I ricercatori hanno identificato una grave falla di sicurezza nel popolare browser Web Internet Explorer 11 di Microsoft. Scoperto dalla società di sicurezza Kaspersky, il bug potrebbe essere sfruttato dagli hacker per eseguire codice in remoto su un dispositivo mirato e ottenere privilegi amministrativi. La vulnerabilità è anche zero-day, il che significa che gli hacker sono stati in grado di sfruttarla prima che Microsoft potesse gestire una patch e ha ricevuto una valutazione di gravità critica di 7.5/10, secondo il Common Vulnerability Scoring System (CVSS).
Vulnerabilità di Internet Explorer
Secondo il rapporto Microsoft, il bug è stato trovato nel motore di scripting del browser ed è correlato al modo in cui gli oggetti vengono gestiti in memoria. “La vulnerabilità potrebbe danneggiare la memoria in modo che un utente malintenzionato possa eseguire codice arbitrario nel contesto dell'utente corrente. Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente", ha spiegato la società. Ciò potrebbe essere particolarmente problematico se un utente malintenzionato attacca un amministratore del dispositivo, consentendogli di installare software, modificare o eliminare dati e creare nuovi account con privilegi di accesso completo. Nella tarda primavera, l'exploit è stato utilizzato in natura per attaccare un'azienda in Corea del Sud, ma l'attacco è stato mitigato da Kaspersky. Non è noto se lo zero-day sia stato abusato in altri attacchi. “Quando si verificano attacchi selvaggi con vulnerabilità zero-day, è sempre un'ottima notizia per la comunità della sicurezza informatica. Il rilevamento riuscito di tale vulnerabilità costringe immediatamente i fornitori a rilasciare una patch e costringe gli utenti a installare tutti gli aggiornamenti necessari ", ha affermato Boris Larin, esperto di sicurezza di Kaspersky. “Questo caso include un exploit con capacità di esecuzione di codice in modalità remota, che è più pericoloso. Insieme alla possibilità di colpire le ultime versioni di Windows 10, l'attacco scoperto è davvero raro di questi tempi. "Microsoft ha fornito una correzione per il bug di Internet Explorer questa settimana, come parte della patch del martedì di agosto 2020. Per proteggersi dagli attacchi, gli utenti sono incoraggiati ad aggiornare immediatamente all'ultima versione.