Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Google Project Zero: Windows ha una nuova falla zero-day

Gli specialisti in vulnerabilità 0-day di Google hanno scovato una nuova falla di Windows già sfruttata dai criminali. L’aggiornamento correttivo dovrebbe arrivare col prossimo Patch Tuesday.

Non bastasse la minaccia di Zerologon e i soliti problemi di sicurezza tipici dell’ecosistema Windows, Microsoft deve ora fare i conti con il nuovo pericolo rappresentato dalla vulnerabilità CVE-2020-17087. La falla è di tipo 0-day, vale a dire che è già attivamente sfruttata dai cyber-criminali, ma la patch correttiva dovrebbe arrivare a breve.

Scoperta dai “cacciatori di bug” di Google specializzati in questo genere di minaccia (Project Zero), l’ennesima vulnerabilità zero-day di Windows è localizzata nel driver Windows Kernel Cryptography (cng.sys) e si presenta come un classico caso di buffer overflow. Provando a inserire un numero troppo grande per un buffer troppo piccolo e convertendolo da binario a esadecimale, un malintenzionato potrebbe generare un crash del sistema oppure, nel peggiore dei casi, aumentare i propri privilegi di accesso e bypassare la sandbox per il codice insicuro.

Il team di Project Zero sostiene che la vulnerabilità CVE-2020-17087 risulta già sfruttata da ignoti criminali impegnati in attacchi mirati, e dice di aver fornito un “tempo di reazione” a Microsoft di sette giorni prima di rendere l’esistenza della falla (e del possibile codice sfruttabile per un attacco) un affare pubblico.

Secondo quanto comunicato da Ben Hawkes di Project Zero, il bug CVE-2020-17087 verrà corretto in occasione del prossimo Patch Tuesday di novembre 2020. Al momento il rischio coinvolge Windows 10 ma anche Windows 7, sebbene non vi siano segnali del fatto che la falla sia stata impiegata per attaccare i sistemi di voto elettronico impiegati nel corso delle elezioni presidenziali americane.

PCProfessionale © riproduzione riservata.
Ha avuto il suo incontro fatale con la tecnologia negli anni '80, prima con i giochi arcade e poi con l'Intellivision di Mattel, e da allora la passione è andata solo aumentando. Quando non passa il proprio tempo a consumare notizie sull'attualità informatica ama leggere (su carta), scrivere, fotografare e collezionare vecchi libri sui sistemi operativi obsoleti.