La scoperta di una vulnerabilità zero day nel kernel di Windows per il malware Duqu aveva messo in allerta Microsoft mercoledì scorso. L'azienda di Redmond aveva promesso un rapido aggiornamento di sicurezza, che è parzialmente arrivato.
Questa notte Microsoft ha diffuso una nota nella quale conferma l'esistenza del problema segnalato dagli esperti di Symantec e CrySys, aggiunge alcuni dettagli sulla natura della falla e fornisce un fix provvisorio per la momentanea soluzione del problema, comprensivo di un tool automatico per l'applicazione del fix.
In pratica Microsoft consiglia di chiudere l'accesso alla libreria T2EMBED.DLL, un collegamento dinamico che consente alle applicazioni di visualizzare i font TrueType. Il fix impedisce gli attacchi ma allo stesso tempo non permette di vedere correttamente il carattere nelle applicazioni.
Microsoft ha rilasciato un fix provvisorio per la falla nel kernel di Windows che apre le porte a Duqu
L'aggiornamento stabile e definitivo verrà pubblicato nelle prossime settimane, ma non in occasione del patch day, fissato per l'otto di novembre. In effetti ad aprire le porte del sistema a Duqu è un file di Word, sfruttando una falla nel motore di analisi dei font TrueType Win32k presente in tutte le versioni di Windows da XP a Seven e Server 2008. La vulnerabilità si presenta quando il modulo win32k.sys di Windows non riesce a gestire correttamente il font TrueType.
Il modulo Win32k.sys è una parte del kernel di Windows che contiene i driver delle periferiche e Windows Manager per il controllo della visualizzazione delle finestre. Inoltre raccoglie gli input da tastiera, mouse e da altri dispositivi e trasferisce i messaggi degli utenti alle applicazioni. Contiene inoltre la Graphics Device Interface (GDI) e funge da connessione per il supporto delle DirectX, che sono implementate in un altro modulo (dxgkrnl.sys).
Il bug riguarda il motore di analisi dei font TrueType Win32k
Nel centro di sicurezza di Microsoft si legge che sfruttando questa falla "un malintenzionato potrebbe eseguire del codice arbitrario in modalità kernel per installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti di amministrazione".
Jerry Bryant, portavoce di Microsoft, ha fatto sapere che la vulnerabilità critica di Windows è già stata sfruttata per installare malware altamente sofisticati in sistemi industriali, e che il fix temporaneo consentirà di mettere al sicuro le reti aziendali fino a quando non sarà elaborata la patch definitiva, al momento in fase di studio insieme ai partner del Microsoft Active Protections Program (MAPP). Attualmente il livello di rischio di contagio è definito basso.