Questo Marted?? Microsoft ha rilasciato 17 bollettini di sicurezza, correggendo anche l’ultimo exploit 0day sfruttato da Stuxnet che ancora era rimasto aperto. Ben 7 delle 38 vulnerabilit?? corrette da Microsoft erano gi?? state pubblicate online e permettevano sia l’esecuzione di codice da remoto che l’elevazione di privilegi.

Microsoft ha corretto alcuni dei proprio software che erano vulnerabili ad una specifica falla scoperta pubblicamente lo scorso Agosto, relativa ad un’errata gestione del caricamento in runtime delle librerie di sistema. Ho gi?? parlato in passato di questa vulnerabilit?? e avevo gi?? detto come, a mio avviso, non si trattasse di una vulnerabilit?? del sistema operativo quanto piuttosto di un errore di programmazione dei singoli software.

Finalmente Microsoft ha corretto la tanto discussa e ben conosciuta falla nel Task Scheduler di Windows utilizzata dal malware Stuxnet per ottenere i privilegi amministrativi nel sistema infetto. Con quest’ultimo update tutte le falle 0day utilizzate da Stuxnet sono state definitivamente chiuse.

L’exploit del Task Scheduler di Windows era conosciuto gi?? da Settembre e un proof of concept era stato rilasciato pubblicamente lo scorso Novembre, permettendo ai malware writer di poterlo utilizzare nelle proprie creazioni per evadere dagli account limitati ed account protetti da UAC.

In un blog post di Microsoft, scritto il 9 Dicembre 2010, Mike Reavey del Microsoft Security Response Center ha scritto che non ci sono tracce di utilizzo di questo exploit da parte di altri malware ad eccezione di Stuxnet. Al contrario, tuttavia, nei nostri laboratori abbiamo dettagliate analisi che il rootkit TDL4 ha iniziato ad utilizzare questo specifico exploit sin dai primi giorni di Dicembre (link in inglese). Comunque sia, ora che l’exploit ?? stato chiuso, anche il rootkit TDL4 dovr?? trovare qualche altra via per poter elevare i propri privilegi una volta arrivato nel PC da infettare.

Con questo massiccio aggiornamento di sicurezza Microsoft ha corretto molte falle che potevano essere sfruttate dai malware. ?? tutto dunque? Non proprio. Questo aggiornamento massiccio lascia ancora aperta la porta ad una falla di sicurezza che permette l’elevazione di privilegi, la stessa falla di cui avevo parlato nel blog della mia societ?? il mese scorso, relativa ad uno stack overflow nel win32k.sys.

Se ci?? ?? gi?? pericoloso di suo, diventa molto pi?? grave a causa di un rilascio pubblico dell’exploit che sfrutta questa falla. Probabilmente bisogner?? aspettarsi qualche malware che sfrutter?? questa falla molto presto. Ora che la falla presente nel task scheduler di Windows ?? stata corretta, questo exploit sar?? probabilmente al centro dell’attenzione fino a quando Microsoft non rilascer?? un aggiornamento specifico.

Guardando il TDL4 rootkit e il suo trend di sviluppo, ?? possibile immaginare che gli autori del rootkit useranno questo exploit molto presto, dando di nuovo la possibilit?? al rootkit di bypassare UAC ed account limitati al fine di infettare sia i sistemi a 32 che a 64 bit.

Gli utenti Prevx sono gi?? protetti da questo nuovo exploit, cos?? anche coloro che hanno semplicemente installato Prevx free senza una licenza. Per cui, in attesa di una patch da parte di Microsoft, perch?? non provare Prevx per un p?? e stare al sicuro da questo exploit?