Un semplice VBScript: questo è quanto basta per mettere in pericolo la sicurezza degli utenti Windows 10 bypassando interamente il sistema di sicurezza UAC.
La scoperta è stata riportata da un ricercatore della sicurezza di PwC UK chiamato Wietze Beukema: "Risulta che quasi 300 eseguibili nella cartella System32 sono vulnerabili a DLL Hijacking con percorso relativo. Sapevate che con un semplice VBScript alcuni di questi EXE possono essere utilizzati per elevare i privilegi di tali esecuzioni, bypassando completamente l'UAC?".
Il tipo di attacco a cui fa riferimento Beukema permette all'aggressore di eseguire dei file .exe legittimi di Windows facendogli poi caricare delle librerie dinamiche .dll create ad-hoc con del codice malevolo. L'attacco permette l'esecuzione arbitraria di codice, l'incremento dei privilegi di esecuzione e facilita la persistenza all'interno del sistema sotto attacco: in pratica, se un malintenzionato è in grado di sfruttare questa vulnerabilità sul vostro PC, sarà in grado di ottenere il pieno controllo del sistema.
Le tecniche di attacco descritte nel post dedicato sul blog di Beukema sono davvero varie ma hanno tutte in comune il caricamento di librerie malevole iniettate in qualche modo sul sistema colpito: sostituzione delle DLL, DLL proxying, hijacking dell'ordine della ricerca delle DLL, Phantom DLL hijacking, reindirizzamento delle DLL, sostituzione delle DLL WinSxS e DLL hijacking con percorso relativo.
L'exploit è reso possibile dalla presenza di una whitelist di Microsoft per gli eseguibili di Windows. Siccome gli utenti sono stati sommersi di richieste di autorizzazione da parte di UAC a partire da Windows Vista per l'esecuzione di processi legittimi (cosa che li ha fatti infuriare e stufare abbastanza in fretta), a partire da Windows 7 Microsoft ha incluso in UAC una lista di eseguibili e librerie di sistema considerati sicuri e che non hanno bisogno di richiedere l'autorizzazione tramite UAC (e infastidire l'utente) per elevare i propri privilegi di esecuzione.
"Con questo in mente, si potrebbe provare a eseguire codice arbitrario con privilegi elevati utilizzando un eseguibile che è contrassegnato per l'auto elevazione dei privilegi e che è anche vulnerabile al dirottamento delle DLL" ha spiegato Beukema.
Microsoft non sta passando un bel periodo dopo il rilascio di Windows 10 20H1: sono moltissimi i bug segnalati dagli utenti a seguito dell'aggiornamento e sembra non passare giorno senza il quale venga trovato un qualche tipo di problema di sicurezza sul sistema della casa di Redmond. Che sia il momento migliore per passare a Linux?
Alla ricerca di una suite di sicurezza completa per i vostri PC? Kaspersky Internet Security 2020, licenza di un anno per 3 dispositivi, è in sconto su Amazon.
