Lo scorso 7 marzo il Threat Analysis Group di Google ha pubblicato un bollettino di sicurezza sul proprio portale dedicato sulla scoperta di una vulnerabilità 0-Day presente nei sistemi operativi Microsoft Windows 7. La scoperta risale al 27 febbraio ed è stata pubblicata insieme alla scoperta di una vulnerabilità che interessava Google Chrome (CVE-2019-5786) immediatamente risolta. Google infatti invita tutti i fruitori del famoso motore di ricerca ad aggiornare il proprio sistema.
Trascorsi 7 giorni, in perfetto rispetto delle proprie policy in tema di divulgazione di vulnerabilità e solo dopo aver avvisato Microsoft, ha deciso di rendere pubblica questa disclousure per la gravità elevata della minaccia. Ad oggi sembrerebbe che Microsoft non abbia predisposto una patch dedicata per risolvere il bug.
Come spiegato dalla stessa Google, la falla risulta sfruttabile solamente in Windows 7 a causa delle mitigazioni contro gli exploit introdotte da Microsoft nelle versioni più recenti del sistema operativo. Tecnicamente si tratta di una “NULL pointer dereference” in “win32k!MNGetpItemFromIndex” quando(when) “NtUserMNDragOver() system call” è richiamato in specifiche circostanze.
In effetti, si ha notizia di tentativi di attacco in-the-wild che sfruttano questa falla unicamente ai danni di sistemi Windows 7 a 32-bit.
Come consiglio la stessa Google suggerisce di aggiornare i propri sistemi alla nuova versione di Windows 10 e ovviamente di aggiornare il proprio sistema con la patch che sarà rilasciata da Microsoft.
Fonte: CERT Nazionale