CVE-2021-28310: una finestra già rotta

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 

Una vulnerabilità zero-day presente in Microsoft Windows potrebbe essere già stata sfruttata dai cybercriminali. Vediamo di cosa si tratta e come proteggersi

 

 

I ricercatori di Kaspersky hanno individuato una vulnerabilità zero-day (CVE-2021-28310) in un componente di Microsoft Windows chiamato Desktop Window Manager (DWM). Crediamo che numerosi cybercriminali potrebbero aver già sfruttato questa vulnerabilità. Microsoft ha già rilasciato la patch e vi suggeriamo di installarla immediatamente.

Cos’è Desktop Window Manager?

Quasi tutti noi abbiamo dimestichezza con l’interfaccia a finestre dei moderni sistemi operativi: ogni programma si apre in una finestra separata che non necessariamente occupa tutto lo schermo. Le finestre possono sovrapporsi, per esempio, una getta un’ombra sulle altre come se stesse fisicamente bloccando la luce. Su Microsoft Windows, il componente responsabile di caratteristiche come le ombre e trasparenze si chiama Desktop Window Manager.

Per capire perché Desktop Window Manager sia importante in un contesto di sicurezza informatica, va tenuto in considerazione che i programmi non disegnano semplicemente le loro finestre sullo schermo ma aggiungono le informazioni necessarie in un buffer. Desktop Window Manager prende queste informazioni dal buffer di ogni programma e crea l’immagine complessiva di ciò che viene visualizzato dall’utente. Quando si trascina una finestra su un’altra, i programmi aperti non sanno nulla sul fatto che le loro finestre debbano proiettare un’ombra o che un’altra finestra a sua volta proietta un’ombra su di esse, per esempio. Desktop Window Manager si occupa di questo compito, si tratta di un servizio chiave che esiste su Windows a partire dalla versione Vista e che non può essere disattivato su Windows 8 o versioni successive.

La vulnerabilità in Desktop Window Manager

La vulnerabilità scoperta dalla nostra tecnologia avanzata di prevenzione degli exploit porterebbe alla cosiddetta privilege escalation; ciò significa che un programma può ingannare Desktop Window Manager e ottenere un accesso che non dovrebbe avere. In questo caso, la vulnerabilità ha permesso ai criminali informatici di eseguire un codice arbitrario sui dispositivi delle vittime, concedendo in sostanza il pieno controllo del computer.

Come evitare l’exploit CVE-2021-28310

È fondamentale agire rapidamente. Ecco cosa potete fare:

  • Installate immediatamente le patch rilasciate da Microsoft il 13 aprile e su tutti i computer vulnerabili;
  • Proteggete tutti i dispositivi con una soluzione di sicurezza robusta come Kaspersky Endpoint Security for Business, la cui componente avanzata di prevenzione degli exploit blocca i tentativi di sfruttare la vulnerabilità CVE-2021-28310.

 

Ulteriori informazioni sulla soluzione Kaspersky: dircom@argonavis.it

20 Aprile 2021