Google scopre un altro gravissimo bug di sicurezza di Windows 10
Botta e risposta tra il Project Zero di Google e Microsoft: i primi hanno scoperto una grave vulnerabilità di Windows, la seconda non ha fretta di risolverla.
Project Zero, il team di ricercatori di sicurezza elettronica di Google, ha dato un ultimatum a Microsoft: c’è una pericolosa falla di sicurezza in Windows 10 e va corretta subito, perché ci sono già degli hacker che la stanno usando per attaccare i PC con questo sistema operativo. Si tratta di una vulnerabilità “zero day“, cioè insita nel codice e non individuata in fase di sviluppo.
Normalmente chi scopre queste falle lo comunica a chi ha sviluppato il software, concedendo 90 giorni di tempo per pubblicare una patch e chiuderla prima di rendere noti i dettagli. In questo caso, però, il tempo concesso è stato molto inferiore, pari a soli sette giorni, perché il bug di sicurezza è già stato scoperto dagli hacker, che lo stanno già usando. Sfruttando questa falla, che oltre a Windows 10 interessa anche Windows 7, i criminali del Web possono eseguire da remoto del codice pericoloso sui PC con questi due sistemi operativi di Microsoft. Al bug è stato assegnato il codice di CVE-2020-11787 e i ricercatori di Google l’hanno scoperto mentre cercavano la soluzione ad un altro problema di sicurezza, questa volta di Chrome.
CVE-2020-11787: perché è pericoloso
I ricercatori del Project Zero hanno rivelato i dettagli di questa vulnerabilità, consci del fatto che è già nota agli hacker. Sfruttando il bug CVE-2020-11787 è possibile ottenere i privilegi di sistema su Windows e, di conseguenza, fare quasi ciò che si vuole sul computer attaccato.
Gli attacchi già messi a segno hanno sfruttato CVE-2020-11787 insieme ad un’altra falla, questa volta nel browser Chrome, che è stata corretta nell’ultimo aggiornamento dell’applicazione che porta la versione di Chrome alla 86.0.4240.111. Resta invece da risolvere il primo bug, quello di Windows.
Secondo Google questa vulnerabilità può portare gli hacker a bypassare i sistemi di crittografia di Windows, ma Microsoft non è della stessa opinione e non sembra avere molta fretta di pubblicare la patch necessaria a chiudere la falla.
Project Zero contro Microsoft
Il fatto che i ricercatori del Projet Zero di Google abbiano reso pubblica questa vulnerabilità è chiaramente un modo per fare pressione su Microsoft, affinché si sbrighi a correggerla. Ma Microsoft afferma che non solo non c’è alcun segnale che tale falla sia stata sfruttata su larga scala dagli hacker, ma anche che non è vero che sfruttandola si può mettere in crisi il sistema di crittografia di Widows 7 e Windows 10.
Il capo del Project Zero, Ben Hawker, ha risposto a Microsoft su Twitter dicendo chiaramente che la pubblicazione dei dettagli su questa vulnerabilità è stata fatta per “incentivare” l’azienda a correggere il grave problema. Sempre Hawkes, in un altro tweet, afferma che si aspetta che la patch arrivi il 10 novembre, cioè il secondo martedì del mese che, come da tradizione di Microsoft, è il “Patch Tuesday“. Cioè il giorno in cui Microsoft rilascia, ogni mese, gli aggiornamenti di sicurezza per i suoi prodotti e servizi. Vedremo se Microsoft pubblicherà, effettivamente, la patch per il bug CVE-2020-11787 il 10 novembre.
Microsoft, nel frattempo, è alle prese con un altro grosso problema di sicurezza: quello derivante dalla vulnerabilità ZeroLogon, per la quale ha già pubblicato la patch che, però, in molti ancora non hanno scaricato e installato.
