La divulgazione di una falla non nota prima che la stessa sia notificata all’azienda produttrice espone tutti i suoi utenti a potenziali attacchi dai quali spesso è difficile difendersi
Molte volte abbiamo discusso di divulgazione responsabile di una vulnerabilità, ovvero dalla possibilità che gli esperti che identificano una vulnerabilità in un sistema ne rivelino i dettagli solo dopo aver dato tempo all’azienda produttrice del sistema di risolvere il problema.
Chiaramente la divulgazione di una falla non nota, zero-day, prima che la stessa sia notificata all’azienda produttrice del software/sistema espone tutti i suoi utenti a potenziali attacchi dai quali spesso è difficile difendersi.
Che cosa è successo
Questo in sintesi è quanto accaduto: un ricercatore di sicurezza che utilizza l’account Twitter @SandboxEscaper ha rivelato i dettagli di una falla di tipo “privilege escalation” che affligge i sistemi operativi Windows.
La conseguenza è che un attaccante locale potrebbe sfruttare la vulnerabilità per elevare i propri privilegi, così come potrebbe fare un malware per ottenere i privilegi di sistema sulla macchina vulnerabile.
Secondo l’esperto che ha rivelato la falla, il problema è persino presente in “sistemi Windows 10 a 64 bit completo di patch aggiornate”.
La vulnerabilità risiede nel programma di pianificazione delle attività di Windows ed è relativo ad errori nella gestione dei meccanismi ALPC (Advanced Local Procedure Call).
Il meccanismo ALPC è utilizzato dalla funzionalità Pianifica attività del sistema operativo per agevolare la comunicazione di processi sulla medesima macchina migliorando il trasferimento sicuro di dati ad alta velocità tra gli stessi in modalità utente.
Il difetto ha ricevuto un punteggio CVSS compreso tra 6,4 e 6,8, non elevato proprio perché il meccanismo di sfruttamento della falla implica un attacco “locale.”
La pubblicazione del codice
SandboxEscaper non si è limitato a pubblicare i dettagli della falla, bensì ha reso disponibile anche codice per lo sfruttamento della vulnerabilità (proof-of-concept (PoC)) su GitHub.
Effettivamente la vulnerabilità è stata verificata dall’analista del US CERT/CC Will Dormann che ha pubblicato il seguente messaggio:
I've confirmed that this works well in a fully-patched 64-bit Windows 10 system.
LPE right to SYSTEM! https://t.co/My1IevbWbz— Will Dormann (@wdormann) August 27, 2018
Il CERT/CC ha pubblicato un avviso di sicurezza che spiega come la falla potrebbe essere sfruttata da un attaccante locale per ottenere privilegi elevati (SYSTEM).
Ha anche confermato che attualmente non vi è alcuna soluzione alternativa per il difetto.
“Il programma di pianificazione delle attività di Microsoft Windows contiene una vulnerabilità nella gestione del meccanismo ALPC che può consentire a un utente locale di ottenere i privilegi di sistema. Confermiamo che l’exploit pubblico funziona su sistemi Windows 10 a 64 bit e Windows Server 2016. La compatibilità con altre versioni di Windows potrebbe essere possibile con la modifica del codice sorgente dell’exploit pubblicamente disponibile ” dice l’avviso di sicurezza emesso dal CERT / CC.
Gli esperti avvertono che un malware che potrebbe includere il codice PoC per ottenere privilegi di sistema su sistemi Windows.
SandboxEscaper non ha segnalato subito la vulnerabilità zero-day a Microsoft, ciò implica che tutti i sistemi Windows resteranno vulnerabili fino a quando la società non rilascerà i necessari aggiornamenti di sicurezza.
Al momento non è ancora chiaro se il codice pubblicato dall’esperto realmente funzioni per tutte le versioni di Windows, alcuni ricercatori infatti, sostengono che il codice PoC non funziona su Windows 7.
Gli esperti ritengano che Microsoft possa distribuire degli aggiornamenti di sicurezza per risolvere il problema già a settembre come parte del consueto Patch Tuesday, previsto per l’11 settembre.
