Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MinacceVulnerabilità

Scoperta falla in Microsoft Code Integrity Guard

CIGslip  microsoft   lunedì, 12 marzo 2018

I ricercatori della società Morphisec hanno scoperto una falla di sicurezza nella funzionalità di protezione delle applicazioni Code Integrity Guard (CIG) di Microsoft, progettata per prevenire il caricamento e l’esecuzione di codice nativo malevolo nella memoria dei processi abilitati. In particolare, CIG impone i requisiti di firma del codice delle DLL, garantendo che solo le DLL correttamente firmate con un certificato emesso da Microsoft possano essere caricate da un processo abilitato.

Microsoft ha introdotto CIG per la prima volta nel 2015 come parte di Device Guard, un meccanismo per impedire la manomissione dei driver di sistema in Windows 10. Successivamente, Microsoft ha implementato CIG nel browser Edge ed ha in seguito consentito agli sviluppatori di software di integrare CIG nelle loro applicazioni.

La falla individuata da Morphisec, battezzata CIGslip, consente ad un attaccante di aggirare i controlli di CIG inserendo il codice malevolo non firmato all’interno di un processo non protetto da CIG e iniettandolo da lì in un’applicazione protetta da CIG. Il post originale di Morphisec contiene una descrizione più dettagliata dell’exploit.

Nonostante gli scopritori abbiano tempestivamente informato Microsoft della falla, al momento non sono previsti aggiornamenti ufficiali da parte del produttore. Microsoft ha preso atto della problematica ma l’ha classificata come non di sicurezza, e quindi a bassa priorità, in quanto al di fuori dall’ambito di applicazione di CIG. Questo significa che un fix per questa falla non sarà probabilmente incluso tra gli aggiornamenti che saranno rilasciati in occasione del prossimo Patch Tuesday, previsto per il 10 aprile 2018.

Secondo alcuni analisti di settore, c’è il rischio che questo nuovo vettore di attacco possa divenire rapidamente popolare tra i creatori di malware. In particolare, CIGslip potrebbe entrare a far parte dell’arsenale di exploit sfruttati da trojan bancari e adware per infiltrarsi nei browser degli utenti.

Notizie correlate

Microsoft rilascia aggiornamento per vulnerabilità multiple in Exchange

21 giugno 2018

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve tre diverse vulnerabilità di gravità elevata in Microsoft Exchange Server.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2018)

13 giugno 2018

Nella giornata del 12 giugno 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer e Edge.Leggi tutto

Vulnerabilità 0-day nel componente JScript di Microsoft Windows

31 maggio 2018

È stata resa nota una vulnerabilità zero-day nel componente JScript di Windows che può causare l'esecuzione di codice malevolo arbitrario.Leggi tutto