Microsoft ha deciso che non intende correggere una falla di Windows scoperta da due ricercatori di sicurezza italiani. Fortunatamente è già disponibile una patch non ufficiale.
11 FEBBRAIO 2022 | A un mese dalla divulgazione della vulnerabilità di Windows Defender scoperta dai due italiani e dopo aver inizialmente rifiutato di intervenire, Microsoft ha silenziosamente corretto la falla con le ultime patch di sicurezza di febbraio. La conferma è arrivata dal ricercatore italiano che ha scoperto la falla.
Yes, confirmed on mine too. After applying the Feb-22 patch the Everyone SID has been removed from the ACL. Tested on Win 10 20H2.
— Antonio Cocomazzi (@splinter_code) February 10, 2022
Patch non ufficiale per RemotePotato0
Una nuova vulnerabilità denominata RemotePotato0 riguarda l’escalation dei privilegi in locale sfruttando il protocollo NTLM delle versioni più recenti di Windows, escluso Windows 11. La falla è stata scoperta lo scorso aprile da due ricercatori italiani, Antonio Cocomazzi e Andrea Pierini, ma non è mai stata patchata da Microsoft perché a suo dire non rappresenta un problema di sicurezza tale da richiedere un correttivo.
Nell’aprile 2021, il ricercatore Antonio Cocomazzi di Sentinel LABS e il ricercatore indipendente sulla sicurezza Andrea Pierini hanno pubblicato un articolo intitolato Relaying Potatoes: Another Unexpected Privilege Escalation Vulnerability in Windows RPC Protocol. L’articolo descriveva una vulnerabilità di escalation dei privilegi locali che avevano riscontrato in Windows e segnalato a Microsoft, che ha deciso di non correggere perché “I server devono difendersi dagli attacchi di inoltro NTLM”.
Nonostante la decisione di Microsoft, fortunatamente il team di 0patch ha rilasciato una patch non ufficiale per correggere la falla. Potete vedere una demo della patch in azione nel video in alto e leggere maggiori dettagli per l’installazione nell’articolo sottostante.
Free Micropatches for "RemotePotato0", a "WON'T FIX" Local Privilege Escalation Affecting all Windows Systems https://t.co/2Ho0K5pgqR pic.twitter.com/htJrgPBNLa
— 0patch (@0patch) January 12, 2022
Windows Defender ha un punto debole
Lo stesso ricercatore Antonio Cocomazzi ha messo in guardia anche da un problema relativo a Windows 10 e Defender. L’antivirus integrato nel sistema operativo Microsoft avrebbe un punto debole che potrebbe essere sfruttato per diffondere malware. Nello specifico sembrerebbe che tramite una semplice ricerca sia possibile scoprire facilmente le cartelle escluse dalle scansioni di Windows Defender, con i potenziali exploit che ne conseguirebbero bypassando i controlli da parte dei malware. Anche in questo caso Windows 11 è escluso ed è necessario un accesso in locale, ma Microsoft non ha ancora risolto il problema noto da ormai otto anni.
Noticed that almost 8 years ago when I started in Tech Support. Always told myself that if I was some kind of malware dev I would just lookup the WD exclusions and make sure to drop my payload in an excluded folder and/or name it the same as an excluded filename or extension…
— Aura (@SecurityAura) January 12, 2022
Cosa ne pensate di queste vulnerabilità scoperte e del comportamento di Microsoft? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonti | 1, 2
Non dimenticate di scaricare la nostra app per Windows, per Android o per iOS, di seguirci su Facebook, Twitter, YouTube, Instagram e di iscrivervi al Forum di supporto tecnico, in modo da essere sempre aggiornati su tutte le ultimissime notizie dal mondo Microsoft. Iscrivetevi al nostro canale Telegram di offerte per approfittare di tanti sconti pubblicati ogni giorno.