Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MinacceVulnerabilità

Scoperta falla in Microsoft Code Integrity Guard

CIGslip  microsoft   lunedì, 12 marzo 2018

I ricercatori della società Morphisec hanno scoperto una falla di sicurezza nella funzionalità di protezione delle applicazioni Code Integrity Guard (CIG) di Microsoft, progettata per prevenire il caricamento e l’esecuzione di codice nativo malevolo nella memoria dei processi abilitati. In particolare, CIG impone i requisiti di firma del codice delle DLL, garantendo che solo le DLL correttamente firmate con un certificato emesso da Microsoft possano essere caricate da un processo abilitato.

Microsoft ha introdotto CIG per la prima volta nel 2015 come parte di Device Guard, un meccanismo per impedire la manomissione dei driver di sistema in Windows 10. Successivamente, Microsoft ha implementato CIG nel browser Edge ed ha in seguito consentito agli sviluppatori di software di integrare CIG nelle loro applicazioni.

La falla individuata da Morphisec, battezzata CIGslip, consente ad un attaccante di aggirare i controlli di CIG inserendo il codice malevolo non firmato all’interno di un processo non protetto da CIG e iniettandolo da lì in un’applicazione protetta da CIG. Il post originale di Morphisec contiene una descrizione più dettagliata dell’exploit.

Nonostante gli scopritori abbiano tempestivamente informato Microsoft della falla, al momento non sono previsti aggiornamenti ufficiali da parte del produttore. Microsoft ha preso atto della problematica ma l’ha classificata come non di sicurezza, e quindi a bassa priorità, in quanto al di fuori dall’ambito di applicazione di CIG. Questo significa che un fix per questa falla non sarà probabilmente incluso tra gli aggiornamenti che saranno rilasciati in occasione del prossimo Patch Tuesday, previsto per il 10 aprile 2018.

Secondo alcuni analisti di settore, c’è il rischio che questo nuovo vettore di attacco possa divenire rapidamente popolare tra i creatori di malware. In particolare, CIGslip potrebbe entrare a far parte dell’arsenale di exploit sfruttati da trojan bancari e adware per infiltrarsi nei browser degli utenti.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2018)

12 dicembre 2018

Nella giornata dell'11 dicembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows, .NET Framework, Edge e Internet Explorer.Leggi tutto

Avviso di sicurezza di Microsoft per certificati digitali compromessi

28 novembre 2018

Microsoft ha emesso un avviso di sicurezza relativo a due certificati digitali CA root, installati in Windows da applicazioni di terze parti, le cui corrispondenti chiavi private sono state rese per errore pubbliche dagli sviluppatori.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (novembre 2018)

14 novembre 2018

Nella giornata del 13 novembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows e Edge.Leggi tutto