I ricercatori del team SpiderLabs della Trustwave hanno scoperto una vulnerabilità zero-day che viene già sfruttata dal malware Exploit.in. Tutte le versioni di Windows sono vulnerabili, da Windows 2000 fino a Windows 10.
L’utente che ha scoperto l’exploit sta cercando di venderlo per 90’000 $. Ha dichiarato che il problema è presente nel driver win32k.sys del kernel e sfrutta il modo in cui Windows gestisce gli oggetti dotati di alcune proprietà.
L’exploit fugge con successo dal controllo di ILL/appcontainer (LOW), bypassando tutti i meccanismi di protezione esistenti come ASLR, DEP, SMEP, ecc. L’exploit zero-day si basa esclusivamente sulle librerie .dll KERNEL32 e USER32.
La vulnerabilità è un bug della scalata dei privilegi di Windows e richiede l’accesso come amministratore per eseguire codice malevolo. Non sembrerebbe essere in grado di compromettere un sistema, ma può essere utilizzato per infettare un dispositivo. Secondo Trustwave, l’exploit ha anche la capacità di installare un rootkit e può essere utilizzato su un sistema POS per rubare i dati delle carte di credito.
L’utente ha pubblicato un video dove mostra la vulnerabilità. Trustwave ha già allertato Microsoft; la risoluzione del bug dovrebbe avvenire con i prossimi aggiornamenti di Windows.
Articolo di Windows Blog Italia
Fonte | MSPowerUser