A novembre 2021 il ricercatore Abdelhamid Naceri aveva dimostrato come una vulnerabilità nel servizio di sistema che gestisce i profili degli account utente in Windows avrebbe potuto essere sfruttata da parte di malintenzionati per acquisire privilegi SYSTEM.
La falla di sicurezza affliggeva tutte le versioni più moderne di Windows, compresi Windows 11, Windows 10 e Windows Server 2022.
Naceri spiegò di aver reso pubblico il problema per criticare il comportamento di Microsoft che da qualche tempo ha ridotto le ricompense destinate ai ricercatori che scoprono vulnerabilità nuove e le segnalano privatamente in modo responsabile (programma bug bounty).
Microsoft rilasciò un aggiornamento di sicurezza (CVE-2021-34484) dichiarando di aver risolto il problema ma Naceri dimostrò, con la pubblicazione di un codice proof-of-concept, che quella soluzione non era pienamente efficace.
L’azienda di Redmond si prese ancora qualche mese di tempo per gestire il problema rilasciando una nuova patch correttiva a gennaio 2022. Al bug di sicurezza fu assegnato un nuovo identificativo: CVE-2022-21919.
Naceri ha recentemente spiegato che questa toppa è peggiore del buco spiegando che un eventuale aggressore può ancora acquisire i diritti SYSTEM usando un account utente con privilegi limitati.
Dal momento che non esistono patch correttive ufficiali, gli sviluppatori del progetto 0patch hanno comunicato di aver rilasciato un aggiornamento che risolve definitivamente la falla di sicurezza, di nuovo considerabile uno zero-day a tutti gli effetti.
Come da abitudine di 0patch, fintanto che Microsoft non rilascia le patch ufficiali, i sistemi vulnerabili possono essere protetti a costo zero: basta creare un account utente free e installare 0patch Agent sul sistema.
Il vantaggio di 0patch è che permette di applicare gli aggiornamenti di sicurezza senza riavviare il sistema: le patch vengono infatti caricate in-memory e le modifiche risultano immediatamente in essere.
Anche Microsoft ha recentemente iniziato ad abbracciare la stessa idea introducendo il meccanismo chiamato Hotpatching: per adesso l’applicazione degli aggiornamenti in-memory è però limitato alle macchine virtuali Windows Server caricate sulla piattaforma Azure.
Come spiegato nella nota ufficiale di 0patch, le correzioni appena rilasciate sono applicabili su tutti i sistemi Windows, compresi quelli aggiornati con l’installazione degli aggiornamenti Microsoft più recenti.