Una nuova vulnerabilità zero-day in Windows potrebbe consentire ad un attaccante di acquisire privilegi elevati sul sistema target e prenderne il pieno controllo.
La vulnerabilità, di tipo EoP (Elevation of Privileges) e tracciata come CVE-2020-17087, è stata scoperta dai ricercatori del team Project Zero di Google mentre cercavano la soluzione per un’altra vulnerabilità (ora risolta) identificata nel browser Chrome.
Al momento, la vulnerabilità zero-day in Windows non è stata ancora corretta nonostante siano stati già resi pubblici i dettagli e sia stata utilizzata attivamente in almeno un attacco confermato.
Sempre secondo gli esperti di Google, la patch potrebbe essere rilasciata da Microsoft il prossimo 10 novembre in occasione del Patch Tuesday di novembre, ma non è escluso che venga pubblicato un bollettino di sicurezza specifico già nei prossimi giorni come successo in passato per altre vulnerabilità.
Indice degli argomenti
I dettagli della vulnerabilità zero-day in Windows
In particolare, la falla di sicurezza interessa le versioni 7, 8 e 10 di Windows ed è stata identificata nel Kernel Cryptography Driver (cng.sys): nel dettaglio, il bug risiede nella funzione cng!CfgAdtpFormatPropertyBlock e si verifica a causa di un problema di troncamento dei numeri interi a 16 bit. Questa particolare caratteristica rende un eventuale exploit difficilmente riproducibile se non da gruppi criminali particolarmente attrezzati sia tecnicamente sia economicamente.
La vulnerabilità è stata sfruttata come parte di un attacco a due fasi reso noto la scorsa settimana.
Gli attaccanti, dei quali al momento non si hanno ulteriori dettagli, l’hanno sfruttata insieme ad un’altra vulnerabilità zero-day di Chrome (identificata come CVE-2020-15999 e già corretta con il rilascio della versione 86.0.4240.111 del browser di Google) che, nella prima fase dell’attacco, ha consentito loro di eseguire codice dannoso all’interno del browser stesso sfruttando un heap buffer overflow nella libreria di font Freetype.
Nella seconda fase dell’attacco è stata invece sfruttata la nuova vulnerabilità zero-day di Windows per evadere dalla sandbox sicura di Chrome: ciò ha consentito loro di eseguire codice arbitrario malevolo sul sistema operativo sottostante sfruttando privilegi utente elevati.
Come mitigare il rischio di un attacco
Nei dettagli tecnici rilasciati dal team project Zero di Google è presente anche un codice proof-of-concept che consente di replicare un possibile attacco alla macchine Windows vulnerabili.
Da parte sua, Microsoft fa sapere di non aver avuto finora alcuna evidenza di attacchi cyber in cui è stata sfruttata la nuova vulnerabilità zero-day in Windows.
Comunque stiano le cose, per mitigare il rischio è opportuno aggiornare immediatamente il browser Chrome all’ultima versione disponibile e poi procedere all’installazione della patch di Windows appena verrà rilasciata da Microsoft, probabilmente nel prossimo Patch Tuesday.
In ogni caso, è sempre buona norma lasciare che gli aggiornamenti importanti di Windows vengano installati automaticamente mediante il servizio Windows Update.
In alternativa, sempre da Windows Update possiamo verificare manualmente la disponibilità di una eventuale patch.
