Google: Gli utenti di Windows 7 e 8.1 sono a rischio a causa di Microsoft

Microsoft sta mettendo in pericolo gli utenti di Windows 7 e 8.1 non aggiornando solo Windows 10, afferma Google

Secondo il ricercatore di Project Zero di Google, Mateusz Jurczyk, Microsoft si sta concentrando solo sull’aggiornamento delle vulnerabilità nel suo attuale sistema operativo, Windows 10, e ha lasciato al freddo Windows 7 e 8 non rilasciando gli stessi aggiornamenti di sicurezza critici e patch per essi. Di conseguenza, centinaia di milioni di computer che utilizzano le versioni più vecchie sono a rischio di essere compromessi dagli hacker.

Jurczyk, mentre eseguiva alcune analisi, ha trovato tre diverse vulnerabilità: CVE-2017-8680, CVE-2017-8684 e CVE-2017-8685, che hanno colpito solo Windows 7 e 8.1 e non Windows 10. È stato in grado di trovarle perché Microsoft le ha corrette nel sistema operativo più recente, ma non nelle versioni più vecchie.

Jurczyk ha utilizzato una tecnica chiamata ‘binary diffing’ in cui ha trovato esempi di patch che erano state applicate a Windows 10, ma non a Windows 7 o 8.1.

Per chi non lo sapesse, il binary diffing è una potente tecnica per ingegnerizzare a ritroso le patch rilasciate da fornitori di software come Microsoft. Analizzando in particolare le patch di sicurezza, è possibile approfondire i dettagli delle vulnerabilità che sta correggendo. Questa tecnica di binary diffing è particolarmente utile per i binari di Microsoft.

Utilizzando il binary diffing, gli hacker possono analizzare le vulnerabilità corrette in Windows 10 e sfruttare gli stessi bug di sicurezza presenti nelle versioni precedenti di Windows, mettendo a rischio i suoi utenti.

“Microsoft è nota per introdurre un certo numero di miglioramenti strutturali della sicurezza e a volte anche normali correzioni di bug solo per la piattaforma Windows più recente. Questo crea un falso senso di sicurezza per gli utenti dei sistemi più vecchi e li lascia vulnerabili a difetti software che possono essere rilevati semplicemente individuando cambiamenti sottili nel codice corrispondente in diverse versioni di Windows,” spiega Jurczyk.

“Non solo espone alcuni clienti ad attacchi, ma rivela anche visibilmente quali sono i vettori di attacco, il che va direttamente contro la sicurezza degli utenti. Questo è particolarmente vero per le classi di bug con correzioni ovvie, come la divulgazione della memoria del kernel e le chiamate memset aggiuntive.”

Fortunatamente, tutte e tre le diverse vulnerabilità menzionate sopra sono state corrette da Microsoft il mese scorso dopo essere state segnalate da Project Zero alla fine di maggio di quest’anno.

Microsoft ha anche chiarito in una dichiarazione a The Register che preferirebbe che tutti gli utenti di Windows utilizzassero la stessa versione del sistema operativo. L’azienda ha dichiarato:

“Windows ha un impegno verso i clienti per indagare sulle problematiche di sicurezza segnalate e aggiornare proattivamente i dispositivi colpiti il prima possibile. Inoltre, investiamo continuamente nella sicurezza a più livelli e raccomandiamo ai clienti di utilizzare Windows 10 e il browser Microsoft Edge per la migliore protezione.”

Attualmente, Microsoft sta supportando le versioni precedenti del sistema operativo, Windows 7, 8.1 insieme a Windows 10. Mentre Windows 7 dovrebbe ricevere correzioni di sicurezza mensili da Microsoft fino al 14 gennaio 2020, Windows 8.1 dovrebbe riceverle fino al 10 gennaio 2023.

Puoi controllare l’analisi dettagliata di Juryzyk cliccando qui.