Il team di Project Zero ha scoperto una zero-day all’interno dell’ultimo sistema operativo di Microsoft. Ecco cosa permette di fare
Lo ricorderemo come l’ultimo zero-day dell’anno. La vulnerabilità individuata dal gruppo di Google del Project Zero è infatti l’ultima in ordine cronologico del 2014, scoperta e pubblicata il 29 dicembre scorso dopo aver dato 90 giorni al team di sicurezza di Microsoft per prenderne atto e risolverla. Così non è stato, almeno non ancora, e allora Google ha deciso di spiegare a tutti cosa succede. La falla permette di ottenere alcuni privilegi nella funzione NtApphelpCacheControl, utilizzata per memorizzare le informazioni di compatibilità delle applicazioni. Nulla che riguardi un utilizzo quotidiano del sistema ma che può, in ogni caso, rappresentare un certo pericolo per la sicurezza. Infatti la funzione interessata viene utilizzata anche per bypassare il controllo dell’account utente ad ogni accensione (UAC), avviando così il computer con le credenziali di accesso immesse in precedenza.
Cosa può fare
Per questo un utente maligno potrebbe utilizzare la falla per promuovere alcune applicazioni come abilitate a svolgere azioni di amministrazione, ma solo se ottengono già gli stessi privilegi dell’utente. Questo vuol dire che all’interno del computer deve esservi già insediato un virus o malware che ha preso il controllo del sistema operativo, interponendosi come utente regolare, in grado di sfruttare la zero-day per estendere i diritti anche ad altri software.
Risolvere con urgenza
La notizia, più che circa la vulnerabilità che non presenta evidente svantaggi per l’utente comune, riguarda la noncuranza degli sviluppatori di Microsoft per la questione. I ricercatori di Google avrebbero infatti avvertito della falla i tecnici di Redmond lo scorso 30 settembre, senza però ottenere risposta nei 90 giorni necessari prima di una diffusione pubblica della minaccia. Il problema è che una realizzazione aperta del problema prevede anche l’inserimento di un codice di prova che attesti la reale criticità della falla individuata; codice che potrebbe essere utilizzato da chiunque per esplorare immediatamente la fragilità del sistema. Non è chiaro a questo punto se Microsoft tapperà il buco con il primo pacchetto di fix del 2015, previsto per il prossimo 13 gennaio.