Aggiornamenti recenti Settembre 18th, 2024 10:52 AM
Nov 02, 2016 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Una falla di sicurezza resa pubblica dopo 10 giorni dalla segnalazione a Microsoft? Secondo i ricercatori di Google non ci sarebbe nulla di strano. Il problema, però, è che dalle parti di Redmond non l’hanno presa particolarmente bene. Più che altro perché non hanno ancora trovato il modo di correggerla.
La polemica è esplosa dopo la pubblicazione, lo scorso 31 ottobre, dei dettagli riguardanti una vulnerabilità zero-day che permetterebbe di ottenere privilegi di amministratore sui sistemi Windows.
Una mossa che ha provocato l’immediata reazione dell’azienda di Satya Nardella. In un post pubblicato il giorno seguente, infatti, il vice presidente Terry Myerson non ha nascosto la sua irritazione di fronte alla decisione di Google di rendere pubblica la vulnerabilità prima che gli aggiornamenti fossero disponibili. Tanto più che il problema non sembra essere di facile soluzione.
Nel dettaglio, come spiegano i ricercatori Neel Mehta e Billy Leonard di Google, la vulnerabilità si anniderebbe a livello del kernel, e più esattamente nelle chiamate di sistema di win32k.sys. La falla consentirebbe di aggirare la sandbox del browser e avviare l’esecuzione di codice sul computer.
Ma come si è arrivati a questo piccolo incidente diplomatico? La spiegazione è contenuta nello stesso blog di Microsoft, in cui la vicenda viene ricostruita nei dettagli.
Tutto sarebbe cominciato con l’individuazione, da parte del Google’s Threat Analysis Group, di una campagna APT (Advanced Persistent Threat) portata avanti da un gruppo russo chiamato STRONTIUM.
I cyber-criminali, protagonisti di una campagna di spear phishing, utilizzavano due exploit per diffondere una backdoor sui computer Windows. Il primo sfruttava una vulnerabilità di Adobe Flash Player, mentre il secondo sfruttava la citata vulnerabilità per aggirare la sandbox del browser.
Nel caso di vulnerabilità individuate in software di altri produttori, le policy adottate dai ricercatori Google prevedono che le informazioni sulla falla di sicurezza sia comunicata tempestivamente all’azienda in modo che possa correggerle. I ricercatori Google hanno quindi contattato Adobe e Microsoft, segnalando le due vulnerabilità.
Le policy di Google in tema di sicurezza sono estremamente rigorose e, di norma, prevedono che i dettagli sulle vulnerabilità siano resi pubblici solo al momento della disponibilità della patch o, se questa non viene rilasciata in tempo utile, dopo 90 giorni dalla segnalazione.
Il termine di 3 mesi, però, è quello previsto per le nuove vulnerabilità che non risultano essere ancora state sfruttate in un attacco. Nel caso di un rischio reale legato all’attività di cyber-criminali, invece, Google impone un termine molto più stringente di 7 giorni.
Mentre Adobe ha rilasciato un aggiornamento in tempo record, Microsoft non ha fatto lo stesso. Risultato: i ricercatori di Google hanno divulgato i dettagli sulla vulnerabilità, provocando la reazione stizzita di Redmond.
Al di là delle scintille tra i due big del settore, ora gli utenti Windows si trovano a fare i conti con una situazione decisamente poco piacevole, trovandosi di fronte a una falla per cui non è disponibile alcun aggiornamento e che a questo punto potrebbe essere sfruttata anche da altri malware.
Per fortuna l’exploit ha dei limiti. Come spiega Microsoft, infatti, alcune misure di mitigazione introdotte con l’Anniversary Update di Windows 10 (prima della segnalazione di Google) avrebbero “chiuso le porte” all’exploit usato dal gruppo STRONTIUM. I sistemi da Vista in poi, però, rimangono vulnerabili.
Set 13, 2024 0
Ago 28, 2024 0
Lug 31, 2024 0
Lug 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...