Nonostante la robusta patch di dicembre, rimane da risolvere una vulnerabilità che consente di ottenere i privilegi di amministratore. Ecco di cosa si tratta.
Come noto, martedì scorso Microsoft ha rilasciato 17 bollettini di sicurezza per risolvere ben 38 vulnerabilità scoperte in Windows così come in altri software firmati dal colosso di Redmond.
I tecnici di Microsoft hanno sanato, oltre al noto bug di sicurezza sfruttato per la diffusione e l’insediamento del worm Stuxnet, anche una falla venuta alla luce durante il mese di agosto e che riguarda l’approccio utilizzato nel caricamento delle librerie DLL.
Il problema, battezzato DLL hijacking consente ad un aggressore di far leva sulla procedura adottata dalle applicazioni vulnerabili per caricare in memoria il contenuto di file nocivi ed eseguire codice dannoso.
Il “caricamento insicuro” delle DLL avviene quando il programma non specifica, esplicitamente, il percorso che contiene il file da utilizzare ma lo invoca senza indicare alcunché: in tali situazioni, il sistema operativo va alla ricerca della libreria richiesta all’interno di diverse cartelle (la directory di lavoro dell’applicazione ed alcune cartelle di Windows).
Inserendo una liberia dannosa nella cartella d’installazione dell’applicazione vulnerabile, il malintenzionato può provocare il caricamento di elementi potenzialmente molto pericolosi.
Marco Giuliani, Malware Technology Specialist per Prevx, società anglosassone recentemente acquisita da Webroot, ricorda che Microsoft ha sanato anche la grave lacuna presente nell’utilità per la pianificazione delle operazioni in Windows (Task scheduler) anch’essa impiegata nelle infezioni da Stuxnet.
L’installazione delle patch di martedì scorso è caldamente consigliata perché consente di mettersi al riparo da altri rischi (il rootkit TDL4 sta infatti già sfruttando la medesima vulnerabilità utilizzata da Stuxnet per insediarsi sui sistemi degli utenti).
Giuliani osserva però come gli aggiornamenti rilasciati nei giorni scorsi non risolvano un’altra vulnerabilità già nota pubblicamente. “Pensiamo che gli sviluppatori di malware inizino ad utilizzare il suo codice exploit molto presto“. Anche in questo caso si tratterebbe di una falla molto delicata perché consentirebbe l’acquisizione di privilegi utente più elevati, sia sulle versioni a 32 che a 64 bit.
La vulnerabilità che resta ancora scoperta è definita molto critica da Prevx. “L’API NtGdiEnableEUDC definita nel file win32k.sys non effettua una validazione corretta delle informazioni in ingresso“, aveva osservato Giuliani.
Sfruttando tale lacuna di sicurezza, un aggressore può modificare l’indirizzo di memoria restituito dalla funzione facendolo puntare al codice dannoso messo a punto. Così facendo, il malintenzionato può eseguire, sulla macchina Windows, una serie di istruzioni arbitrarie utilizzando la modalità kernel e, quindi, sfruttando i privilegi più elevati.
