Alcuni ricercatori del progetto Zero Day Initiative di Trend Micro hanno scoperto cinque vulnerabilità in Microsoft Windows non ancora corrette, di cui quattro valutate ad alto rischio. Purtroppo al momento secondo ZDI Microsoft non avrebbe in programma di correggerle.
Un team di ricercatori della sicurezza che lavorano al progetto Zero Day Initiative (ZDI) di Trend Micro ha scoperto cinque vulnerabilità in Microsoft Windows non ancora corrette, di cui quattro ad alto rischio. Con il termine zero-day si indica usualmente in informatica qualsiasi vulnerabilità di sicurezza non espressamente nota allo sviluppatore.
Tre delle quattro vulnerabilità piuttosto gravi sono identificate dalle sigle CVE-2020-0916, CVE-2020-0986 e CVE-2020-0915 e consentirebbero a un potenziale aggressore di ottenere in qualche modo accesso di basso livello al sistema, sfruttando così la falla di sicurezza per eseguire codice nel contesto dell’utente attuale. Tutte e tre sono classificate con un punteggio di gravità CVSS (Common Vulnerability Scoring System) di 7,0.
Sempre lo stesso processo splwow64 coinvolto nelle altre tre e legato all’host del driver di stampa è affetto anche da un’altra falla di sicurezza, questa volta a più basso rischio, con un punteggio CVSS di 2,5. L’ultima falla zero day di cui ZDI ha pubblicato le informazioni, infine, non ha un identificativo CVE ma è grave quanto le prime tre, avendo lo stesso punteggio CVSS di 7,0. Tramite essa infatti gli aggressori potrebbero aumentare i propri privilegi di sistema sfruttando la vulnerabilità presente nella gestione dei profili WLAN.
Normalmente ZDI comunica immediatamente questo tipo di vulnerabilità, dando poi 120 giorni (quattro mesi) per sistemare il problema tramite una patch. Al termine di questo periodo, se lo sviluppatore non può o non vuole sistemare la falla, ZDI pubblica un numero limitato di dettagli tecnici, per consentire alla comunità di sviluppatori di programmi di sicurezza di proteggere l’utente. Questo è esattamente quanto accaduto oggi, perché Microsoft, pur al corrente delle vulnerabilità da dicembre 2019, ha mancato di rilasciare la patch durante l’ultimo patch day tenutosi a maggio e, al momento, non sembrerebbe avere in programma di rilasciare alcuna patch, per motivi sconosciuti.