Una nuova grave situazione di difficoltà coinvolge il mondo Windows. La segnalazione proviene da Marco Giuliani, ricercatore Prevx, secondo il quale una nuova vulnerabilità “0 day” è stata scoperta nella giornata di ieri e segnalata su di un sito in lingua cinese. Trattasi di un problema di grande rilevanza al momento confinato però fortunatamente ad un livello di allarme sterile: l’exploit è pubblico, ma il codice non è stato ancora sfruttato da alcun malware e non si registrano pertanto attacchi di alcun tipo.
Per Microsoft sono queste le ore dell’urgenza poiché occorre capire quanto la segnalazione sia reale, quanto sia pericolosa e se richieda o meno un intervento risolutore immediato. Il bug è stato identificato a livello di win32k.sys, pertanto direttamente nel cuore del sistema operativo. Secondo le prime segnalazioni risulterebbero coinvolti dal problema tanto Windows 7 quanto Windows Vista e Windows XP, tanto nella versione a 32bit quanto nella versione a 64bit.
Spiega Marco Giuliani: «La funzione del kernel di Windows NtGdiEnableEUDC non effettua una giusta convalida dei parametri in ingresso, causando una corruzione della memoria nel kernel stesso e permettendo ad un attacker di eseguire il proprio codice nocivo con i massimi privilegi di sistema». L’attacco è pertanto in grado di conquistare pieni privilegi sulla macchina vulnerabile, agendo così pressoché indisturbato ed elevando fortemente il grado di pericolosità di un eventuale exploit in azione.
Prevx non ha diramato ulteriori dettagli, ma ha spiegato di essere in collaborazione con Microsoft per discutere il problema e giungere quanto prima ad una soluzione. Il prossimo patch day è previsto per il 14 dicembre, dunque v’è teoricamente il tempo necessario per indagare a fondo e partorire una patch che possa porre soluzione al problema. È presumibile inoltre ipotizzare il rilascio di un “fix it” che automatizzi l’esecuzione di un workaround temporaneo per ridurre la portata del pericolo in attesa di un aggiornamento correttivo.
Questo potrebbe potenzialmente diventare un incubo vista la natura del difetto. Ci aspettiamo di vedere questo exploit utilizzato attivamente dal malware molto presto, è un’opportunità sicuramente da non perdere per i produttori di malware