Punto informatico Network

20090922101040_1287410429_20090922101035_1434787018_cmd_UAC.png

Falla in win32k.sys consente di bypassare UAC

26/11/2010
- A cura di
Zane.
Sicurezza - Una nuova debolezza in un file di sistema critico permette anche agli account limitati di eseguire programmi con pieni privilegi amministrativi, senza nemmeno far scattare il Controllo account utente. Il codice dimostrativo è già in circolazione.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

falla (1) .

Valutazione

  •  
Voto complessivo 3.5 calcolato su 6 voti
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.

Sophos ha segnalato ieri una nuova falla nel file di sistema win32k.sys che permette ad utenti dotati di accesso al PC con privilegi limitati di sfuggire alle restrizioni ed eseguire programmi come "system", ovvero l'account dotato di libertà anche superiori ai normali amministratori

Eopzeroday1-500.png

Il baco interessa tutte le versioni del sistema operativo Microsoft, compresi Windows 7 e Windows Server 2008 R2 ed è causato dall'errata gestione di un particolare valore del registro di sistema che, opportunamente modificato, "inganna" il kernel presentando privilegi differenti da quelli reali. Tale voce è modificabile anche dagli utenti limitati.

A rendere ancor più grave la situazione, vi è il fatto che Controllo Account Utente (UAC) non "scatta" a dovere, richiedendo conferma all'utilizzatore tramite la consueta schermata oscurata: l'esecuzione avviene quindi direttamente, senza alcuna notifica.

La software house britannica ha ricordato che difetti di questo tipo ("Privilege escalation") non sono, di per sé, utilizzabili per scatenare l'esecuzione di codice da remoto e, di conseguenza, sfruttabili per prendere il controllo di un sistema via Internet.

Ciò nonostante, un cracker sufficientemente abile potrebbe combinare questa tecnica ad un'altra vulnerabilità per ottenere risultati ancora più vantaggiosi, compromettendo così anche postazioni utilizzate con privilegi limitati. Affinché questo avvenga però, il malware dovrebbe essere scaricato preventivamente sul sistema della vittima.

Un listato dimostrativo è apparso in rete per alcune ore, ma è poi stato rimosso: è tuttavia molto probabile che già dalle prossime ore possa essere pubblicato un nuovo exploit.

In attesa di una patch in grado di epurare la piattaforma dal difetto, Sophos ha proposto un rimedio temporaneo che prevede la modifica dei privilegi d'accesso ad una specifica area del registro. Gli interessati possono trovare la descrizione della procedura qui ma, considerata la tipologia del baco, l'operazione è consigliata solo agli amministratori di sistema aziendali più cauti e, comunque, non al pubblico consumer.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.3 sec.
    •  | Utenti conn.: 91
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.14