I ricercatori di Google rivelano una vulnerabilità di escalation dei privilegi in Windows

Il team di Google Project Zero (GPZ) ha divulgato mercoledì una vulnerabilità zero-day ad alta gravità in Windows, che se sfruttata può causare un’elevazione dei privilegi. Poiché il produttore di chip non è stato in grado di sviluppare una patch adeguata entro 90 giorni dalla ricezione della notifica da Project Zero, Google ha ora rilasciato pubblicamente i dettagli del bug.

Per chi non lo sapesse, secondo la politica di divulgazione rivista, GPZ deve attendere almeno 90 giorni prima di rivelare pubblicamente i dettagli di un bug di sicurezza, anche se il bug viene risolto prima di quella scadenza. Inoltre, i fornitori possono richiedere un ulteriore periodo di grazia di 14 giorni a Google se ritengono di non essere in grado di risolvere la vulnerabilità segnalata entro 90 giorni.

La vulnerabilità riguarda un processo a bassa integrità che può inviare messaggi LPC a splwow64.exe (integrità media) e ottenere un primitive write-what-where nello spazio di memoria di splwow64. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire all’attaccante di controllare la destinazione, i contenuti copiati e il numero di byte copiati tramite una chiamata memcpy.

Questa vulnerabilità zero-day in Windows (originariamente tracciata come CVE-2020-0986) apparentemente non è nuova. È stata infatti scoperta da un ricercatore di sicurezza di Kaspersky questa scorsa estate, che è stata successivamente corretta da Microsoft a giugno.

“Esiste una vulnerabilità di elevazione dei privilegi quando il kernel di Windows non gestisce correttamente gli oggetti in memoria. Un attaccante che sfrutta con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Un attaccante potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con pieni diritti utente,” aveva dichiarato Microsoft in un avviso emesso a giugno.

L’aggiornamento di Microsoft di giugno includeva una patch che affrontava la vulnerabilità correggendo il modo in cui il kernel di Windows gestisce gli oggetti in memoria. Tuttavia, secondo Maddie Stone, una ricercatrice di Google Project Zero, questa patch è stata ora trovata incompleta, poiché cambia solo i puntatori a un offset consentendo agli attaccanti di sfruttarla.

“Microsoft ha rilasciato una patch a giugno, ma quella patch non ha risolto la vulnerabilità,” ha twittato mercoledì. “Dopo aver segnalato quella cattiva correzione a settembre, sotto una scadenza di 90 giorni, non è ancora stata risolta.”

Ha aggiunto: “Il problema originale era un dereferenziamento di puntatore arbitrario che consentiva all’attaccante di controllare i puntatori src e dest di una memcpy. La ‘correzione’ ha semplicemente cambiato i puntatori in offset, il che consente ancora di controllare gli argomenti della memcpy.”

Microsoft ha assegnato un nuovo CVE, CVE-2020-17008 per il problema, che si prevede sarà risolto dall’azienda il 12 gennaio 2021, a causa di “problemi identificati nei test” dopo aver pianificato di rilasciare una correzione a novembre. Nel frattempo, Project Zero ha divulgato pubblicamente la vulnerabilità con codice proof-of-concept per il problema.