di Alexandre Milli, 14 gennaio 2022, 18:0014 gennaio 2022, 18:00
Microsoft ha deciso che non intende correggere una falla di Windows scoperta da due ricercatori di sicurezza italiani. Fortunatamente è già disponibile una patch non ufficiale.
Patch non ufficiale per RemotePotato0
Una nuova vulnerabilità denominata RemotePotato0 riguarda l’escalation dei privilegi in locale delle versioni più recenti di Windows, escluso Windows 11, sfruttando il protocollo NTLM. La falla è stata scoperta da due ricercatori italiani, Antonio Cocomazzi e Andrea Pierini lo scorso aprile ma non è mai stata patchata da Microsoft perché a suo dire non rappresenta un problema di sicurezza tale da richiedere un correttivo.
Nell’aprile 2021, il ricercatore Antonio Cocomazzi di Sentinel LABS e il ricercatore indipendente sulla sicurezza Andrea Pierini hanno pubblicato un articolo intitolato Relaying Potatoes: Another Unexpected Privilege Escalation Vulnerability in Windows RPC Protocol . L’articolo descriveva una vulnerabilità di escalation dei privilegi locali che avevano riscontrato in Windows e segnalata a Microsoft, che ha deciso di non correggere perché ” I server devono difendersi dagli attacchi di inoltro NTLM ” .
Nonostante la decisione di Microsoft fortunatamente il team di 0patch ha rilasciato una patch non ufficiale per correggere la falla. Potete vedere una demo della patch in azione nel video in alto.
Free Micropatches for "RemotePotato0", a "WON'T FIX" Local Privilege Escalation Affecting all Windows Systems https://t.co/2Ho0K5pgqR pic.twitter.com/htJrgPBNLa
— 0patch (@0patch) January 12, 2022
Windows Defender ha un punto debole
Lo stesso ricercatore Antonio Cocomazzi ha messo in guardia anche da un problema relativo a Windows 10 e Defender. L’antivirus integrato nel sistema operativo Microsoft avrebbe un punto debole che potrebbe essere sfruttato per diffondere malware. Nello specifico sembrerebbe che tramite una semplice ricerca sia possibile scoprire facilmente le cartelle escluse dalle scansioni di Windows Defender con gli ovvi possibili exploit che ne conseguirebbero da parte dei malware bypassando i controlli. Anche in questo caso Windows 11 è escluso ed è necessario un accesso in locale ma Microsoft non ha ancora risolto il problema noto da ormai otto anni.
Noticed that almost 8 years ago when I started in Tech Support. Always told myself that if I was some kind of malware dev I would just lookup the WD exclusions and make sure to drop my payload in an excluded folder and/or name it the same as an excluded filename or extension…
— Aura (@SecurityAura) January 12, 2022
Cosa ne pensate di queste vulnerabilità scoperte e del comportamento di Microsoft? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | 1, 2
Non dimenticate di scaricare la nostra app per Windows, per Android o per iOS, di seguirci su Facebook, Twitter, YouTube, Instagram e di iscrivervi al Forum di supporto tecnico, in modo da essere sempre aggiornati su tutte le ultimissime notizie dal mondo Microsoft. Iscrivetevi al nostro canale Telegram di offerte per approfittare di tanti sconti pubblicati ogni giorno.
Tag //
English (US)