Venerdì 17 per Windows: zero-day RedSun sfrutta Defender e concede privilegi SYSTEM

Una nuova falla zero-day in Windows riporta al centro una questione che molti addetti ai lavori conoscono bene: quando componenti legittimi del sistema operativo interagiscono in modo inatteso, il risultato può essere devastante. Lo stesso ricercatore che appena qualche giorno fa aveva diffuso i dettagli tecnici sulla scoperta di una grave falla di sicurezza in Windows, battezzata BlueHammer, torna alla carica e – con un’evidente punta di acredine nei confronti di Microsoft – condivide su GitHub il codice exploit capace di sfruttare un’altra grave vulnerabilità, peraltro molto simile alla precedente.

Il timing non è casuale: il ricercatore presenta il nuovo exploit RedSun il giorno successivo al Patch Tuesday di Microsoft, proprio quando – con un aggiornamento cumulativo destinato a tutti i suoi sistemi operativi – Redmond aveva messo una pezza a BlueHammer (un semplice eseguibile da pochi chilobyte permetteva di acquisire i privilegi SYSTEM su qualunque installazione di Windows…).

Dal caso BlueHammer alla nuova variante RedSun

Per capire il peso della scoperta conviene fare un passo indietro. Microsoft Defender, integrato nativamente in Windows 10 e 11, ha progressivamente assunto un ruolo centrale nella sicurezza di ciascun sistema. Parallelamente, Microsoft ha introdotto meccanismi come la Cloud Files API per sincronizzazione e gestione dei file cloud.

L’idea era migliorare integrazione e prestazioni; il risultato, almeno in alcuni scenari limite, è una superficie di attacco più ampia.

Il punto di partenza, come anticipato in precedenza, è BlueHammer, una vulnerabilità di tipo local privilege escalation che sfrutta una race condition e una confusione nei percorsi durante le operazioni svolte da Microsoft Defender.

In pratica, un utente con privilegi limitati diventa in grado di estrarre informazioni riservate, come gli hash NTLM (rappresentazioni cifrate delle password di Windows) dal database SAM (Security Account Manager, che contiene le credenziali degli utenti) e, sfruttando tecniche come pass-the-hash (che consente di autenticarsi senza conoscere la password in chiaro), ottenere privilegi amministrativi completi sul sistema (a livello SYSTEM).

RedSun riprende la stessa filosofia ma cambia l’approccio tecnico: il codice non si limita a osservare il comportamento del sistema ma lo manipola attivamente. Il ricercatore ha sfruttato un comportamento anomalo di Defender quando gestisce file con un cosiddetto cloud tag. Defender, tentando di ripristinare il file originale, riscrive il contenuto seguendo il percorso sorgente. Qui entra in gioco l’attacco: quel percorso può essere reindirizzato verso directory “sensibili”.

Meccanismo tecnico: Cloud Files API, race condition e overwrite

Come indicato in precedenza, l’attacco fa perno sulla Cloud Files API, introdotta per supportare servizi come OneDrive Files On-Demand. L’API permette di creare file segnaposto che il sistema considera parte di uno storage remoto. RedSun sfrutta proprio questo meccanismo per marcare file con metadati cloud e indurre Defender a trattarli in modo speciale.

Il passaggio critico avviene durante una race condition con il servizio Volume Shadow Copy. L’exploit crea un file controllato dall’attaccante, attiva un lock per sospendere temporaneamente l’accesso, e forza Defender a intervenire nel momento sbagliato.

Nel frattempo, sfruttando un reindirizzamento basato su un reparse point (un meccanismo del file system che permette di deviare l’accesso a file o cartelle verso un’altra posizione) oppure tramite una giunzione (un collegamento tra directory), la modifica del file non viene effettuata nel percorso originale, ma è indirizzata verso una cartella di sistema, solitamente all’interno di \Windows\System32.

A quel punto l’attaccante sostituisce un binario legittimo, ad esempio un servizio di sistema. Quando Windows esegue quel componente, carica invece il codice malevolo con privilegi elevati. Il salto di privilegio è immediato: da utente limitato a SYSTEM senza passare da exploit a livello kernel o driver vulnerabili.

Impatto reale e scenari di attacco

L’exploit richiede accesso locale, quindi non è direttamente utilizzabile da remoto. Tuttavia, nella pratica operativa questo limite pesa meno di quanto sembri: un attaccante può infatti ottenere l’accesso iniziale al sistema tramite phishing, malware o credenziali compromesse e poi usare RedSun (basta cercare RedSun GitHub su Google) per completare la compromissione del sistema.

Una volta ottenuti i privilegi SYSTEM, le possibilità sono ampie: installazione di servizi persistenti, disattivazione delle difese, dumping di credenziali, movimento laterale nella rete. Negli ambienti aziendali, soprattutto con domini Active Directory, il passaggio da una macchina compromessa a un controllo più esteso può essere davvero molto rapido.

C’è anche un altro aspetto da considerare: il codice proof-of-concept è pubblico: esperienze passate mostrano che gruppi ransomware e operatori APT integrano rapidamente exploit di questo tipo nelle loro catene di attacco.

Al momento, la vulnerabilità risulta presente su tutte le versioni di Windows: e ripetiamo, non è affatto un caso che il ricercatore abbia scelto la giornata di ieri per diffondere la notizia. Dopo l’attrito con i responsabili Microsoft sul caso BlueHammer, il ricercatore ha deciso di non effettuare alcuna condivisione responsabile e procedere in autonomia (mettendo però così a rischio più di un miliardo di installazioni di Windows).