Un nuovo exploit 0-day mette in difficoltà Windows 11 e costringe Microsoft a muoversi in fretta. A scovarlo è stato un ricercatore indipendente che nel mondo della cybersicurezza si fa chiamare NightmareEclipse, un nome ormai familiare per chi bazzica il settore. La storia dietro questa scoperta ha però dei contorni curiosi, perché non si tratta solo di un problema tecnico ma anche di uno scontro personale.
Da qualche mese, infatti, il ricercatore è ai ferri corti con Microsoft. L’accusa? Non aver riconosciuto pubblicamente il merito di una vulnerabilità che aveva individuato in precedenza. La sua risposta è stata piuttosto diretta: cercare nuove falle nei prodotti dell’azienda e renderle pubbliche subito, senza il consueto avviso privato che di solito dà tempo alle società di correre ai ripari. Nelle scorse ore è arrivata l’ultima mossa di questa partita, e a farne le spese stavolta è proprio Windows 11.
La vulnerabilità porta il nome di HiveLegacy e colpisce il servizio Windows User Profile Service. In pratica sfrutta il meccanismo che carica i profili utente quando si accede al sistema. Il problema è che consente a chi ha privilegi limitati di mettere le mani su impostazioni sensibili collegate agli account amministratore. Un bel guaio, insomma. NightmareEclipse ha già pubblicato un proof-of-concept, ovvero un exploit dimostrativo, che diversi altri ricercatori indipendenti hanno verificato e confermato come funzionante.
Cosa possono fare gli amministratori nel frattempo
C’è però un dettaglio che vale la pena sottolineare. Il ricercatore, a quanto pare, non è stato cattivo fino in fondo. L’exploit è stato limitato di proposito, così da abbassare il rischio che qualche malintenzionato possa usarlo subito per combinare danni. Resta il fatto che una volta reso pubblico il codice, è quasi scontato che compaiano varianti più raffinate oppure combinazioni con altre falle, con l’obiettivo di ottenere un controllo più ampio sui dispositivi presi di mira. Il che significa una cosa sola: Microsoft deve intervenire, e deve farlo in tempi rapidi.
Da Redmond, per il momento, arriva una conferma. L’azienda sa dell’esistenza della falla e ha già avviato le indagini per decidere come procedere. Nell’attesa, gli esperti hanno diramato qualche consiglio pratico agli amministratori di sistema. Il primo è tenere gli occhi ben aperti su eventuali attività sospette legate al servizio ProfSvc, controllando i file di profilo utente come NTUSER.DAT e UsrClass.dat. Il secondo è più semplice ma altrettanto importante: limitare la creazione di account locali ai soli casi davvero indispensabili, senza sprecarne inutilmente.
Per ora non risultano campagne di attacco su larga scala che sfruttino HiveLegacy. Ma è ragionevole pensare che la situazione possa cambiare in fretta, considerato che il codice ormai gira liberamente e chiunque abbia le competenze giuste può studiarlo. La palla, a questo punto, è nelle mani di Microsoft, che dovrà chiudere la falla prima che qualcuno decida di trasformare quel proof-of-concept in qualcosa di ben più pericoloso.