Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Nov 02, 2016 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Una falla di sicurezza resa pubblica dopo 10 giorni dalla segnalazione a Microsoft? Secondo i ricercatori di Google non ci sarebbe nulla di strano. Il problema, però, è che dalle parti di Redmond non l’hanno presa particolarmente bene. Più che altro perché non hanno ancora trovato il modo di correggerla.
La polemica è esplosa dopo la pubblicazione, lo scorso 31 ottobre, dei dettagli riguardanti una vulnerabilità zero-day che permetterebbe di ottenere privilegi di amministratore sui sistemi Windows.
Una mossa che ha provocato l’immediata reazione dell’azienda di Satya Nardella. In un post pubblicato il giorno seguente, infatti, il vice presidente Terry Myerson non ha nascosto la sua irritazione di fronte alla decisione di Google di rendere pubblica la vulnerabilità prima che gli aggiornamenti fossero disponibili. Tanto più che il problema non sembra essere di facile soluzione.
Nel dettaglio, come spiegano i ricercatori Neel Mehta e Billy Leonard di Google, la vulnerabilità si anniderebbe a livello del kernel, e più esattamente nelle chiamate di sistema di win32k.sys. La falla consentirebbe di aggirare la sandbox del browser e avviare l’esecuzione di codice sul computer.
Ma come si è arrivati a questo piccolo incidente diplomatico? La spiegazione è contenuta nello stesso blog di Microsoft, in cui la vicenda viene ricostruita nei dettagli.
Tutto sarebbe cominciato con l’individuazione, da parte del Google’s Threat Analysis Group, di una campagna APT (Advanced Persistent Threat) portata avanti da un gruppo russo chiamato STRONTIUM.
I cyber-criminali, protagonisti di una campagna di spear phishing, utilizzavano due exploit per diffondere una backdoor sui computer Windows. Il primo sfruttava una vulnerabilità di Adobe Flash Player, mentre il secondo sfruttava la citata vulnerabilità per aggirare la sandbox del browser.
Nel caso di vulnerabilità individuate in software di altri produttori, le policy adottate dai ricercatori Google prevedono che le informazioni sulla falla di sicurezza sia comunicata tempestivamente all’azienda in modo che possa correggerle. I ricercatori Google hanno quindi contattato Adobe e Microsoft, segnalando le due vulnerabilità.
Le policy di Google in tema di sicurezza sono estremamente rigorose e, di norma, prevedono che i dettagli sulle vulnerabilità siano resi pubblici solo al momento della disponibilità della patch o, se questa non viene rilasciata in tempo utile, dopo 90 giorni dalla segnalazione.
Il termine di 3 mesi, però, è quello previsto per le nuove vulnerabilità che non risultano essere ancora state sfruttate in un attacco. Nel caso di un rischio reale legato all’attività di cyber-criminali, invece, Google impone un termine molto più stringente di 7 giorni.
Mentre Adobe ha rilasciato un aggiornamento in tempo record, Microsoft non ha fatto lo stesso. Risultato: i ricercatori di Google hanno divulgato i dettagli sulla vulnerabilità, provocando la reazione stizzita di Redmond.
Al di là delle scintille tra i due big del settore, ora gli utenti Windows si trovano a fare i conti con una situazione decisamente poco piacevole, trovandosi di fronte a una falla per cui non è disponibile alcun aggiornamento e che a questo punto potrebbe essere sfruttata anche da altri malware.
Per fortuna l’exploit ha dei limiti. Come spiega Microsoft, infatti, alcune misure di mitigazione introdotte con l’Anniversary Update di Windows 10 (prima della segnalazione di Google) avrebbero “chiuso le porte” all’exploit usato dal gruppo STRONTIUM. I sistemi da Vista in poi, però, rimangono vulnerabili.
Feb 19, 2024 0
Feb 15, 2024 0
Feb 09, 2024 0
Feb 08, 2024 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...