Questo Martedì Microsoft ha rilasciato 17 bollettini di sicurezza, correggendo anche l’ultimo exploit 0day sfruttato da Stuxnet che ancora era rimasto aperto. Ben 7 delle 38 vulnerabilità corrette da Microsoft erano già state pubblicate online e permettevano sia l’esecuzione di codice da remoto che l’elevazione di privilegi.

Microsoft ha corretto alcuni dei proprio software che erano vulnerabili ad una specifica falla scoperta pubblicamente lo scorso Agosto, relativa ad un’errata gestione del caricamento in runtime delle librerie di sistema. Ho già parlato in passato di questa vulnerabilità e avevo già detto come, a mio avviso, non si trattasse di una vulnerabilità del sistema operativo quanto piuttosto di un errore di programmazione dei singoli software.

Finalmente Microsoft ha corretto la tanto discussa e ben conosciuta falla nel Task Scheduler di Windows utilizzata dal malware Stuxnet per ottenere i privilegi amministrativi nel sistema infetto. Con quest’ultimo update tutte le falle 0day utilizzate da Stuxnet sono state definitivamente chiuse.

L’exploit del Task Scheduler di Windows era conosciuto già da Settembre e un proof of concept era stato rilasciato pubblicamente lo scorso Novembre, permettendo ai malware writer di poterlo utilizzare nelle proprie creazioni per evadere dagli account limitati ed account protetti da UAC.

In un blog post di Microsoft, scritto il 9 Dicembre 2010, Mike Reavey del Microsoft Security Response Center ha scritto che non ci sono tracce di utilizzo di questo exploit da parte di altri malware ad eccezione di Stuxnet. Al contrario, tuttavia, nei nostri laboratori abbiamo dettagliate analisi che il rootkit TDL4 ha iniziato ad utilizzare questo specifico exploit sin dai primi giorni di Dicembre (link in inglese). Comunque sia, ora che l’exploit è stato chiuso, anche il rootkit TDL4 dovrà trovare qualche altra via per poter elevare i propri privilegi una volta arrivato nel PC da infettare.

Con questo massiccio aggiornamento di sicurezza Microsoft ha corretto molte falle che potevano essere sfruttate dai malware. È tutto dunque? Non proprio. Questo aggiornamento massiccio lascia ancora aperta la porta ad una falla di sicurezza che permette l’elevazione di privilegi, la stessa falla di cui avevo parlato nel blog della mia società il mese scorso, relativa ad uno stack overflow nel win32k.sys.

Se ciò è già pericoloso di suo, diventa molto più grave a causa di un rilascio pubblico dell’exploit che sfrutta questa falla. Probabilmente bisognerà aspettarsi qualche malware che sfrutterà questa falla molto presto. Ora che la falla presente nel task scheduler di Windows è stata corretta, questo exploit sarà probabilmente al centro dell’attenzione fino a quando Microsoft non rilascerà un aggiornamento specifico.

Guardando il TDL4 rootkit e il suo trend di sviluppo, è possibile immaginare che gli autori del rootkit useranno questo exploit molto presto, dando di nuovo la possibilità al rootkit di bypassare UAC ed account limitati al fine di infettare sia i sistemi a 32 che a 64 bit.

Gli utenti Prevx sono già protetti da questo nuovo exploit, così anche coloro che hanno semplicemente installato Prevx free senza una licenza. Per cui, in attesa di una patch da parte di Microsoft, perché non provare Prevx per un pò e stare al sicuro da questo exploit?