Nuova vulnerabilità di Windows: Print Spooler può eseguire malware come amministratore

Il lavoro dei ricercatori ha permesso di scoprire un altro bug di Windows, potenzialmente molto pericoloso.

Vuoi rimanere aggiornato su tutte le ultime news? Iscriviti al nostro canale Telegram!

Tutto parte da una vulnerabilità, nota come CVE-2020-1048, scoperta da Peleg Hadar e Tomer Bar, due ricercatori per la sicurezza di SafeBreach Labs. Per cercare di risolvere questa criticità, che consentiva di eseguire codice malevolo con privilegi elevati tramite il servizio di stampa Windows Print Spooler, Microsoft ha introdotto una patch.

Tuttavia, come rilevato proprio dai ricercatori, è emersa una nuova vulnerabilità – individuata con il nome CVE-2020-1337, ndr – che consiste nel bypassare la patch del gigante di Redmond.

Nonostante non siano ancora stati resi noti i dettagli tecnici di questo nuovo bug, il semplice fatto che Microsoft abbia deciso di rilasciare subito un fix – previsto per l’11 agosto, ndr – lascia presupporre che si tratti di una vulnerabilità tutt’altro che banale.

Ma cosa accadeva con la vecchia criticità? Per farla breve, i ricercatori hanno scoperto di poter aggiungere il SYSTEM SID nella cartella dello Spooler semplicemente modificando un file SHD e operando il riavvio del computer. Copiando l’SHD malevolo nella cartella dello Spooler, grazie ad una DLL fatta passare per file SPL, è stato possibile scrivere la DLL nella cartella System32 e quindi far eseguire il malware. Criticità che andava quindi risolta, anche se ora Microsoft deve provvedere alla risoluzione del nuovo bug.