Chi in passato ha lavorato con database Access sa benissimo di che cosa stiamo parlando: il motore Microsoft Jet (Jet Database Engine) è un motore relazionale di limitate capacità se si pensa ad esempio a quelli che gestiscono le basi di dati SQL Server, MySQL e Oracle. Le librerie del motore Jet sono integrate direttamente in Windows, anche nelle ultime versioni.
All’inizio di maggio scorso Lucas Leong, ricercatore del team Trend Micro, ha fatto presente di aver segnalato a Microsoft la presenza di una importante vulnerabilità nel motore Jet già a maggio scorso: da allora sono passati 120 giorni (il tempo lasciato ai tecnici della società di Redmond per correggere il problema) e nessun aggiornamento correttivo è stato pubblicato su Windows Update.
I portavoce di Microsoft avevano confermato che un aggiornamento risolutivo è effettivamente in corso di sviluppo ma che l’azienda non avrebbe fatto in tempo a rilasciarlo in occasione del “patch day” di settembre 2018. Come da prassi i ricercatori di Zero Day Initiative hanno quindi provveduto a pubblicare un bollettino insieme con il codice proof-of-concept (PoC).
Il codice PoC non fa altro che disporre il caricamento del database malevolo che, a sua volta, provoca il caricamento di dati stivati all’infuori degli indici contenuti nella base di dati.
Fortunatamente il codice nocivo verrebbe eseguito sul sistema dell’utente solo dopo aver persuaso quest’ultimo ad avviare un eseguibile o ad aprire un database malevolo. Non sembra invece possibile, se non sfruttando anche altre vulnerabilità irrisolte, eseguire codice dannoso dal browser web.
Gli amministratori del progetto 0patch, che già avevano rilasciato un aggiornamento correttivo non ufficiale per scongiurare i rischi di attacco derivanti dalla scoperta della vulnerabilità di cui abbiamo parlato nel nostro articolo Acquisire i privilegi SYSTEM diventa possibile su tutte le versioni di Windows, comunicano che il loro software agent è in grado di proteggere i sistemi Windows 10, Windows 8.1, Windows 7, Windows Server 2008, Windows Server 2012 e Windows Server 2016 fintanto che Microsoft non pubblicherà un aggiornamento ufficiale, le stesse versioni del sistema operativo affette dal problema.
Con ogni probabilità l’aggiornamento ufficiale Microsoft dovrebbe arrivare il prossimo 9 ottobre. Se tuttavia Microsoft dovesse ritenere il problema particolarmente grave, l’azienda potrebbe optare per un rilascio anticipato (out-of-band).