Contesa con Microsoft: Un ricercatore anonimo pubblica un nuovo exploit per Windows

Da diversi mesi, un ricercatore anonimo noto con il nickname "Nightmare Eclipse", sta pubblicando online le vulnerabilità che scopre all’interno del sistema operativo Windows 10 e 11. Questa volta ha rivelato una nuova vulnerabilità, soprannominata "Rogue Planet", che riesce a sfruttare una "race condition" (situazione di gara), anche in presenza degli ultimi aggiornamenti di sicurezza.

Normalmente i ricercatori di sicurezza collaborano direttamente con le aziende tecnologiche per comunicare le vulnerabilità in modo che vengano correttamente risolte. Tuttavia, "Nightmare Eclipse" ha deciso di agire diversamente dopo un malinteso con Microsoft, pubblicando direttamente i suoi exploit online.

Una collaborazione difficile

Il ricercatore afferma di essere stato censurato da Microsoft: i suoi post sono stati rimosso da GitHub e GitLab, e successivamente il suo account è stato bannato. Tuttavia, ha insistito affermando che "il codice non può essere cancellato una volta che è stato reso pubblico".

"Rogue Planet" è un exploit che permette agli attaccatori di eseguire comandi arbitrari e ottenere privilegi di sistema, sfruttando vulnerabilità interne del sistema operativo Windows. Questa particolare exploit è stata creata a partire dal mese di maggio.

Come funziona l'exploit

Secondo "Nightmare Eclipse", l'exploit funziona grazie a una condizione di "race condition". La vulnerabilità si verifica quando diversi processi vengono eseguiti senza sincronizzazione sufficiente, causando potenzialmente risultati imprevedibili. In alcune configurazioni è riuscito a ottenere un tasso di successo del 100%, il che rappresenta una seria preoccupazione per l'intera base di utenti Windows, inclusi quelli con patch aggiornate.

L'exploit potrebbe essere utilizzato per ottenere accesso privilegiato senza l’autorizzazione dell’utente, aprendo la strada ad attività malintenzionate come l’installazione di malware, alterazioni di dati sensibili e accesso non autorizzato a informazioni riservate.

Reazione della comunità e di Microsoft

Può essere considerata una seria minaccia, dato che i ricercatori di Threat Locker hanno confermato essere riusciti a riprodurre un attacco utilizzando lo stesso exploit. Questo è il settimo exploit significativo pubblicato da "Nightmare Eclipse" negli ultimi mesi. Però, lui non fornisce spiegazioni precise su come il codice funziona. L'idea è che Microsoft debba interpretare i dati per chiudere autonomamente la vulnerabilità.

"Siamo consapevoli del problema"

Un portavoce Microsoft ha dichiarato a Bleeping Computer: “Microsoft è consapevole del problema e sta indagando sulla validità e sulla potenziale applicabilità di queste affermazioni. Tuttavia, sosteniamo il coordinamento nell'invio delle vulnerabilità. Questo standard protegge i clienti e supporta la comunità dei ricercatori fornendo loro un ampio periodo per investigare e testare i loro ritrovamenti prima della pubblicazione.”

Implicazioni per gli utenti

Data l'estensione degli utilizzatori di Windows, i potenziali rischi sono estesi. Anche se non si conoscono al momento dati specifici su chi possa aver già utilizzato lo stesso exploit, la sua esistenza online rappresenta un rischio concreto.

I ricercatori suggeriscono agli utenti di seguire alcune linee guida:

• Aggiornare il sistema operativo Windows non appena disponibili nuove patch ufficiali
• Utilizzare strumenti di sicurezza aggiornati per proteggere il sistema
• Evitare di scaricare contenuti da fonti sconosciute
• Effettuare regolarmente backup dei dati importanti

L’importanza della collaborazione

Il caso di "Nightmare Eclipse" mostra una volta di più quanto sia complessa la collaborazione tra i ricercatori indipendenti e le aziende tecnologiche. Mentre da una parte esiste la responsabilità di informare al più presto sull’esistenza delle vulnerabilità, dall’altra le aziende richiedono un certo livello di riservatezza per poter risolvere i problemi in modo controllato.

In questo scenario, emerge l’importanza di sviluppare protocolli chiari che favoriscano la comunicazione sicura e coordinata tra i ricercatori e le aziende, garantendo l’integrità dei sistemi e la privacy dei dati utente.

Un messaggio alla comunità

Nel suo blog, "Nightmare Eclipse" invita i ricercatori di sicurezza a esaminare il suo lavoro e a diffondere informazioni accurate. “Sono un ricercatore autonomo che cerca di proteggere gli utenti”, scrive. “Se Microsoft non si è affidato a me, allora non si può lamentare del risultato.”

Ci si aspetta che Microsoft risponda entro breve a questa iniziativa con un aggiornamento formale, pubblicando una patch per chiudere "Rogue Planet" o una patch simile per altri exploit rivelati in passato.