Windows 7 gravemente in pericolo a causa di un exploit 0-Day

Uno dei punti di forza dei nuovi sistemi Windows - a partire da Windows Vista – è proprio il famosissimo UAC, User Account Control. L’UAC è un ulteriore controllo che il sistema operativo esegue prima di dare l’ok per modifiche critiche ai files di sistema (installazione nuovi programmi, esecuzioni di applicazioni quali regedit e sysedit e via discorrendo). Chiaramente ciò è tornato utilissimo anche a fini amministrativi: è stata così ulteriormente accentuata la distinzione tra utenti amministratori e non di un sistema Windows, applicando restrizioni ancor più forti a questi ultimi.

Purtroppo, però, non sempre è tutt’oro ciò che luccica: grazie ad un bug decisamente critico nel kernel di Windows (in questo caso all’interno del file win32k.sys) un utente non amministratore potrebbe guadagnare privilegi da amministratore bypassando tranquillamente il controllo UAC. E’ esattamente questo l’obiettivo dell‘exploit in questione: si sarebbe riuscita a sfruttare la vulnerabilità in win32k.sys ed a creare, per l’appunto questo exploit, che permette ad un utente semplice di guadagnare privilegi di amministrazione ed ottenere quindi pieno controllo su funzioni e funzionalità del sistema operativo.

Il che, se pensassimo ad esempio ad una macchina aziendale o ad un computer con restrizioni, non sarebbe assolutamente poca cosa.  Fortunatamente, però, l’exploit sembra poter non essere sfruttato al livello di esecuzione remota, ragion per cui non c’è da aver paura degli hackeruzzi sparsi nel mondo: d’altra parte però basterebbe avere accesso fisico alla macchina per bypassarne il controllo UAC ed avere praticamente via libera sul sistema operativo.

Questa vulnerabilità, scoperta da Chester Wisniewski (consulente di sicurezza di Sophos Canada) viene riconosciuta da Sophos sotto il nome di Troj/EUDPoC-A ed affligge per certo i sistemi operativi compresi tra Windows XP e Windows 7 (passando anche per Windows 2008).

Vi posto il video che ne mostra il funzionamento (occhio all’output del comando whoami prima dell’esecuzione dell’exploit e dopo).

Occhio: prima della fine viene illustrato e mostrato un possibile rimedio per evitare gli effetti dell’exploit. Purtroppo, però, potreste avere problemi nella futura installazione di alcune tipologie di programmi. E’ per questo che non illustrerò il metodo: mi limito a consigliarvi di scaricare ed eseguire materiale soltanto da siti/fonti che ritenete attendibili (chiaramente il discorso va esteso anche alle e-mails).

Rispondi