Ancora problemi per gli utenti Windows. Un hacker scopre quattro falle nel sistema operativo e le rende note pima che Microsoft possa rilasciare una patch.
Una nuova minaccia per gli utenti di Microsoft Windowsarriva da quella zona grigia dove la ricerca sulla sicurezza informatica e il mondo degli hacker si toccano e si contaminano. L’oramai ben nota (soprattutto a Redmond) ricercatrice che si fa chiamare SandboxEscaper ha pubblicato nei giorni scorsi sul suo blog un nuovo “zero-day exploit” che potrebbe permettere a un hacker di rubarci i dati dal PC.
Uno “zero-day exploit” è un programma scritto per sfruttare le cosiddette vulnerabilità zero-day, ossia le falle dei software e dei sistemi operativi non ancora note agli sviluppatori, scoperte dopo il rilascio del software. La prima vulnerabilità scoperta questa volta da SandboxEscaper ha a che fare con il Windows Task Scheduler, una delle componenti di Windows necessarie a programmare l’esecuzione delle applicazioni. Tramite un file .job messo a punto da SandboxEscaper un pirata informatico potrebbe ottenere i privilegi di amministratore di sistema del nostro PC e fare ciò che vuole dei nostri dati. Poco dopo la ricercatrice ha reso note altre 3 falle nella sicurezza di Internet Explorer 11, del servizio Windows Error Reporting e di Windows Update.
Chi è SandboxEscaper e cosa vuole
Non è la prima volta che la fantomatica SandboxEscaper fa parlare di sé: l’ultimo exploit da lei pubblicato prima di questi 4 risale ad agosto scorso. Ci sono molti dubbi sull’identità reale di questa presunta ricercatrice che ha il brutto vizio di pubblicare i risultati del suo lavoro senza prima comunicarli a Microsoft. E quindi senza dare all’azienda l’opportunità di chiudere le falleprima che il mondo venga a conoscenza della loro esistenza.
Nel recente passato SandboxEscaper aveva lasciato intuire di soffrire di depressione, mentre in quest’ultima uscita ha scritto anche che se eventuali soggetti “non occidentali” volessero acquistare i suoi exploit lei sarebbe disposta a venderli per non meno di 60.000 (dollari o euro, non è chiaro). Poi la ricercatrice ha affermato di avere pronti gli altri 3 zero-day già descritti che, puntualmente, ha poi caritato su GitHub accompagnandoli con un messaggio sul suo blog: “Ho caricato gli altri bug. Mi piacciono i ponti che bruciano. Semplicemente odio questo mondo“.
Microsoft, come molte altre software house, ha un proprio “Bug Bounty Program“, cioè un programma di incentivi economici riservati agli sviluppatori e ai ricercatori che forniscono informazioni utili sulle falle di sicurezza, proprio come gli zero-day. Ma, a quanto pare, tale programma a SandboxEscaper non interessa.