Vulnerabilità come quella scoperta dal team di Google Project Zero sono tra le più pericolose in assoluto perché possono essere sfruttate per eseguire codice dannoso sul sistema altri semplicemente inducendo la vittima a visitare una pagina web oppure ad aprire un documento nocivo.
In quest’analisi Google spiega che utilizzando un font TrueType modificato “ad arte” (vedere Fonts o tipi di carattere per documenti Word e PDF) e inserendolo in una pagina Web o in un documento (Word e gli altri wordprocessor alternativi consentono di inserire qualunque font nel file DOCX insieme con il testo e le immagini) si può generare un errore di buffer overflow nelle API Microsoft DirectWrite utilizzate per il rendering dei font.
Questo problema può portare alla modifica dei dati contenuti in memoria e alla conseguente esecuzione di codice arbitrario in modalità remota.
Fortunatamente Microsoft ha risolto la pericolosa vulnerabilità lo scorso 9 febbraio con il rilascio degli aggiornamenti di sicurezza del mese. La pubblicazione del codice PoC (proof-of-concept) da parte di Google può però a questo punto rappresentare un rischio: gli aggressori, che fino ad oggi non avevano ancora sfruttato attivamente il problema di sicurezza in DirectWrite, possono ispirarsi al codice condiviso dall’azienda di Mountain View per sviluppare un exploit vero e proprio sferrando attacchi mirati o su più vasta scala.
La vulnerabilità, contraddistinta con l’identificativo CVE-2021-24093 e presente in Windows 10 oltre che in Windows Server (fino alla versione 20H2) dovrebbe quindi essere corretta scaricando e installando gli ultimi aggiornamenti Microsoft attraverso Windows Update.
Anche chi avesse bloccato l’applicazione automatica degli aggiornamenti in Windows 10 usando la procedura illustrata nell’articolo Come disattivare gli aggiornamenti automatici in Windows 10, dovrebbe procedere con la loro installazione accedendo alla finestra principale di Windows Update (digitare Verifica disponibilità aggiornamenti nella casella di ricerca di Windows 10).