CVE-2018-8440: grave vulnerabilità in Windows Task Scheduler

 

La recente vulnerabilità 0-day CVE-2018-8440 di Windows Task Scheduler consente ad un attaccante di ottenere i diritti di amministrazione sulla macchina bersaglio.

 
Microsoft ha rilasciato l'avviso di sicurezza su CVE-2018-8440 l'11 Settembre, per specificare questa problematica. Secondo Microsoft lo sfruttamento di questa vulnerabilità permette l'esecuzione di codice arbitrario nel contesto della sicurezza del sistema locale. 
 
Sulla vulnerabilità
La CVE-2018-8840 è una vulnerabilità di "privilege escalation" nell'interfaccia Advanced Local Procedure Call (ALPC) del Windows Task Scheduler. Parliamo insomma di una vulnerabilità di gravità elevata in Microsoft Windows legata ad una gestione impropria di chiamate ALPC (Advanced Local Procedure Call) da parte del componente Task Scheduler. In caso di successo dell'exploit un utente senza privilegi può modificare le permissioni di qualsiasi file nel sistema. 
 
Il codice di exploit è stato annunciato su Twitter il 27 Agosto 2017 da un ricercatore di sicurezza che lo ha rinominato "SandboxEscaper". Pochi giorni dopo il malware PowerPool era in diffusione tramite questo exploit. 
 
Versioni vulnerabili
  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008, 2012 e 2016
L'individuazione di Quick Heal
Quick Heal ha rilasciato le seguenti individuazioni per la vulnerabilità CVE-2018-8440:
  • Trojan.Win64
  • Trojan.IGeneric