Nel cuore di Windows Vista si annida una vulnerabilità di sicurezza potenzialmente pericolosa. Ad annunciarne la scoperta è stato un gruppo di ricercatori della società di sicurezza austriaca Phion che, in questo advisory, ha pubblicato i dettagli della debolezza e del codice proof-of-concept.
Il bug, di tipo buffer overflow, è contenuto nello stack TCP/IP di Vista e, in particolare, nel componente Microsoft Device IO Control. Può essere innescato inviando speciali richieste all’API iphlpapi.dll che portano alla corruzione della memoria del kernel e generano un errore di sistema irreversibile (con la famosa schermata blu).
Thomas Unterleitner, uno degli scopritori della falla, ha spiegato che questa può essere sfruttata per celare rootkit e lanciare attacchi di denial of service. Ma la vera minaccia, secondo il ricercatore, è rappresentata dalla possibilità che qualcuno scopra come sfruttare il bug per eseguire del codice a distanza: un metodo, attualmente in corso di verifica, potrebbe essere dato dall’invio di pacchetti DHCP malformati verso un sistema vulnerabile.
Unterleitner precisa che gli exploit dimostrativi messi a punto con i suoi colleghi possono essere eseguiti solo da un utente locale che faccia parte del gruppo Administrators o Network Configuration Operators. Informata della vulnerabilità il 20 ottobre, Microsoft avrebbe programmato l’inclusione della patch in un futuro service pack di Vista: se in questo arco di tempo dovessero emergere exploit capaci di funzionare anche senza l’utilizzo di account con privilegi elevati, è assai probabile che BigM pubblicherebbe la patch in uno dei suoi tradizionali bollettini mensili di sicurezza.
La presenza della falla è stata verificata in Windows Vista Ultimate SP1 ed Enterprise SP1, sia nelle versioni a 32 che a 64 bit. Il problema, secondo gli esperti di sicurezza austriaci, dovrebbe interessare anche tutte le altre edizioni di Vista.
puntoinformatico