Molto spesso le patch che Microsoft rilascia mensilmente riguardano vulnerabilità scoperte dagli ingegneri di Google e segnalate privatamente. Tavis Ormandy, un Information Security Engineer dell’azienda di Mountain View, non è molto convinto di questo approccio, anzi ritiene utile divulgare un bug in pubblico. Per questo motivo ha fornito tutti i dettagli su una vulnerabilità zero-day individuata in Windows 8 e Windows 7, mettendo a disposizione anche il codice dell’exploit a scopi didattici.
La vulnerabilità nel driver del kernel (Win32k.sys) potrebbe essere sfruttata da un malintenzionato per eseguire codice arbitrario con privilegi elevati, mandare in crash il sistema operativo o provocare un DoS (Denial of Service). Secunia ha confermato l’esistenza del bug in Windows 7 Professional a 32 bit e Windows 8, ma altre versioni potrebbero essere in pericolo. La vulnerabilità non può essere sfruttata da remoto, ad esempio nascondendo il codice di attacco in un sito infetto, ma rappresenta comunque un primo passo per scardinare le difese di Windows. Un utente ha risposto al messaggio pubblicato da Ormandy sulla mailing list Full Disclosure, chiedendo il codice dell’exploit con lo scopo di integrarlo in Metasploit, un penetration testing tool usato sia dai ricercatori di sicurezza che dai cybercriminali.
L’ingegnere Google ha già avuto in passato uno scontro con Microsoft. Nel 2010 aveva rilasciato informazioni dettagliate su una vulnerabilità scoperta in Windows XP, solo cinque giorni dopo l’invio dei dati all’azienda di Redmond. Molti colleghi di Ormandy considerano irresponsabile il suo comportamento, in quanto avvantaggerebbe i malintenzionati. La decisione di rendere pubblico il bug di Windows 7 e Windows 8 sarebbe dovuta all’ostilità di Microsoft nei confronti dei ricercatori. Ormandy consiglia di parlare con loro utilizzando uno pseudonimo, Tor e una email anonima.
Anche se non sono stati rilevati attacchi in atto, Microsoft sta investigando sulla vulnerabilità e probabilmente rilascerà una patch il prossimo 11 giugno.