Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Nov 02, 2016 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Una falla di sicurezza resa pubblica dopo 10 giorni dalla segnalazione a Microsoft? Secondo i ricercatori di Google non ci sarebbe nulla di strano. Il problema, però, è che dalle parti di Redmond non l’hanno presa particolarmente bene. Più che altro perché non hanno ancora trovato il modo di correggerla.
La polemica è esplosa dopo la pubblicazione, lo scorso 31 ottobre, dei dettagli riguardanti una vulnerabilità zero-day che permetterebbe di ottenere privilegi di amministratore sui sistemi Windows.
Una mossa che ha provocato l’immediata reazione dell’azienda di Satya Nardella. In un post pubblicato il giorno seguente, infatti, il vice presidente Terry Myerson non ha nascosto la sua irritazione di fronte alla decisione di Google di rendere pubblica la vulnerabilità prima che gli aggiornamenti fossero disponibili. Tanto più che il problema non sembra essere di facile soluzione.
Nel dettaglio, come spiegano i ricercatori Neel Mehta e Billy Leonard di Google, la vulnerabilità si anniderebbe a livello del kernel, e più esattamente nelle chiamate di sistema di win32k.sys. La falla consentirebbe di aggirare la sandbox del browser e avviare l’esecuzione di codice sul computer.
Ma come si è arrivati a questo piccolo incidente diplomatico? La spiegazione è contenuta nello stesso blog di Microsoft, in cui la vicenda viene ricostruita nei dettagli.
Tutto sarebbe cominciato con l’individuazione, da parte del Google’s Threat Analysis Group, di una campagna APT (Advanced Persistent Threat) portata avanti da un gruppo russo chiamato STRONTIUM.
I cyber-criminali, protagonisti di una campagna di spear phishing, utilizzavano due exploit per diffondere una backdoor sui computer Windows. Il primo sfruttava una vulnerabilità di Adobe Flash Player, mentre il secondo sfruttava la citata vulnerabilità per aggirare la sandbox del browser.
Nel caso di vulnerabilità individuate in software di altri produttori, le policy adottate dai ricercatori Google prevedono che le informazioni sulla falla di sicurezza sia comunicata tempestivamente all’azienda in modo che possa correggerle. I ricercatori Google hanno quindi contattato Adobe e Microsoft, segnalando le due vulnerabilità.
Le policy di Google in tema di sicurezza sono estremamente rigorose e, di norma, prevedono che i dettagli sulle vulnerabilità siano resi pubblici solo al momento della disponibilità della patch o, se questa non viene rilasciata in tempo utile, dopo 90 giorni dalla segnalazione.
Il termine di 3 mesi, però, è quello previsto per le nuove vulnerabilità che non risultano essere ancora state sfruttate in un attacco. Nel caso di un rischio reale legato all’attività di cyber-criminali, invece, Google impone un termine molto più stringente di 7 giorni.
Mentre Adobe ha rilasciato un aggiornamento in tempo record, Microsoft non ha fatto lo stesso. Risultato: i ricercatori di Google hanno divulgato i dettagli sulla vulnerabilità, provocando la reazione stizzita di Redmond.
Al di là delle scintille tra i due big del settore, ora gli utenti Windows si trovano a fare i conti con una situazione decisamente poco piacevole, trovandosi di fronte a una falla per cui non è disponibile alcun aggiornamento e che a questo punto potrebbe essere sfruttata anche da altri malware.
Per fortuna l’exploit ha dei limiti. Come spiega Microsoft, infatti, alcune misure di mitigazione introdotte con l’Anniversary Update di Windows 10 (prima della segnalazione di Google) avrebbero “chiuso le porte” all’exploit usato dal gruppo STRONTIUM. I sistemi da Vista in poi, però, rimangono vulnerabili.
Nov 21, 2024 0
Nov 15, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...