Gravi Falle Privilege Escalation su Windows e Linux

Proto: N010122.

Con la presente CERT-Yoroi desidera informarla riguardo due importanti vulnerabilità di tipo Privilege Escalation, le vulnerabilità affliggono sia sistemi operativi Microsoft che sistemi operativi Linux.

La prima vulnerabilità, nota con identificativo CVE-2022-21882, risiede nei moduli kernel “Win32k.sys” dei sistemi operativi Microsoft Windows, e, a causa di alcune lacune gestione della memoria, permette ad un attaccante locale di innescare un buffer overflow ed eseguire codice arbitrario sul sistema con privilegi elevati.

La seconda, invece, riguarda il componente Polkit (PolicyKit), una delle fondamentali dipendenze delle recenti versioni dei sistemi operativi Linux;. nota con l’identificativo CVE-2021-4034, e conosciuta con l’alias PwnKit, a causa di una incorretta gestione dei path degli eseguibili privilegiati, un utente locale potrebbe ottenere facilmente i privilegi amministrativi, risultano, infatti, già disponibili gli strumenti tecnici in grado di sfruttare la falla.

Gli scenari di rischio riguardano la possibilità di agevolare l’intrusione di un attaccante che ha già stabilito un primo accesso all’interno dell’infrastruttura vittima, in quel caso, una escalation di privilegi facilita notevolmente i movimenti laterali.  Si osserva, di fatto, un abuso di sfruttamento di questo tipo di vulnerabilità da parte di gruppi APT provenienti da zone APAC.

La vulnerabilità CVE-2022-21882 è stata già segnalata da Microsoft all’interno del bollettino mensile di Gennaio 2022, ma nella giornata odierna sono stati rilasciati gli strumenti tecnici in grado di sfruttarla. 

Per quanto riguarda la vulnerabilità CVE-2021-4034, è afflitta ogni versione degli ultimi 12 anni di Polkit, di conseguenza risultano colpite tutte le maggiori distribuzioni Linux, i vendor hanno rilasciato specifici bollettini di sicurezza in cui indicano le versioni aggiornate che correggono la falla (Ubuntu, RedHat, Debian).

A questo proposito, CERT Yoroi suggerisce l’installazione degli aggiornamenti di sicurezza forniti dai vendor già disponibili per sistemi Windows da inizio Gennaio 2022. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index