Resa pubblica una vulnerabilità zero-day di Microsoft Windows

26 Novembre 2021 Nicola Fioranelli

Una grave vulnerabilità zero-day che riguarda tutti i sistemi Microsoft Windows è stata nota negli scorsi giorni. Dai dettagli riportati dalle testate di settore sembra che riguardi in modo particolare Windows Installer e che tramite questo applicativo sia possibile fare un attacco di privilege escalation. Questo tipo di exploit permette di ottenere dei diritti tipicamente preclusi ad un utente standard e, nel caso specifico, di diventare l’utente SYSTEM, il più elevato nella gerarchia di Windows.

La vulnerabilità zero-day legata alla CVE-2021-41379

II ricercatore Abdelhamid Naceri aveva già segnalato la vulnerabilità CVE-2021-41379 a Microsoft che aveva rilasciato una patch correttiva negli aggiornamenti di sicurezza rilasciati a Novembre. Tuttavia, lo scorso weekend una nuova scoperta: Naceri è stato in grado di bypassare la patch di Microsoft e pertanto fare privilege escalation senza troppi problemi.

Windows zero-day

Per poter funzionare è necessario l’accesso locale alla macchina così da riuscire ad eseguire dei comandi attraverso l’utenza “standard”. In questo modo grazie al bug in Windows Installer si riesce ad ottenere facilmente i privilegi di SYSTEM e per tanto ad eseguire qualsiasi operazione sulla macchina attaccata.

Il problema forse più grave è la grande diffusione della vulnerabilità che è disponibile praticamente in ogni versione di Windows, comprese le recentissime Windows 11 e Windows Server 2022.

I rischi legati alla vulnerabilità e la presenza dei primi malware

Dalle informazioni riportate da Bleeping Computer sono iniziati a circolare anche alcuni malware per iniziare a testare il proof-of-concept relativo al recente exploit.

I ricercatori di Cisco del gruppo Talos Security Intelligence & Research, hanno trovato tracce dei primi malware che tuttavia ritengono far parte di alcune campagne di testing. Infatti, i volumi di attacco rimangono ancora bassi ma danno l’idea di quanta richiesta di nuove vulnerabilità ci sia nel mercato nero.

Microsoft stessa ha comunque rassicurato i propri clienti perché per poter funzionare, l’attacco ha bisogno dell’accesso locale alla macchina.

Gli scenari futuri e l’attesa di una nuova patch

Per il momento lo stesso Naceri ha dichiarato che il miglior workaround possibile è di attendere un rilascio di Microsoft, data la complessità della vulnerabilità. Infatti, eventuali tentativi di andare a risolvere il problema causano soltanto la rottura di Windows Installer e la sua inutilizzabilità.

Nell’attesa che Microsoft produca una patch in grado di risolvere definitivamente la precedente vulnerabilità e la nuova zero-day, i consigli che possiamo dare sono sempre di prestare la massima attenzione a ciò che si scarica da Internet. Inoltre è sempre opportuno evitare di eseguire software di cui non si conosce con esattezza la provenienza così da evitare ogni occasione di eseguire possibili codici malevoli.