Alcune settimane fa, Microsoft ha rapidamente implementato una patch per correggere le vulnerabilità di sicurezza di Spectre e Meltdown persistenti in Windows 7. Sfortunatamente, le cose non sono finite come previsto perché la patch Meltdown dell'azienda ha effettivamente causato ancora più problemi di sicurezza.

La patch ha portato più difetti su Windows 7, consentendo a tutte le app a livello di utente di leggere il contenuto dal kernel di Windows. Inoltre, la patch consente persino la scrittura di dati nella memoria del kernel. Ecco cosa devi sapere su tutto questo.

Ecco cosa ha attivato la patch Meltdown in Windows 7

Ulf Frisk, l'esperto svedese in sicurezza IT, ha scoperto il buco che scatena quest'ultima patch Microsoft. Lo ha fatto lavorando su PCILeech, che è un dispositivo che ha creato alcuni anni fa e che esegue attacchi DMA (Direct Memory Access) e scarica anche memoria del sistema operativo protetta.

Secondo questo esperto, la patch Meltdown di Microsoft per CVE-2-17-5754 è riuscita a causare un errore nel bit che controlla accidentalmente l'autorizzazione di accesso alla memoria del kernel. Frisk ha aperto il suo post sul blog scrivendo:

Incontra la patch di Windows 7 Meltdown da gennaio. Ha fermato Meltdown ma ha peggiorato la vulnerabilità … Ha permesso a qualsiasi processo di leggere l'intero contenuto della memoria a gigabyte al secondo, oh - era possibile scrivere anche su memoria arbitraria.

Non sono stati necessari exploit di fantasia. Windows 7 ha già svolto il duro lavoro di mappatura della memoria richiesta in ogni processo in esecuzione. Lo sfruttamento era solo una questione di lettura e scrittura su memoria virtuale in-process già mappata. Non sono richieste API o syscall fantasiosi: solo lettura e scrittura standard!

Frisk ha continuato e ha spiegato che il " Bit di autorizzazione utente / supervisore era impostato nella voce autoreferenziale PML4 " e ciò ha innescato la disponibilità delle tabelle di pagine al codice della modalità utente in tutti i processi.