Raffaela Crisci : 4 Luglio 2024 16:37
Una grave vulnerabilità di sicurezza è stata scoperta in MSI Center, un software ampiamente utilizzato su sistemi Windows. Questa falla, classificata come CVE-2024-37726 e con un punteggio CVSS di 7.8 (alto), permette a un utente malintenzionato con privilegi bassi di ottenere il controllo completo del sistema.
L’elevazione dei privilegi si riferisce a una situazione in cui un utente con privilegi limitati ottiene un accesso con privilegi più alti, come quello dell’amministratore, senza avere l’autorizzazione corretta. Questo può permettere a un utente malintenzionato di eseguire operazioni che normalmente non sarebbero consentite.
Sfruttando un difetto nel modo in cui MSI Center gestisce i permessi, un utente malintenzionato può manipolare il file system e indurre il software a sovrascrivere o eliminare file critici con privilegi elevati. In questo modo, l’attaccante può prendere il controllo del sistema e eseguire qualsiasi azione, incluso l’installazione di malware, il furto di dati sensibili o addirittura la possibiità di eseguire codice arbitrario col massimo livello di privilegi. Tutto ciò attraverso l’abuso dei symlinks (symbolic links) sfruttati per ingannare il sistema operativo.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tutte le versioni di MSI Center fino alla 2.0.36.0 sono vulnerabili a questo attacco. Ciò significa che un numero considerevole di sistemi Windows potrebbe essere esposto a questa grave minaccia.
La vulnerabilità può essere sfruttata attraverso i seguenti passaggi:
Un utente con privilegi bassi crea una directory in una posizione accessibile, creando a sua volta un file al suo interno. Successivamente, l’utente utilizza uno strumento di sistema per impostare un OpLock (Mandatory Locking) sul file precedentemente creato. Un OpLock impedisce ad altri processi di accedere o modificare il file finché il blocco non viene rilasciato.
****La funzione “Esporta informazioni di sistema” in MSI Center viene utilizzata per attivare un’operazione di scrittura sul file OpLocked.
Mentre MSI Center tenta di scrivere sul file bloccato con OpLock, l’attaccantlo sostituisce con una giunzione simbolica che punta al file di destinazione desiderato (ad esempio, un file di sistema critico).
Quando MSI Center tenterà di completare l’operazione di scrittura, non sarà in grado di accedere al file originale a causa del blocco OpLock. Tuttavia, a causa della giunzione simbolica creata in precedenza, MSI Center scriverà o sovrascriverà il file di destinazione a cui punta la giunzione.
Poiché MSI Center viene eseguito con privilegi NT AUTHORITY\SYSTEM, l’attaccante ottiene il controllo completo del file di destinazione, potenzialmente sovrascrivendolo con codice dannoso o eliminandolo del tutto.
In sintesi, questa vulnerabilità sfrutta la combinazione di OpLock e giunzioni simboliche per ingannare MSI Center a eseguire azioni con privilegi elevati su un file di destinazione arbitrario. Un utente malintenzionato con privilegi bassi può sfruttare questo metodo per prendere il controllo del sistema, installare malware, rubare dati sensibili o causare altri danni gravi.
Questa vlnerabilità apre la porta a una serie di gravi conseguenze, tra cui:
MSI ha risolto la vulnerabilità nella versione 2.0.38.0 di MSI Center, rilasciata il 3 luglio 2024. L’aggiornamento immediato a questa versione è fondamentale per mitigare il rischio.
La vulnerabilità CVE-2024-37726 rappresenta una grave minaccia per i sistemi Windows che utilizzano MSI Center. Aggiornare all’ultima versione e adottare le opportune misure di sicurezza è fondamentale per mitigare il rischio e proteggere i sistemi da potenziali attacchi informatici.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006