Da alcune settimane esperti di sicurezza informatica evidenziano con crescente urgenza il pericolo di una vulnerabilità presente in Windows per la quale Microsoft ha da poco rilasciato una patch.
Questa vulnerabilità denominata “BlueKeep“, spiegano gli esperti, ha la potenzialità di scatenare attacchi che non si vedevano dai tempi di WannaCry, una “epidemia” in grado di diffondersi velocemente su Internet e attraverso le reti locali e che a suo tempo mise KO centinaia di migliaia di computer in tutto il mondo.
Un video che circola su internet, realizzato dal ricercatore Sean Dillon, evidenzia il problema, dimostrando un esempio di come sia possibile attaccare in remoto un computer con Windows Server 2008 R2 sul quale non è presente la patch che Microsoft ha rilasciato a metà maggio.
Dopo 14 secondi, un payload (la porzione di codice eseguibile che esegue l’azione malevola) denominato Meterpreter usa il comando “getuid” per dimostrare che la connessione ha ottenuto i privilegi SYSTEM, l’account di sistema di Windows; negli ultimi sei secondi, l’hacker usa l’applicazione open source Mimikatz per ottenere le stringhe in hash della password crittografata di altri computer sulla stessa rete alla quale la macchina che è stata hackerata è connessa.
La vulnerabilità in questione è presente in tutte le versioni di Windows e permette a un utente o a un qualsiasi processo in esecuzione sul sistema locale di acquisire i diritti SYSTEM, l’equivalente dei privilegi root nei sistemi Linux/Unix, usati principalmente per eseguire processi critici di sistema.
Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?
? PATCH #BlueKeep CVE-2019-0708 ?
35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc
— zǝɹosum0x0? (@zerosum0x0) June 4, 2019
Questa vulnerabilità è stata individuata da una ricercatrice che si fa chiamare SandboxEscaper che non si è messa in contatto con Microsoft – come tipicamente si fa in questi casi – ma ha preferito diffondere online il codice proof-of-concept a dimostrazione di quanto individuato.
La ricercatrice avrebbe preso questa decisione dopo che altri sui lavori con la scoperta di vulnerabilità critiche 0-day, sono state ignorate, indicando anche una serie di record nel database CVE (Common Vulnerabilities and Exposures) nel quale non è stata neanche citata.
Il problema riguarda tutte le versioni di Windows ed è legato all’interfaccia ALPC (Advanced Local Procedure Call), sfruttata dalla funzionalità Pianifica attività del sistema operativo per far comunicare un processo client con un processo server, facendo in modo che il primo possa ottenere informazioni.
Quanto dimostrato non è stato inizialmente ritenuto particolarmente pericoloso ma la vulnerabilità potrebbe esser sfruttata per eseguire un malware da un account utente sprovvisto dei diritti di amministratore, rendendo inutile l’uso di account standard (non amministrativo) per evitare problemi.
Si raccomanda ovviamente a tutti gli utenti PC, ai gestori e agli utenti di sistemi e prodotti Microsoft di installare le ultime patch rilasciate per il sistema operativo.
Da una scansione sul web alla ricerca di potenziali PC vulnerabili sono emersi milioni di computer potenzialmente attaccabili, comprese infrastrutture critiche. Non perdete dunque tempo e – prima che sia troppo tardi – scaricate e installate tutti gli aggiornamenti disponibili.
