Nuova vulnerabilità zero-day per Windows 10

Un bug del Windows Kernel Cryptography Driver apre la strada a una escalation dei privilegi

Vulnerabilità
I ricercatori di Google Project Zero hanno segnalato una nuova vulnerabilità zero-day che colpisce potenzialmente tutte le versioni di Windows dalla 7 in poi. Il punto debole è un bug nel Windows Kernel Cryptography Driver. Come spiegano direttamente i ricercatori Mateusz Jurczyk e Sergei Glazunov, un problema di troncamento di interi a 16 bit potrebbe essere sfruttato per arrivare a una escalation dei privilegi. Un utente malintenzionato del sistema potrebbe cioè acquisire privilegi più elevati rispetto a quelli associati al suo account.

I ricercatori segnalano che questa vulnerabilità è già sfruttata in rete. E loro stessi hanno prodotto un breve codice che la dimostra, portando al blocco del sistema colpito. I test sono stati condotti su una versione aggiornata di Windows 10, build 1903. Ma anche versioni più datate del sistema operativo sono probabilmente coinvolte.

È stato anche dimostrato che questo zero-day si può combinare con un'altra vulnerabilità, stavolta del browser Chrome: è possibile "bucare" la sandbox del browser e usare il bug del driver di cifratura per arrivare a una privilege escalation. Non esiste al momento una patch per la nuova vulnerabilità. Dovrebbe essere resa disponibile il prossimo 10 novembre, ossia al prossimo Patch Tuesday di Microsoft.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori