Sicurezza di Windows bypassata modificando un singolo bit da parte dei ricercatori

La sicurezza dei sistemi operativi Windows da XP all’attuale versione Windows 10 può essere bypassata con un singolo bit

Microsoft martedì ha rilasciato una vulnerabilità di escalation dei privilegi nei suoi bollettini di sicurezza che, secondo i ricercatori, può essere sfruttata da attori malintenzionati per bypassare tutte le misure di sicurezza nel sistema operativo Windows modificando un singolo bit.

Microsoft afferma che un attaccante che riesce a accedere al sistema target può “ottenere privilegi elevati e leggere quantità arbitrarie di memoria del kernel”, il che consentirebbe loro di installare software, visualizzare e modificare dati e creare nuovi account con pieni diritti amministrativi.

Udi Yavo, il chief technology officer della società di sicurezza Ensile, afferma che “La vulnerabilità (CVE-2015-0057) è classificata come ‘importante’, il che potrebbe dare agli attaccanti il controllo totale delle macchine delle vittime.”

Yavo ha ulteriormente dichiarato che “Un attore minaccioso che ottiene accesso a una macchina Windows (ad esempio, attraverso una campagna di phishing) può sfruttare questa vulnerabilità per bypassare tutte le misure di sicurezza di Windows, sconfiggendo misure di mitigazione come il sandboxing, la segregazione del kernel e la randomizzazione della memoria.”

Yavo ha continuato: “È interessante notare che l’exploit richiede di modificare solo un singolo bit del sistema operativo Windows.”

Il difetto esisteva nel componente dell’interfaccia utente grafica (GUI) del modulo Win32k.sys all’interno del Kernel di Windows che, tra le altre cose, gestisce le barre di scorrimento verticali e orizzontali di Windows. Il difetto risiede effettivamente nella funzione xxxEnableWndSBArrows che potrebbe alterare lo stato di entrambe le barre di scorrimento attraverso una chiamata.

L’exploit funziona su tutte le versioni del sistema operativo, da Windows XP alla versione a 64 bit dell’ultima Windows 10 Technical Preview (con protezioni abilitate). Il metodo di attacco può essere utilizzato per bypassare le protezioni del kernel come la Protezione dell’Esecuzione dei Dati del Kernel (DEP), la Randomizzazione del Layout dello Spazio degli Indirizzi del Kernel (KASLR), il Controllo dell’Integrità Obbligatoria (MIC), la Protezione dell’Esecuzione in Modalità Supervisore (SMEP) e la protezione da dereferenziamento NULL, ha affermato il ricercatore.

“Abbiamo dimostrato che anche un bug minore può essere utilizzato per ottenere il completo controllo su qualsiasi sistema operativo Windows,” ha dichiarato Yavo. Ha anche commentato che gli sforzi di Microsoft per rendere il suo sistema operativo più sicuro hanno alzato notevolmente l’asticella e reso la scrittura di exploit affidabili molto più difficile rispetto a prima. Sfortunatamente, questi metodi non fermeranno gli attaccanti. Prevediamo che gli attaccanti continueranno a incorporare exploit nei loro kit di crimine, rendendo inevitabile il compromesso.”

I ricercatori hanno anche pubblicato un video PoC che dimostra la vulnerabilità, anche se non rivela effettivamente alcun codice sensibile, ma mostra l’esploitazione dell’escalation dei privilegi su una macchina che esegue Windows 10 Technical Preview a 64 bit.

I problemi di patch di Microsoft non sono una novità; prima di questo, a gennaio, il ricercatore di sicurezza di Bromium Jared DeMott ha dimostrato che le mitigazioni di Isolamento Heap e Delay Free possono essere bypassate.

CVE-2015-0057 non è l’unica vulnerabilità interessante corretta da Microsoft martedì. L’azienda ha anche rilasciato aggiornamenti per un difetto critico di esecuzione di codice remoto (CVE-2015-0008) causato dal modo in cui la Group Policy riceve e applica i dati delle policy quando un sistema unito a un dominio si connette a un controller di dominio. D’altra parte, Microsoft non ha ancora affrontato una vulnerabilità di scripting cross-site universale (UXSS) recentemente divulgata che colpisce Internet Explorer.