

Per mettersi al riparo, il consiglio è quello di installare la patch KB4100480 o comunque gli aggiornamenti di aprile 2018 per Windows 7 e Windows Server 2008 R2.

Alcuni utenti segnalano problemi dopo l’installazione dell’aggiornamento, tutti riassunti in questo post.
Nel caso in cui doveste sperimentare una o più problematiche tra quelle riportate, saprete a che cosa sono legate.