Aggiornamenti recenti Giugno 6th, 2023 9:31 AM
Nov 02, 2016 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Una falla di sicurezza resa pubblica dopo 10 giorni dalla segnalazione a Microsoft? Secondo i ricercatori di Google non ci sarebbe nulla di strano. Il problema, però, è che dalle parti di Redmond non l’hanno presa particolarmente bene. Più che altro perché non hanno ancora trovato il modo di correggerla.
La polemica è esplosa dopo la pubblicazione, lo scorso 31 ottobre, dei dettagli riguardanti una vulnerabilità zero-day che permetterebbe di ottenere privilegi di amministratore sui sistemi Windows.
Una mossa che ha provocato l’immediata reazione dell’azienda di Satya Nardella. In un post pubblicato il giorno seguente, infatti, il vice presidente Terry Myerson non ha nascosto la sua irritazione di fronte alla decisione di Google di rendere pubblica la vulnerabilità prima che gli aggiornamenti fossero disponibili. Tanto più che il problema non sembra essere di facile soluzione.
Nel dettaglio, come spiegano i ricercatori Neel Mehta e Billy Leonard di Google, la vulnerabilità si anniderebbe a livello del kernel, e più esattamente nelle chiamate di sistema di win32k.sys. La falla consentirebbe di aggirare la sandbox del browser e avviare l’esecuzione di codice sul computer.
Ma come si è arrivati a questo piccolo incidente diplomatico? La spiegazione è contenuta nello stesso blog di Microsoft, in cui la vicenda viene ricostruita nei dettagli.
Tutto sarebbe cominciato con l’individuazione, da parte del Google’s Threat Analysis Group, di una campagna APT (Advanced Persistent Threat) portata avanti da un gruppo russo chiamato STRONTIUM.
I cyber-criminali, protagonisti di una campagna di spear phishing, utilizzavano due exploit per diffondere una backdoor sui computer Windows. Il primo sfruttava una vulnerabilità di Adobe Flash Player, mentre il secondo sfruttava la citata vulnerabilità per aggirare la sandbox del browser.
Nel caso di vulnerabilità individuate in software di altri produttori, le policy adottate dai ricercatori Google prevedono che le informazioni sulla falla di sicurezza sia comunicata tempestivamente all’azienda in modo che possa correggerle. I ricercatori Google hanno quindi contattato Adobe e Microsoft, segnalando le due vulnerabilità.
Le policy di Google in tema di sicurezza sono estremamente rigorose e, di norma, prevedono che i dettagli sulle vulnerabilità siano resi pubblici solo al momento della disponibilità della patch o, se questa non viene rilasciata in tempo utile, dopo 90 giorni dalla segnalazione.
Il termine di 3 mesi, però, è quello previsto per le nuove vulnerabilità che non risultano essere ancora state sfruttate in un attacco. Nel caso di un rischio reale legato all’attività di cyber-criminali, invece, Google impone un termine molto più stringente di 7 giorni.
Mentre Adobe ha rilasciato un aggiornamento in tempo record, Microsoft non ha fatto lo stesso. Risultato: i ricercatori di Google hanno divulgato i dettagli sulla vulnerabilità, provocando la reazione stizzita di Redmond.
La replica di Microsoft è stata affidata a un “pezzo grosso” come il vice-presidente Terry Myerson.
Al di là delle scintille tra i due big del settore, ora gli utenti Windows si trovano a fare i conti con una situazione decisamente poco piacevole, trovandosi di fronte a una falla per cui non è disponibile alcun aggiornamento e che a questo punto potrebbe essere sfruttata anche da altri malware.
Per fortuna l’exploit ha dei limiti. Come spiega Microsoft, infatti, alcune misure di mitigazione introdotte con l’Anniversary Update di Windows 10 (prima della segnalazione di Google) avrebbero “chiuso le porte” all’exploit usato dal gruppo STRONTIUM. I sistemi da Vista in poi, però, rimangono vulnerabili.
Mag 26, 2023 0
Mag 25, 2023 0
Mag 24, 2023 0
Apr 28, 2023 0
Giu 06, 2023 0
Giu 05, 2023 0
Giu 01, 2023 0
Mag 31, 2023 0
Giu 06, 2023 0
Le autorità federali degli Stati Uniti, insieme...Giu 05, 2023 0
Lo State of Ransomware Report 2023 di Sophos ha evidenziato...Giu 01, 2023 0
Kaspersky ha pubblicato il suo Incident Response report,...Mag 31, 2023 0
A margine del Security Day, il principale evento dedicato...Mag 31, 2023 0
Lo scorso 3 maggio Discord ha annunciato...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Giu 06, 2023 0
Le autorità federali degli Stati Uniti, insieme...Mag 31, 2023 0
Lo scorso 3 maggio Discord ha annunciato...Mag 30, 2023 0
Mandiant ha individuato un nuovo malware creato per colpire...Mag 29, 2023 0
La carenza di esperti di sicurezza ha portato le imprese...Mag 26, 2023 0
Il ricercatore di sicurezza vdohney ha individuato e...