C’è un brutto spiffero in Windows. Lo affermano i tecnici di Prevx, società inglese da anni attiva nel campo della sicurezza informatica (recentemente acquisita da Webroot; ved., in proposito, questo nostro articolo). Da qualche ora un forum cinese ha funto da cassa di risonanza per la diffusione dei dettagli tecnici circa una nuova pericolosa vulnerabilità scoperta nel sistema operativo targato Microsoft. La falla è stata definita da Prevx particolarmente seria perché interessa il file win32k.sys
al quale fa capo il “kernel mode” di Windows. In modalità kernel, lo ricordiamo, le applicazioni hanno piena libertà di accedere alla memoria, all’hardware ed a tutte le altre risorse disponibili sul sistema in uso.
“L’API NtGdiEnableEUDC
definita nel file win32k.sys
non effettua una validazione corretta delle informazioni in ingresso, ha osservato Marco Giuliani, Malware Technology Specialist per Prevx. Sfruttando tale lacuna di sicurezza, un aggressore può modificare l’indirizzo di memoria restuito dalla funzione facendolo puntare al codice dannoso messo a punto. Così facendo, il malintenzionato può eseguire, sulla macchina Windows, una serie di istruzioni arbitrarie utilizzando la modalità kernel e, quindi, sfruttando i privilegi più elevati.
Trattandosi di un exploit che consente di guadagnare diritti più elevati, l’attacco – come spiega Giuliani – “permette di bypassare tutte le protezioni implementate in Windows, comprese quelle integrate in Windows Vista ed in Windows 7“. Il sistema di protezione UAC (User Account Control) né l’impiego di un account utente di tipo limitato non offrono alcuna difesa a questa nuova aggressione che sembra andare a buon fine su qualsiasi versioni di Windows.
“La buona notizia“, aggiunge l’esperto di Prevx, “è che per il momento nessun malware sta facendo leva sulla vulnerabilità. La brutta notizia, di contro, è che il codice exploit è stato pubblicato online. Si tratta di una problematica che potrebbe ben presto divenire un vero e propro incubo. Riteniamo infatti che, con buona probabilità, gli autori di malware comincino molto presto a sfruttarla su larga scala“.
Bojan Zdrnja dell’Internet Storm Center (SANS) ha pubblicato uno screenshot del risultato ottenuto eseguendo il codice “proof-of-concept” (PoC): eseguendo il codice dal prompt dei comandi, quest’ultimo appare in grado di eludere completamente le limitazioni dell’account utente in uso (ved. questo post).