Microsoft ha rilasciato la scorsa settimana il tradizionale pacchetto mensile che corregge vari bug nei suoi sistemi operativi (ma Google afferma che una patch è incompleta). Un ricercatore di sicurezza ha scoperto che una vulnerabilità, denominata GlueBall, è stata risolta dopo due anni dalla sua segnalazione.
Un ricercatore di sicurezza ha evidenziato il grave ritardo di Microsoft, spiegando anche come la vulnerabilità (CVE-2020-1464) può essere sfruttata per eseguire codice infetto sul computer dell’utente. Il bug era stato scoperto ad agosto 2018 da un altro ricercatore (Bernardo Quintero). A gennaio 2019 era stata pubblicata un’analisi di GlueBall sul sito VirusTotal. Microsoft aveva ammesso l’esistenza del problema, decidendo tuttavia di non rilasciare nessuna patch.
La vulnerabilità zero-day è tornata alla ribalta a giugno 2020, dopo la sua individuazione “in the wild” (sono stati effettuati attacchi che sfruttano il bug). Lo scorso 11 agosto è stata finalmente distribuita la patch per le diverse versioni del suo sistema operativo, da Windows 7 a Windows 10, dopo due anni dalla scoperta della vulnerabilità. Non è chiaro perché Microsoft ha atteso tutto questo tempo.
Il bug risiedeva nella verifica della firma dei file MSI (Microsoft Installer). Il sistema operativo controlla solo l’inizio dei file, ignorando i dati successivi. Bastava quindi aggiungere un file JAR alla fine del file MSI per eludere la verifica ed eseguire il codice infetto considerato affidabile. La patch aggiunge il controllo della dimensione del file MSI, bloccando l’esecuzione se viene individuata una lunghezza superiore a quella prevista. La seguente GIF mostra la validità della firma sul sistema senza patch e l’invalidità sul sistema con patch.
