Windows Defender: scoperta (e risolta) vulnerabilità vecchia di 12 anni! Aggiornate Windows

Windows Defender: scoperta (e risolta) vulnerabilità vecchia di 12 anni! Aggiornate Windows

In Windows Defender si trova una vulnerabilità rimasta inosservata per almeno 12 anni: è pericolosa, ma è stata risolta con gli aggiornamenti del patch tuesday del 9 febbraio

di pubblicata il , alle 11:41 nel canale Sicurezza
WindowsMicrosoft
 

La società di sicurezza informatica SentinelOne ha individuato una vulnerabilità di Microsoft Windows Defender che è rimasta inosservata per almeno 12 anni: il colosso di Redmond ha corretto il problema con gli aggiornamenti del patch tuesday dello scorso martedì, dopo che SentinelOne ha segnalato privatamente la presenza della falla nel corso del passato mese di novembre.

Il problema, secondo le informazioni divulgate dai ricercatori, riguarda un driver che Windows Defender usa per eliminare eventuali file e strutture invasive che possono essere create da un malware quando compromette il sistema. Nel momento in cui tale driver rimuove un file dannoso lo sostituisce con una sorta di "segnaposto" durante le operazioni di riparazione. I ricercatori hanno però notato che il sistema non va ad eseguire una nuova verifica su quel file-segnaposto creato: ciò lascia aperta la possibilità per un attaccante di inserire collegamenti di sistema opportunamente orchestrati così che spingano il meccanismo di Windows Defender a sovrascrivere il file sbagliato o addirittura ad eseguire codice dannoso.

Chiaramente la possibilità di sfruttare i meccanismi di una soluzione di sicurezza è particolarmente ghiotta per gli attaccanti, dal momento che una risorsa come Windows Defender è presente in centinaia di milioni di computer in tutto il mondo poiché è integrata nel sistema operativo di Microsoft. Non solo: trattandosi di un programma affidabile, il driver di cui sopra è contraddistinto da firma crittografica della stessa Microsoft per dimostrare la sua legittimità.

Kasif Dekel, ricercatore senior per SentinelOne, precisa: "Questo bug permette di sorpassare i permessi. Il software in esecuzione con permessi inferiore può elevarli ad amministratore e compromettere il sistema".

Vulnerabilità nascosta per 12 anni su Windows Defender

Microsoft ha classificato la vulnerabilità, identificata dalla sigla CVE-2021-24092, come rischio "alto", anche se è bene precisare alcuni dettagli. Anzitutto la vulnerabilità può essere attivamente sfruttata solamente se un attaccante abbia già avuto modo di ottenere accesso, fisico o remoto, ad una macchina. Ciò significa che il problema individuato da SentinelOne, e che, ripetiamo, Windows ha corretto con l'ultimo aggiornamento, non è in grado da solo di permettere ad un attaccante di aprirsi un varco d'accesso al sistema. Ciò detto è comunque importante rimarcare che questo tipo di vulnerabilità potrebbe rappresentare una ghiotta possibilità per hacker che già abbiano avuto accesso a sistemi non ancora aggiornati.

SentinelOne e Microsoft hanno dichiarato che attualmente non esistono prove che dimostrino che il problema sia stato individuato e sfruttato prima dell'analisi condotta dai ricercatori. SentinelOne sta inoltre mantenendo riservati i dettagli di funzionamento della vulnerabilità per dar tempo all'aggiornamento rilasciato da Microsoft di diffondersi sul maggior numero di sistemi possibili. Tuttavia dato il dominio pubblico della cosa è solo questione di tempo perché hacker e criminali informatici possano capire come trarre vantaggio dal problema. Microsoft precisa che il problema è risolto per chiunque abbia installato l'aggiornamento dello scorso 9 febbraio o abbia gli aggiornamenti automatici attivi.

La vulnerabilità è rimasta sconosciuta per un periodo così lungo poiché il meccanismo di funzionamento del driver "incriminato" è abbastanza particolare. Esso infatti non rimane installato in maniera perpetua come accade per un qualsiasi altro driver di periferica, ma si trova in una "libreria di collegamento dinamico" che permette a Windows Defender di caricarlo solamente quando si presenta la necessità e di cancellarlo dal disco una volta che il driver ha espletato le sue funzioni. La vulnerabilità potrebbe essere presente da molto più tempo, ma le verifiche di SentinelOne hanno potuto spingersi solamente fino ai dati registrati dallo strumento di sicurezza VirusTotal.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
tallines16 Febbraio 2021, 10:11 #1
Meno male che aggiorno sempre.............
danylo16 Febbraio 2021, 17:36 #2
Che tempismo!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^