Lo scorso giugno Microsoft ha pubblicato e distribuito attraverso Windows Update un aggiornamento di sicurezza destinato agli utenti di Windows 10, Windows 8.1 e Windows Server (dalla versione 2012 in avanti) per correggere una falla critica scoperta e segnalata privatamente da parte di Kaspersky.
Contraddistinta con l’identificativo CVE-2020-0986, la patch di Microsoft correggeva un problema che avrebbe potuto permettere a un aggressore di acquisire privilegi elevati ed eseguire codice arbitrario in kernel mode.
Per fare leva sulla vulnerabilità in questione l’utente malintenzionato doveva comunque accedere in qualche modo al sistema da aggredire.
Inutile dire che il bug di sicurezza avrebbe potuto essere sfruttato anche da remoto, esortando vittima ad avviare un eseguibile maligno, oppure combinandolo con altre vulnerabilità (ad esempio, per lanciare un attacco drive-by download traendo vantaggio dall’utilizzo di un browser web non aggiornato).
Maddie Stone, ricercatrice nelle fila del team Google Project Zero, si è nel frattempo accorta che la patch rilasciata a giugno dai tecnici di Microsoft non risolve definitivamente il problema.
Dopo aver informato l’azienda di Redmond circa la sua scoperta e trascorso il tempo abitualmente concesso per correggere la lacuna di sicurezza, la Stone ha pubblicato tutti i dettagli sulla problematica insieme con un nuovo codice PoC (proof-of-concept).
La ricercatrice ha aggiunto che gli sviluppatori di Microsoft si sarebbero limitati a sostituire alcuni puntatori con degli offset. È quindi bastato modificare il codice originale messo a punto da Kaspersky per tornare a sfruttare lo stesso problema di sicurezza (che adesso viene identificato come CVE-2020-17008).
Secondo la Stone non è escluso che alcuni malintenzionati già a conoscenza del problema e dei “fondamentali” del bug abbiano potuto approfittare della problematica per eseguire codice arbitrario su alcuni sistemi.