Vulnerabilità Total-Meltdown su Sistemi Windows

 

Proto: N110318.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una vulnerabilità degna di nota all’interno dei sistemi operativi Microsoft Windows 7 e Windows 2008 R2. La criticità è nota con lo pseudonimo “Total Meltdown” e può permettere ad un attaccante locale di estrarre la totalità della memoria privilegiata della macchina vittima.

Ricercatori indipendenti hanno rilevato lacune nei permessi di accesso a pagine di memoria critiche all’interno di sistemi operativi Windows: dalle analisi risulta infatti che le patch di sicurezza per Meltdown recentemente rilasciate da Microsoft abbiano introdotto una misconfigurazione all’interno di alcune pagine di memoria di sistema (PML4). Queste particolari aree di memoria, normalmente accessibili solo dal kernel, risultano raggiungibili anche da processi utente.

L’accesso a queste aree di memoria può permettere ad un attaccante locale non privilegiato di accedere e trafugare chiavi di cifratura, credenziali, dati riservati e/o token di autenticazione presenti all’interno del sistema vittima. 

La vulnerabilità affligge unicamente le versioni Windows 7 (64bit) e Windows 2008 R2 (64bit) alle quali sono state applicate le patch di sicurezza Microsoft di Gennaio 2018 e Febbraio 2018. In base alle informazioni a disposizione la problematica risulta risolta all’interno degli aggiornamenti di sicurezza di Marzo 2018.

Benché l’introduzione della vulnerabilità sia avvenuta in un periodo temporale limitato e sia relativa solamente a particolari sistemi operativi, vista la disponibilità di dettagli tecnici e strumenti di test, Yoroi consiglia di verificare lo stato di aggiornamento dei sistemi potenzialmente afflitti e, se necessario, pianificare l’applicazione delle patch di sicurezza idonee. In particolare, alcuni degli scenari di maggior rischio legati alla presenza della problematica possono essere riscontrati a seguito di attacchi malware o intrusioni all’interno di macchine ponte, jump server, terminal server o, in generale, server applicativi condivisi.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index