Gli attacchi mirati al cuore del sistema Microsoft proseguono senza sosta. Dopo il ritorno sulla scena dell’insidiosa e invisibile botnet Alureon , che prende di mira il povero kernel, viene segnalata ora una nuova preoccupante falla nel file win32k.sys di Windows XP, Vista e Seven, anche nelle versioni a 64 bit.
Anche in questo caso si parla ovviamente di una vulnerabilità di livello critico, sfruttabile per eludere la protezione User Account Control ed eseguire codice malevolo con i privilegi della modalità kernel, perfino su account non amministrativi. Anche in questo caso, PatchGuard resta a guardare.
A quanto sembra , tutto nasce dall’errata interpretazione input di una API (NtGdiEnableEUDC) che scatena uno stack overflow. Durante questo ingorgo di memoria viene corrotto l’indirizzo di ritorno immagazzinato nello stack, quindi un hacker potrebbe facilmente sovrascrivere quell’indirizzo per dirottare le istruzioni a piacimento.
Il primo a pubblicare l’exploit online, riportato anche dalla società di sicurezza Prevx , è stato un sito cinese. Fino a questo momento sembra comunque che nessun cracker abbia ancora provato a sfruttare il giovane 0-Day . Si spera quindi che il colosso di Redmond sistemi velocemente il problema, con un workaround temporaneo o una super-patch fuori programma.
Roberto Pulito