Google rivela falla di Windows non ancora corretta. Microsoft risponde infuriata

Lo scorso lunedì il Threat Analysis Group di Google ha rilasciato i dettagli di una vulnerabilità di Windows non ancora corretta lasciando milioni di utenti a rischio hack. Non è la prima volta che Big G si comporta in questo modo, dal momento che la compagnia dà alle società sette giorni di tempo, dalla divulgazione in privato, per rilasciare un fix per sanare le falle scoperte. Due anni fa lo aveva fatto con un glitch di sicurezza su Windows 8.1, e allora Microsoft aveva pesantemente redarguito la condotta della concorrente/partner.

Secondo quanto riportato dal report del Threat Analysis Group, la nuova falla scoperta su Windows 10 è di natura "particolarmente grave" dal momento che è già stata sfruttata. Google scrive nel report pubblico sulla nuova vulnerabilità:

La vulnerabilità di Windows consente una scalata di privilegi nel kernel del sistema operativo e può essere utilizzata per la fuga di dati da una sandbox di sicurezza. Può essere attivata attraverso la chiamata di sistema NtSetWindowLongPtr() su win32k.sys per l'indice GWLP_ID su una finestra con GWL-STYLE impostato a WS_CHILD. La sandbox di Chrome blocca le chiamate di sistema di win32k.sys, prevenendo l'exploit di questa vulnerabilità di tipo "sandbox escape".

Ad oggi Microsoft non ha ancora pubblicato una patch di sicurezza o un bollettino di sicurezza e sono passati più di 10 giorni da quando i ricercatori di Google hanno notificato privatamente l'esistenza della vulnerabilità. In passato Microsoft aveva dichiarato che problemi di questo tipo su software complessi come un sistema operativo richiedono un ammontare di tempo superiore per poter essere definitivamente sistemati, ed è stata costretta a ritornare sull'argomento.

"Crediamo nella gestione coordinata delle vulnerabilità, e un rilascio così repentino da parte di Google mette i clienti a rischio. Windows è l'unica piattaforma che ha un impegno verso il cliente per indagare sui problemi di sicurezza riportati e aggiornare proattivamente i dispositivi coinvolti il più in fretta possibile", ha dichiarato niente meno che Terry Mierson. "Consigliamo ai consumatori di utilizzare Windows 10 e il browser Microsoft Edge per avere la massima protezione".

Nelle scorse ore Microsoft ha rilasciato ulteriori dettagli ammettendo la presenza della falla e il suo sfruttamento in pubblico. Ad aver eseguito un exploit di tipo spear-phishing sfruttando la vulnerabilità è stato un gruppo chiamato STRONTIUM, tuttavia la specifica aggressione non funziona sui sistemi con Windows 10 Anniversary Update e Microsoft Edge. L'attacco utilizza due vulnerabilità zero-day presenti su Flash e Windows Kernel consentendo a Flash di ottenere il controllo sul processo del browser.

Da lì può poi fuoriuscire dalla sandbox del browser e installare una backdoor per fornire, al malware, accesso ai dati del sistema. La vulnerabilità è presente su quasi tutte le più recenti versioni di Windows, da Vista a 10 November Update e la patch non verrà rilasciata prima del prossimo Patch Tuesday l'8 novembre. Le aziende che hanno attivato Windows Defender Advanced Threat Protection (ATP) sono comunque al sicuro, dal momento che la funzionalità può rilevare e rispondere efficacemente agli strumenti utilizzati per eseguire l'attacco.

Myerson continua puntando il dito nei confronti di STRONTIUM, sostenendo che il gruppo sia fra i più attivi quest'anno e l'artefice del maggior numero di attacchi compiuto negli scorsi mesi. Il gruppo punta a compromettere soprattutto un indirizzo e-mail di un singolo utente, utilizzandolo poi per inviare contenuti fraudolenti ad altre vittime. Il dirigente Microsoft conclude mostrandosi deluso dalle metodiche utilizzate da Google, le quali hanno messo a rischio centinaia di milioni di utenti in tutto il mondo che rimarranno "in pericolo" almeno fino al prossimo 8 novembre.