Omri Misgav e Udi Yavo, ricercatori di sicurezza di enSilo, hanno ideato un nuovo attacco in grado di mettere fuori gioco tutte le protezioni recentemente implementate da Microsoft a difesa del kernel di Windows. Peggio ancora, l’attacco prende di mira una funzionalità usata anche dagli altri sistemi operativi e può quindi – in teoria – interessare anche macOS e il mondo Linux.
Il bersaglio degli analisti di enSilo è la struttura di dati nota come page table, un modello utilizzato dal sistema operativo – e da Windows in particolare – per mappare la corrispondenza tra gli indirizzi della memoria virtuale e quelli della RAM fisicamente disponibile sul PC. Per ottimizzare al meglio l’utilizzo di una risorsa sempre limitata come la RAM di sistema, l’OS usa le cosiddette “pagine di codice condivise” per ritenere una singola copia di una porzione di codice (come ad esempio una libreria DLL) che può poi essere richiamata da più processi contemporaneamente.
Misgav e Yavo hanno trovato il modo di alterare il normale comportamento delle pagine condivise, influenzando l’esecuzione degli altri processi caricati in memoria – alcuni dei quali dotati di privilegi di accesso estremamente elevati. Chiamato Turning Tables, l’attacco permette ai ricercatori di elevare i privilegi del loro codice malevolo (dimostrativo) fino al livello SYSTEM.
Turning Tables è in grado di bypassare tutti i meccanismi di sicurezza implementati da Microsoft in questi anni a salvaguardia del kernel di Windows (10), dicono i ricercatori, alterando fra l’altro le applicazioni che girano in una sandbox come il browser Google Chrome.
Gli esperti di enSilo hanno preso di mira Microsoft e il kernel di Windows, ma le strutture di dati delle page table sono un concetto adottato anche da macOS e Linux; un’eventuale vulnerabilità di questi due sistemi all’attacco di Turning Tables è probabile ma non è stata al momento verificata in concreto.