Digital News

Falla zero-day grave su Windows 7 e Windows Server 2008 R2: rilasciata 0patch, ma si attende il …

E’ stata pubblicata una patch sulla piattaforma di terze parti 0patch per correggere temporaneamente una vulnerabilità LPE (Local Privilege Excalation) su Windows 7 e Windows Server 2008 R2. Il bug zero-day coinvolge tutti i dispositivi con i sistemi operativi sopra segnalati, registrati o meno al programma Extended Security Updates (ESU) di Microsoft, fino a quando la società non rilascerà i propri aggiornamenti di sicurezza ai clienti ESU.

Una micropatch gratis per mitigare temporaneamente bug critico su Windows 7 e Server 2008 R2

La micropatch gratuita su 0patch è destinata ai computer Windows 7 e Server 2008 R2 senza ESU (aggiornati a gennaio 2020) e quelli con ESU (aggiornati a novembre 2020). Al momento, solo le piccole e medie imprese o le organizzazioni con contratti multi-licenza possono ottenere una licenza ESU fino a gennaio 2023.
La vulnerabilità LPE corretta deriva dall’errata configurazione di due chiavi di registro e consente ad un eventuale aggressore di elevare i propri privilegi su qualsiasi sistema Windows 7 e Server 2008 R2 correttamente aggiornati. Il bug è stato scoperto dal ricercatore di sicurezza Clément Labro che ha pubblicato la sua ricerca all’inizio di novembre descrivendo in dettaglio come le autorizzazioni non sicure su HKLM SYSTEM CurrentControlSet Services Dnscache e HKLM SYSTEM CurrentControlSet Services RpcEptMapper consentono agli aggressori di prendere di mira il servizio RPC Endpoint Mapper per caricare sul sistema DLL malevoli.
Gli aggressori possono così essere in grado di eseguire qualsiasi tipo di codice nel contesto del servizio Windows Management Instrumentation (WMI), quindi con permessi LOCAL SYSTEM. Il co-fondatore di 0patch, Mitja Kolsek, ha spiegato così i rischi: “In breve, un utente locale non amministratore crea una sottochiave Performance in una delle chiavi pre-esistenti, la popola con alcuni valori e attiva il monitoraggio delle prestazioni, che porta a un processo WmiPrvSE.exe del sistema locale che può caricare la DLL eseguendo codice sul sistema”. 
Le micropatch 0patch sono fix inviati attraverso la piattaforma 0patch ai client Windows per correggere i problemi di sicurezza in tempo reale e vengono applicate ai processi in esecuzione senza richiedere un riavvio del sistema. Questa micropatch è disponibile gratuitamente per tutti fino a quando Microsoft non rilascerà una correzione ufficiale per il bug in questione, correggendo i problemi di autorizzazione presenti nel registro. La micropatch, però, corrompe le operazioni di monitoraggio delle prestazioni sui servizi Dnsclient e RpcEptMapper ma, nel caso in cui sia necessario eseguire queste operazioni può sempre essere disabilitata senza riavvio.


Articolo Originale di , pubblicato e leggibile in originale a questo indirizzo e qui citato a fini di diffusione. Tutti i diritti sono riservati all’autore e alla testata di riferimento.

Show More
Back to top button