Il team Project Zero di Google, specializzato nell’individuare bug e falle di sicurezza nei principali software, ha reso pubblici i dettagli relativi ad una vulnerabilità di sicurezza zero-day di Windows corretta in modo improprio da Microsoft e che potrebbe quindi ancora essere sfruttata per eseguire codice arbitrario.
“La vulnerabilità esiste ancora, è cambiato solo il metodo per sfruttarla”, ha spiegato Maddie Stone, ricercatrice di Google Project Zero. “Il problema originale era causato da una dereferenziazione arbitraria del puntatore che consentiva all’attaccante di controllare i puntatori src e dest a un memcpy. La correzione ha semplicemente modificato i puntatori in offset, ma che consentono ancora il controllo degli argomenti sul memcpy”.
Noto originariamente come CVE-2020-0986, il bug permette di ottenere un’elevazione dei privilegi nell’API GDI Print/Print Spooler (“splwow64.exe”) ed è stato segnalato a Microsoft alla fine di dicembre 2019 da un utente anonimo che lavora presso la Zero Day Initiative di Trend Micro (ZDI).
“splwow64.exe” è un file binario di sistema di Windows che consente alle applicazioni a 32 bit di connettersi con il servizio spooler della stampante a 64 bit su sistemi Windows a 64 bit. Implementa un server LPC (Local Procedure Call) che può essere utilizzato da altri processi per accedere alle funzioni di stampa.
Lo sfruttamento corretto di questa vulnerabilità potrebbe portare un utente malintenzionato a manipolare la memoria del processo “splwow64.exe” per ottenere l’esecuzione di codice arbitrario in modalità kernel, utilizzandolo infine per installare programmi dannosi, visualizzare, modificare o eliminare i dati o creare nuovi account con diritti utente completi.
Sebbene Microsoft abbia finalmente risolto il problema come parte del suo aggiornamento “June Patch Tuesday”, i nuovi test condotti dal team di sicurezza di Google hanno rivelato che il bug non è stato completamente eliminato.
Stando alle ultime informazioni, Microsoft dovrebbe eliminare completamente il problema, identificato come CVE-2020-17008, il 12 gennaio 2021, dopo che l’uscita della patch è stata posticipata a causa di “problemi identificati durante i test”.