CVE-2021-41379, la nuova grave vulnerabilità zero-day scoperta in tutte le versioni più recenti di Windows.

In questi giorni la redazione di Bleeping Computer, (noto sito web che tratta di notizie tecnologiche ed offre assistenza informatica gratuita tramite i suoi forum), ha segnalato la scoperta di una nuova vulnerabilità zero-day che interessa tutte le versioni di Windows attualmente supportate, (tra cui Windows Server 2022, Windows 10 ed anche il nuovissimo Windows 11). In pratica, stando a quanto ha fatto sapere Abdelhamid Naceri, il ricercatore di sicurezza che l'ha scoperta durante l'analisi della November 2021 Patch Tuesday, tale falla, (denominata CVE-2021-41379), consente di ottenere l'elevazione dei privilegi su Windows Installer, mettendo in serio pericolo i computer con installati i sistemi operativi di casa Microsoft: la situazione risulta essere ancora più grave se si prende in considerazione il fatto che c'è già in circolazione un malware che sfrutta questo exploit. In pratica ciò potrebbe essere dovuto anche al fatto che il 22 Novembre lo stesso Abdelhamid Naceri ha pubblicato su GitHub un codice di exploit proof-of-concept che funziona nonostante le correzioni implementate da Microsoft: questo codice sfrutta la Discretionary Access Control List, (o DACL), di Microsoft Edge Elevation Service per sostituire qualsiasi file eseguibile sul sistema con un file MSI, permettendo ad un eventuale malintenzionato di eseguire il codice come amministratore. Al riguardo Nick Biasini, responsabile della Rete di Divulgazione di Cisco Talos, nonché colui che ha scovato l'esistenza di questo malware, ha spiegato: "Durante la nostra indagine abbiamo esaminato i recenti campioni di malware e siamo stati in grado di identificarne diversi che stavano già tentando di sfruttare l'exploit. Dal momento che il volume è basso, è probabile che si tratti di persone che lavorano con il codice proof-of-concept o di test per campagne future. Questa è solo una prova in più di quanto velocemente gli avversari lavorano per armare un exploit pubblicamente disponibile". In sostanza sembra che degli hacker abbiano sviluppato un exploit pronto per un attacco digitale che sfruttando questa nuova vulnerabilità di Windows potrebbe iniziare ad installare software dannosi: attraverso tale exploit, infatti, un hacker, partendo da un account con privilegi standard, può riuscire ad aprire un prompt dei comandi con privilegi da amministratore, (ovvero SYSTEM), con tutte le conseguenze del caso. Ad ogni modo, secondo quanto verificato dagli analisti, al momento per proteggersi dal malware non serve aggiornare il proprio Pc con le patch di sicurezza più recenti, in quanto i responsabile dell'azienda non sono ancora stati in grado di correggere il problema avendolo scoperto solo grazie a delle fonti esterne: si parla, infatti, di "vulnerabilità zero-day", il che identifica un bug nella protezione di un software, di cui però i fornitori non sono a conoscenza, e perciò non sono in grado trovare una soluzione tempestiva. Tuttavia i responsabili di Microsoft hanno fatto sapere di essersi messi già all'opera per risolvere il problema in questione, e per mezzo di un portavoce hanno, infine, dichiarato: "Siamo consapevoli della divulgazione di questa vulnerabilità e faremo tutto il necessario per mantenere i nostri clienti al sicuro e protetti. Un malintenzionato che utilizza i metodi descritti deve già disporre dell'accesso e della capacità di eseguire codice sul computer della vittima".