Windows, falla zero-day su PsExec risolta: come installare la micropatch

Windows, falla zero-day su PsExec risolta: come installare la micropatch

Disponibile sulla piattaforma 0patch, la micropatch serve a correggere una vulnerabilità zero-day presente sullo strumento PsExec che consente ad un aggressore con accesso locale di scalare i permessi di Windows

di pubblicata il , alle 13:11 nel canale Sistemi Operativi
MicrosoftWindows
 

Sulla piattaforma 0patch è stata rilasciata una micropatch gratuita che risolve una vulnerabilità 0-day di Windows che consente una escalation dei privilegi locali (LPE) sfruttando lo strumento di gestione PsExec. Quest'ultimo può essere utilizzato in sostituzione di telnet, è interattivo e consente agli amministratori di sistema di eseguire programmi su computer remoti. PsExec è integrato inoltre in diversi tool enterprise per avviare in remoto eseguibili su altri computer.

Attraverso la vulnerabilità un aggressore con accesso al sistema può forzare con PsExec l'esecuzione di una named pipe creata con finalità malevole, dando alla stessa l'accesso ai permessi Local System. Dopo aver eseguito l'exploit, l'aggressore può eseguire processi arbitrari con i permessi più elevati, e prendere pieno possesso del sistema. Come spiegato da David Wells, che ha scoperto la falla e l'ha diffusa pubblicamente il 9 Dicembre 2020, l'attacco LPE "consente a un processo non-admin di ottenere i privilegi di sistema se PsExec viene eseguito localmente o da remoto sul sistema target". La falla è stata divulgata dopo 90 giorni dal primo report inviato a Microsoft, con l'azienda che non ha ancora rilasciato una patch per il bug.

Dopo aver sviluppato un proof-of-concept, inoltre, Wells ha dimostrato che la falla coinvolge diverse versioni di Windows, partendo da XP fino ad arrivare al più recente Windows 10. L'exploit è inoltre praticabile su diverse versioni di PsExec, partendo dalla 1.72 che è stata rilasciata nel 2006, fino alla 2.2. Nonostante il silenzio di Microsoft, però, la micropatch rilasciata sulla piattaforma 0patch protegge interamente dall'exploit (come dimostrato nel video che trovate nella pagina). La patch si applica sull'ultima versione di PsExec disponibile, sia nella variante a 64-bit sia in quella a 32-bit. Non richiede un riavvio e nel prossimo futuro potrebbero essere rilasciate nuove versioni per risolvere il problema anche sulle release meno recenti del tool.

Mitja Kolsek, co-fondatore di 0patch, ha ulteriormente spiegato che:

"Questa vulnerabilità consente a un utente malintenzionato che può già eseguire codice sul computer remoto come non-admin (ad esempio, accedendo come un normale utente di Terminal Server, o stabilendo una sessione RDP come utente di dominio, o entrando in un servizio vulnerabile senza privilegi in esecuzione sul computer remoto) di elevare i propri privilegi a Local System e assumere completamente il controllo della macchina non appena qualcuno utilizza PsExec su quella macchina".

Si tratta di una minaccia di bassa priorità su sistemi domestici o di piccole aziende, tuttavia per i sistemi di grosse realtà aziendali la vulnerabilità potrebbe essere una minaccia ad alta priorità".

Come applicare la micropatch

La procedura per applicare la micropatch è presente sul sito ufficiale di 0patch e la traduciamo qui di seguito:

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
igiolo08 Gennaio 2021, 14:17 #1
ma questa falla prevede che il servizio PsExec sia installato e running giusto?
Paganetor08 Gennaio 2021, 14:47 #2
scusate, ma per correggere un problema di Windows devo registrarmi su un sito esterno a Microsoft e scaricare la loro patch? Davvero???
sbaffo08 Gennaio 2021, 15:18 #3
"un aggressore con accesso al sistema" si intende accesso fisico?
comunque a noi utenti casalinghi interessa poco.

Piuttosto mi fa strano ogni volta che leggo che la stessa vulnerabilità si estende da XP a Win10, ma quanta roba vecchia e riciclata si porta ancora dietro? Non dicevano che lo avevano riscritto da zero?

@Paganetor
si, se Microsoft non rilascia la patch e questi altri la rilasciano prima, altrimenti aspetti che Ms con mooolta calma rilasci anche lei.
acerbo08 Gennaio 2021, 15:33 #4
Originariamente inviato da: Paganetor
scusate, ma per correggere un problema di Windows devo registrarmi su un sito esterno a Microsoft e scaricare la loro patch? Davvero???


sono i limiti del sw chiuso
danylo08 Gennaio 2021, 17:56 #5
Originariamente inviato da: sbaffo
Non dicevano che lo avevano riscritto da zero?

Hai idea di quanto tempo serva a riscrivere TUTTO da zero?
E soprattutto, ripartire da quando e' stata inventata la ruota, e' solo uno spreco di risorse.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^