Author: IlSoftware.it
Una ricercatrice indipendente ha appena rivelato di aver scoperto una vulnerabilità che affligge tutte le versioni di Windows e che permette a un utente o a un qualunque processo in esecuzione sul sistema locale di acquisire i diritti SYSTEM.
L’account SYSTEM nel mondo Windows corrisponde fondamentalmente ai privilegi root nei sistemi Linux/Unix e viene principalmente utilizzato per far eseguire i processi critici di sistema. Esso non è indicato tra gli account presenti (lo si può verificare premendo la combinazione di tasti Windows+R e scrivendo lusrmgr.msc) ed è considerato un account a uso “interno”.
Il fatto è che in alcune circostanze, di solito proprio facendo leva su un bug irrisolto del sistema operativo, è possibile arrivare ad acquisire i diritti SYSTEM.
Ci è riuscita ancora una volta la ricercatrice che si fa chiamare SandboxEscaper, a conferma dell’impegno da tempo profuso – ad esempio – nell’individuazione delle lacune di sicurezza che permettono di sfuggire ai paletti imposti da un ambiente sicuro e isolato qual è appunto una sandbox.
L'”escapologa delle sandbox” questa volta non ha contattato Microsoft per segnalare la sua scoperta ma ha preferito pubblicare online il codice proof-of-concept così da dimostrare le sue asserzioni. Come si legge in molti post sul blog di SandboxEscaper e sul suo account Twitter, la ricercatrice avrebbe maturato la sua decisione dopo che il suo lavoro – nel caso di altri 0-day – è stato ignorato. E cita una serie di record nel database CVE (Common Vulnerabilities and Exposures) in cui non è mai stata citata, neppure per mero riconoscimento.Il problema appena scoperto e comune a tutte le versioni di Windows ha a che fare con l’interfaccia ALPC (Advanced Local Procedure Call). Essa viene utilizzata dalla funzionalità Pianifica attività del sistema operativo per mettere in comunicazione un processo client con un processo server e fare in modo che il primo possa raccogliere delle informazioni.
Il funzionamento del proof-of-concept appena pubblicato su GitHub è stato confermato con la pubblicazione di un bollettino sul sito del CERT statunitense.
Sebbene l’indice di pericolosità non sia elevatissimo (massimo 6,8 secondo il CERT), il problema potrebbe essere facilmente sfruttato da un utente che eseguisse un malware da un account utente sprovvisto dei diritti di amministratore. E fintanto che Microsoft non avrà sanato la vulnerabilità, a questo punto l’utilizzo di un account normale (non amministrativo) non è più sufficiente per evitare le conseguenze più spiacevoli.