Alcune settimane fa, Microsoft ha lanciato rapidamente un patch per riparare Spectre e Meltdown vulnerabilità di sicurezza persistenti in Windows 7. Sfortunatamente, le cose non sono andate come previsto perché la patch Meltdown dell'azienda ha effettivamente innescato ancora più problemi di sicurezza.
La patch ha portato più difetti su Windows 7, consentendo a tutte le app a livello utente di leggere i contenuti dal from kernel di Windows. Inoltre, la patch consente anche la scrittura di dati nella memoria del kernel. Ecco cosa devi sapere su tutto questo.
Ecco cosa ha attivato la patch Meltdown in Windows 7
Ulf Frisk, l'esperto svedese in sicurezza informatica, scoperto il buco che questa ultima patch di Microsoft innesca. Lo ha fatto mentre lavorava su PCILeech, che è un dispositivo che ha realizzato alcuni anni fa e che esegue attacchi DMA (Direct Memory Access) e scarica anche la memoria del sistema operativo protetta.
Secondo questo esperto, la patch Meltdown di Microsoft per CVE-2-17-5754 è riuscita a causare un difetto nel bit che controlla l'autorizzazione di accesso alla memoria del kernel per errore. Frisk ha aperto il suo post sul blog scrivendo:
Scopri la patch di Windows 7 Meltdown di gennaio. Ha fermato Meltdown ma ha aperto una vulnerabilità in modo peggiore... Ha permesso a qualsiasi processo di leggere il contenuto completo della memoria a gigabyte al secondo, oh - era possibile scrivere su una memoria arbitraria come bene.
Non erano necessari exploit fantasiosi. Windows 7 ha già svolto il duro lavoro di mappatura della memoria richiesta in ogni processo in esecuzione. Lo sfruttamento era solo una questione di lettura e scrittura nella memoria virtuale in-process già mappata. Non sono necessarie API o chiamate di sistema fantasiose: solo lettura e scrittura standard!
Frisk ha continuato e ha spiegato che il “Il bit di autorizzazione utente/supervisore è stato impostato nella voce di autoreferenziazione PML4", e questo ha attivato la disponibilità delle tabelle delle pagine per il codice in modalità utente in tutti i processi.
- RELAZIONATO: Le CPU Intel di ottava generazione portano un nuovo design hardware per bloccare Spectre e Meltdown
Queste tabelle delle pagine dovrebbero essere accessibili solo tramite il kernel in condizioni normali. Il PML4 è utilizzato dalla CPU Memory Management Unit per tradurre gli indirizzi virtuali dei processi in indirizzi di memoria fisica in RAM.
Microsoft risolve il problema con il rilascio del Patch Tuesday di marzo 2018
Secondo l'esperto svedese, il problema sembra aver interessato solo le versioni a 64 bit di Windows 7 e Windows Server 2008 R2. Microsoft ha corretto il difetto riportando l'autorizzazione PML4 al valore originale nel Patch di marzo martedì. Sembra che i computer Windows 8.1 o Windows 10 non siano interessati da questo problema.
STORIE CORRELATE DA VERIFICARE:
- AMD conferma i difetti rilevati da CTS-labs; promette patch con correzioni
- Intel dice che non dovresti installare le patch Spectre e Meltdown
- Correzione al 100%: la VPN non funziona sui computer Windows 7
