Un ricercatore di sicurezza, corrispondente al profilo Twitter SandboxEscaper, ha rilasciato ieri un nuovo proof-of-concept di exploit per una grave e sconosciuta vulnerabilità 0-day di Windows. Sandbox Escaper non è nuovo a tali fatti: due mesi fa pubblicò un exploit 0-day per il Task Scheduler di Windows.
La nuova vulnerabilità risiede nel Microsoft Data Sharing (dssvc.dll) e consente ad un attaccante di aumentare i privilegi sulla macchina bersaglio. Il Microsoft Data Sharing è un servizio locale che viene eseguito come account LocalSystem con ampi privilegi e consente il data brokering tra le applicazioni. Questa vulnerabilità consente ad un attaccante con ridotti privilegi di elevarne il numero sul sistema bersaglio attraverso un codice exploit. Il codice di exploit (deletebug.exe) pubblicato dal ricercatore ha funzioni limitate: consente solo a utenti con bassi livelli di autorizzazione di eliminare file di sistema critici.
Il servizio di condivisione dati di Microsoft è stato introdotto in Windows 10 e nelle versioni recenti delle edizioni server: la vulnerabilità quindi non riguarda le precedenti versioni dei sistemi operativi di Windows, tra i quali la 7 e la 8.1.
L'exploit di SandboxEscaper è stato testato con successo contro un sistema Windows 10 con patch complete (ovvero con gli ultimi aggiornamenti di sicurezza di Ottobre 2018, Server 2016 e Serve 2019).
E' la seconda volta in meno di due mesi che Sandbox Escaper rilascia vulnerabilità 0-day di Windows. Nello scorso Agosto infatti aveva esposto i dettagli di un exploit proof-of-concept per aumentare i privilegi su una macchina bersaglio sfruttando una vulnerabilità di Microsoft Windows Task Scheduler conseguente da due errori nella gestione del servizio ALPC (Advanced Local Procedure Call). Poco dopo la pubblicazione, l'exploit è stato trovato attivo e usato per attacchi reali: evenienza che ha obbligato Microsoft a correggere velocemente il problema inserendo la patch nel September 2018 Security Patch Tuesday. Questo anche perchè SandboxEscaper non avvisa Microsoft delle vulnerabilità individuate prima di pubblicarle: di nuovo, adesso, gli utenti sono vulnerabili ad attacchi per i quali esiste già un exploit circolante. La patch non arriverà infatti prima del prossimo aggiornamento di sicurezza di Windows, previsto per il 13 Novembre.
Nessun commento:
Posta un commento