Vulnerabilità Critica su Servizi Windows Search
08/09/2017
Con la presente Yoroi desidera informarLa riguardo alla pubblicazione di aggiornamenti di sicurezza critici relativi ad un’importante vulnerabilità all’interno del servizio Windows Search presente in numerosi Sistemi Operativi Microsoft. La problematica è nota con l’identificativo CVE-2017-8620.
La criticità affligge le routine di gestione della memoria del servizio di sistema Windows Search, tipicamente abilitato all’interno delle configurazioni di default dei sistemi operativi del Produttore. Un attaccante in grado di interagire con il servizio in oggetto può essere in grado di eseguire codice arbitrario all’interno del sistema vittima, compromettere l’host ed installare ulteriore malware. L’interazione con servizi Windows Search vulnerabili può inoltre avvenire attraverso il protocollo di rete SMB, estensivamente utilizzato all’interno di reti basate su sistemi Microsoft.
Il Produttore ha confermato la problematica ed ha rilasciato opportuni aggiornamenti di sicurezza per molteplici sistemi afflitti dalla criticità, in dettaglio:
- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows 7 Service Pack 1
- Windows Server 2008 Service Pack 2
- Windows Server 2008 R2 Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
Vista la tipologia di problematica e la potenziale estensione della superficie afflitta dalla problematica, Yoroi suggerisce caldamente di pianificare l’applicazione degli aggiornamenti di sicurezza indicati dal Produttore per l’interno parco macchine afflitto dalla problematica. Qualora non fosse possibile applicare le patch a disposizione sono disponibili workaround atti a mitigare la problematica disabilitando il servizio Windows Search:
- lanciare "regedit"
- navigare all’interno di “HKEY_LOCAL_MACHINESystemCurrentControlSetServices”
- modificare il valore della chiave “Start” all’interno delle configurazioni del servizio “WSearch” inserendo il valore “4”
- Terminare il servizio Windows Search in esecuzione con il comando “sc stop WSearch”
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
