Google ci ricasca: diffusa un’altra falla su Windows

La guerra fredda del web registra un altro colpo inflitto da Big G a Redmond: un nuovo bug di sicurezza affligge Windows 7 e 8.1

Dopo qualche giorno dalla polemica aizzata da Microsoft nei confronti di Google, che avrebbe messo a rischio la sicurezza degli utenti Windows 8.1 con la diffusione pubblica di una falla di sicurezza, la storia si ripete. Questa volta si tratta di un bug nella funzione di crittografia della memoria CryptProtectMemory, utilizzata su Windows 7 e Windows 8.1. Il problema è stato individuato da James Forshaw, lo stesso che aveva rivelato, assieme al team PeojectZero, lo zero-day NtApphelCacheControl che ha causato il battibecco a distanza dalle due super potenze dell’hi-tech. Forshaw ha descritto la fragilità spiegando come possa permettere di bypassare il controllo che viene utilizzato in alcune occasioni, ad esempio quando si crittografano i dati all’interno di una sezione di memoria condivisa. E’ evidente che se un aggressore riesce ad intrufolarsi prima che venga attivato il processo di criptaggio può leggere i dati senza troppi problemi.

Di cosa si tratta

“Quando viene utilizzata l’opzione di login della sessione (su Windows 7 e Windows 8.1 ndr.) – spiega Forshaw – la chiave di crittografia viene generata sull’identificazione specifica dell’utente che sta effettuando l’accesso. A questo punto vengono prodotte informazioni su una memoria condivisa a causa degli stessi processi che girano in un medesimo processo di login. Il problema è che l’implementazione necessaria al file CNG.sys non controlla il livello di impersonificazione del token quando si avvia il login, quindi un utente normale potrebbe sostituirsi ad un legittimo e decriptare i dati condivisi in una sessione di avvio”. Il bug è stato scoperto il 17 ottobre ma una volta scaduto il termine fissato per la sua risoluzione Google ha deciso di renderlo pubblico con la speranza di una decisa azione da parte di Microsoft. In realtà Redmond aveva preso visione del bug e agito di conseguenza. La motivazione della diffusione arriva dalla stessa Google: “Microsoft ci aveva informato di un fix pianificato per gennaio ma che, a causa di problemi di compatibilità, è stato rimandato. Non resta che aspettare febbraio”. Ma intanto la miccia si è riaccesa.

Leggi anche:  Reti e sicurezza IT sono il principale obiettivo degli attacchi di phishing