10212 Letture

Un exploit 0day minaccia tutte le versioni di Windows

C'è un brutto spiffero in Windows. Lo affermano i tecnici di Prevx, società inglese da anni attiva nel campo della sicurezza informatica (recentemente acquisita da Webroot; ved., in proposito, questo nostro articolo). Da qualche ora un forum cinese ha funto da cassa di risonanza per la diffusione dei dettagli tecnici circa una nuova pericolosa vulnerabilità scoperta nel sistema operativo targato Microsoft. La falla è stata definita da Prevx particolarmente seria perché interessa il file win32k.sys al quale fa capo il "kernel mode" di Windows. In modalità kernel, lo ricordiamo, le applicazioni hanno piena libertà di accedere alla memoria, all'hardware ed a tutte le altre risorse disponibili sul sistema in uso.

"L'API NtGdiEnableEUDC definita nel file win32k.sys non effettua una validazione corretta delle informazioni in ingresso, ha osservato Marco Giuliani, Malware Technology Specialist per Prevx. Sfruttando tale lacuna di sicurezza, un aggressore può modificare l'indirizzo di memoria restuito dalla funzione facendolo puntare al codice dannoso messo a punto. Così facendo, il malintenzionato può eseguire, sulla macchina Windows, una serie di istruzioni arbitrarie utilizzando la modalità kernel e, quindi, sfruttando i privilegi più elevati.

Trattandosi di un exploit che consente di guadagnare diritti più elevati, l'attacco - come spiega Giuliani - "permette di bypassare tutte le protezioni implementate in Windows, comprese quelle integrate in Windows Vista ed in Windows 7". Il sistema di protezione UAC (User Account Control) né l'impiego di un account utente di tipo limitato non offrono alcuna difesa a questa nuova aggressione che sembra andare a buon fine su qualsiasi versioni di Windows.


"La buona notizia", aggiunge l'esperto di Prevx, "è che per il momento nessun malware sta facendo leva sulla vulnerabilità. La brutta notizia, di contro, è che il codice exploit è stato pubblicato online. Si tratta di una problematica che potrebbe ben presto divenire un vero e propro incubo. Riteniamo infatti che, con buona probabilità, gli autori di malware comincino molto presto a sfruttarla su larga scala".


Bojan Zdrnja dell'Internet Storm Center (SANS) ha pubblicato uno screenshot del risultato ottenuto eseguendo il codice "proof-of-concept" (PoC): eseguendo il codice dal prompt dei comandi, quest'ultimo appare in grado di eludere completamente le limitazioni dell'account utente in uso (ved. questo post).

  1. Avatar
    SnakePowa93
    30/11/2010 12:48:01
    Sono stato infettato da questo malware circa 4 giorni fa... Nulla, non sono riuscito a toglierlo (il pc era totalmente bloccato). A malincuore ho dovuto formattare... ma è successo dell'incredibile: quando ho formattato la partizione e messo un XP Pro modificato (quelli che si trovano in giro, che sono simili a vista o 7) e il problema persisteva! Il pc non si avviava e si riavviava di continuo... ogni tanto si bloccava ad una schermata nera e mi dava un errore proprio su questo win32k.sys e mi ricordo che stavano scritte una serie di cose incomprendibili riguardo "kernel mode". Fortunatamente dopo un'altra formattazione ho messo XP Pro normale e tutto si è risolto, altrimenti non sarei qui a raccontarlo... Spero non vi accada sta cosa T_T Saluti
  2. Avatar
    gnulinux866
    27/11/2010 08:14:05
    Citazione: Ti spiego una falla sfruttabile in locale con relativo exploit, può essere veicolata da altro malware, non a caso Giuliani scrive: ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/
    Ed aggiungo che, una situazione simile, rappresenta una sorta di vaso di pandora, che deve essere chiuso subito, altrimenti diventa di rifermento per virus writers, anzi credo che già lo sia.
  3. Avatar
    gnulinux866
    27/11/2010 07:56:09
    Ti spiego una falla sfruttabile in locale con relativo exploit, può essere veicolata da altro malware, non a caso Giuliani scrive: ( We expect to see this exploit being actively used by malwares very soon – it's an opportunity that malware writers surely won't miss.” ) http://www.theregister.co.uk/2010/11/24 ... ay_report/
  4. Avatar
    suc
    26/11/2010 10:37:53
    http://www.securityfocus.com/bid/45045 Microsoft Windows User Access Control (UAC) Bypass Local Privilege Escalation Vulnerability Remote: No Local: Yes gnulinux866 quale parte di "Local Privilege Escalation" non ti è chiara? quale parte di "remote: No" non ti è chiara?
  5. Avatar
    gnulinux866
    26/11/2010 08:54:06
    Davidef, al contrario tale falla è sfruttabile anche da remoto.
  6. Avatar
    davidf
    25/11/2010 13:04:17
    Fortunatamente non è exploitabile da remoto, è solo locale.
Un exploit 0day minaccia tutte le versioni di Windows - IlSoftware.it