Un aggiornamento inserito nel Patch Tuesday di agosto 2020 avrebbe dovuto correggere il bug CVE-2020-1509, una vulnerabilità di sicurezza potenzialmente sfruttabile per elevare i privilegi di accesso da remoto su Windows 10. Ma stando a quanto sostiene Google, la “pezza” di Microsoft non è uscita granché bene e il problema non è stato risolto del tutto.
Scoperta dai “cacciatori di bug” del team Project Zero, la falla CVE-2020-1509 è stata classificata da Microsoft come “importante” e coinvolge il solito sospetto noto come LSASS (Local Security Authority Subsystem Service). Google aveva fornito a Redmond i canonici 90 giorni di tempo per sistemare il bug, ma l’ultimo Patch Tuesday non ha a quanto pare soddisfatto gli analisti di Project Zero.
Il problema evidenziato nell’incorretta gestione dei tentativi di autenticazione via LSASS sussiste ancora, denunciano da Google, e la patch di Microsoft fornisce una coperta troppo corta ai potenziali tentativi di attacco. Il problema continua a essere serio soprattutto in ambito enterprise.
Project Zero fornisce generalmente un periodo di grazia di 90 giorni per permettere alle software house di chiudere le falle di sicurezza nei loro prodotti, e lo stesso è successo per CVE-2020-1509. In seguito alla pubblicazione della patch incompleta, Microsoft deve ora fare i conti con la pubblicazione del codice proof-of-concept da parte dei ricercatori e la possibilità che i cyber-criminali utilizzino tali informazioni per sfruttare in maniera attiva il bug.