Windows 10 0-day exploit rilasciato on line

22/05/2019

0day Microsoft windows

La ricercatrice di sicurezza che risponde al nome di “SandboxEscaper“, ha pubblicato nella giornata odierna sulla piattaforma GitHub una vulnerabilità di tipo 0-Day che affligge sistemi Microsoft Windows 10.
La vulnerabilità risiede nel processo “Utilità di pianificazione di Windows” e permetterebbe ad un utente malintenzionato di eseguire un file .job non valido che sfrutta un difetto nel modo in cui tale processo modifica le autorizzazioni DACL (Elenco Controllo Accesso Discrezionale) per un singolo file.
Una volta sfruttata, la vulnerabilità permette di eseguire un LPE (Local Privilege Escalation) consentendo ad un attaccante di elevare i propri privilegi ed ottenere l’accesso amministrativo del sistema.

Versione di Windows Impattate

Lo 0-day è stato testato e funziona solo su sistemi Windows 10 a 32 bit. Tuttavia tale codice, con opportune messe a punto, potrebbe funzionare anche su tutte le versioni di Windows da XP e Server 2003.

Una demo del codice exploit POC (Proof of Concept) è disponibile alla seguente URL.

Consigli del CERT-PA

Il ricercatore che ha rilasciato lo 0-day è noto per aver pubblicato, senza informare prima il produttore Microsoft, altri strumenti idonei allo sfruttamento di vulnerabilità.
Ad esempio nel 2018, ha rilasciato i seguenti 0-day per Windows:

  • LPE in Advanced Local Procedure Call (ALPC)
  • LPE in Microsoft Data Sharing (dssvc.dll)
  • LPE in ReadFile
  • LPE nel sistema Windows Error Reporting (WER)

Mentre non risultano ad oggi note campagne di attacco basate sugli gli ultimi tre rilasciati, si hanno invece evidenze di sfruttamento del primo 0-day (ALPC) in campagne di malware lanciate poche settimane dopo il suo rilascio.

Non essendo ad oggi disponibile una patch, la vulnerabilità in oggetto potrebbe essere sfruttata per campagne di distribuzione di malware massive.

A tal proposito si consiglia di non aprire file ricevuti da fonti sconosciute e di attuare azioni di mitigazione/informative verso gli utenti nell’attesa del rilascio della patch ufficiale e/o del prossimo patch Tuesday di Microsoft previsto per martedì 11 giugno 2019.