Lo scorso giugno, i ricercatori ESET hanno identificato un exploit zero-day utilizzato per un attacco nell’Europa orientale.

L’exploit sfrutta una vulnerabilità di escalation dei privilegi locali in Microsoft Windows, in particolare una funzione del puntatore NULL nel componente win32k.sys. Una volta che l’exploit è stato scoperto e analizzato, è stato segnalato al Microsoft Security Response Center, che ha prontamente risolto la vulnerabilità e rilasciato una patch.

La vulnerabilità interessa le seguenti versioni Windows:

• Windows 7 Service Pack 1 a 32 bit
• Windows 7 Service Pack 1 basato su x64
• Windows Server 2008 per sistemi a 32 bit Service Pack 2
• Windows Server 2008 per sistemi basati su Itanium Service Pack 2
• Windows Server 2008 per sistemi basati su x64 Service Pack 2
• Windows Server 2008 R2 per i sistemi basati su Itanium Service Pack 1
• Windows Server 2008 R2 Pack 1 basato su x64

Come in molte altre vulnerabilità scoperte negli ultimi anni in win32k.sys di Microsoft Windows, questo exploit utilizza oggetti dei menu popup. Ad esempio, l’escalation di privilegi locali del gruppo Sednit che i ricercatori di ESET hanno analizzato nel 2017 utilizzava oggetti di menu e tecniche molto simili all’attuale exploit.

Se si sta utilizzando ancora Windows 7 Service Pack 1 per sistemi a 32 bit si dovrebbe prendere in considerazione l’aggiornamento a sistemi operativi più recenti, poiché il supporto esteso di Windows 7 Service Pack 1 termina il 14 gennaio 2020 e ciò significa che da questa data gli utenti di Windows 7 non riceveranno più alcun aggiornamento critico di sicurezza. Pertanto, vulnerabilità come questa rimarranno per sempre senza patch.