Scoperta una grave vulnerabilità sui computer Windows. Siamo tutti a rischio?

Pierguido Iezzi

Questa criticità può permette ai criminal hackers di impossessarsi del sistema target

In queste ore sono state rese pubbliche le informazioni relative a una grave vulnerabilità che colpisce ed ha effetti su tutti i computer Windows 10 a 64 bit e Windows Server 2016. Questa criticità permette a terze parti, Criminal Hackers, di impossessarsi dello stesso computer. Una opportunità estremamente ghiotta per il Cybercrime.

 

Questa vulnerabilità è uno zero day. Come indicato dal Cert, col il termine zero-day (o 0-day) "si indica una minaccia informatica che sfrutta vulnerabilità di applicazioni software non ancora divulgate o per le quali non è ancora stata distribuita una patch. Gli attacchi zero-day sono considerati una minaccia molto grave, in quanto sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna soluzione".

 

La notizia è stata pubblicata da un utente anonimo con un post su Twitter, contiene tutti i dettagli e potrebbe permettere ad un utente locale o remoto (attraverso un software dannoso, un trojan) di ottenere i privilegi di sistema del computer target. La vulnerabilità zero-day in questione è stata identificata su un sistema Windows 10 e 64 bit e su un Windows Server 2016 completamente aggiornati con le ultime patch rilasciate da Windows. Praticamente tutti i computer windows 10 a 64 bit e Windows Server 2016 sono vulnerabili e al momento non ci sono patch di remediation disponibili.

 

Come Funziona ?

La vulnerabilità permette l'escalation dei privilegi utente. L'API dell'utilità di pianificazione di Windows non controlla le autorizzazioni, pertanto, qualsiasi potenziale malintenzionato locale può modificarle per ottenere privilegi elevati. Opera attraverso la funzione di pianificazione delle attività di Windows sfruttando un errore nella gestione del sistema ALPC (Advanced Local Procedure Call). 

 

L'ALPC , Advanced Local Procedure Call, è il meccanismo di comunicazione interno che Windows utilizza per permettere la  comunicazione tra i processi interni per lo scambio delle informazioni ad alta velocità e in maniera sicura.

 

In maniera sicura...doveva esserlo, in realtà questo sistema non effettua il controllo delle autorizzazioni e pertanto chiunque può sfruttare questa criticità per ottenere i privilegi di amministratore del computer o server Windows.

    

Il CERT Conferma la Vulnerabilità Zero Day

    

I CERT sono le organizzazioni che hanno il compito di monitorare, analizzare e verificare le segnalazioni relative agli incidenti informatici e le possibili vulnerabilità dei sistemi informatici. Sono organizzazioni finanziate direttamente dalle Università o direttamente dagli Enti Governativi. Come abbiamo detto in precedenza, la vulnerabilità in questione, che ricordiamo essere una zero-day, è stata resa nota pubblicamente da un utente anonimo tramite Twitter. L'utente in questione, SandboxEscaper, non solo ha reso pubblici tutti i dettagli ma ha anche fornito le indicazioni operative per come sfruttare questa criticità pubblicando il link di una pagina su Github che contiene l'exploit proof-of-concept (PoC). L'exploit è un codice software che viene creato per sfruttare una specifica vulnerabilità.

 

Dopo la pubblicazione, il CERT ha verificato e confermato la vulnerabilità pubblicando una breve nota in cui ha convalidato lo zero-day ribadendo che se sfruttato, consente a terze parti di ottenere privilegi elevati (SYSTEM) del sistema target.

  

ETICA degli ZERO-DAY

    

La maggior parte delle aziende che si occupano di CyberSecurity effettuano analisi, ricerche e studi per identificare le criticità e vulnerabilità dei sistemi informatici (hardrware, software, network). Stiamo parlando degli Hacker che non devono essere confusi con i Criminal Hacker. 

 

Da un punto di vista Etico, la maggior parte delle linee guida ( es: OIS Guidelines for Security Vulnerability Reporting and Response) vietano la divulgazione e la pubblicazione delle vulnerabilità zero-day. Per poterlo fare è necessario prima di tutto notificare la scoperta al produttore e fornire al produttore stesso il tempo sufficiente per produrre e rilasciare la relativa patch.

  

Cosa dobbiamo aspettarci?

  

La scoperta di questa vulnerabilità e il fatto che il relativo exploit è stato reso pubblico, di fatto espone chiunque abbia un Windows 10 e un Server 2016 ad un elevato rischio di subire un attacco informatico con la conseguenza che i dati presenti nel sistema possano essere rubati (comunicazioni personali, dati del conto corrente, foto, ... ). Windows sta lavorando per rilasciare la relativa patch ma il vero problema sarà il fatto che ognuno di noi dovrà avere l'accortezza e l'attenzione di effettuare quanto prima il relativo aggiornamento.

 

Nei prossimi giorni aspettiamoci nuovi attacchi di malware e virus soprattutto attraverso attività di phishing.

Di più su questi argomenti: