Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un exploit da mesi veniva usato in test offensivi da parte di una azienda di cybersecurity, poi improvvisamente è diventato pubblico come codice della CVE. L’azienda in questione, ha riportato il suo completo funzionamento, con un report che ribattezza la vulnerabilità con il nome RegPwn.
Questa faccenda risulta spinosa, in quanto, per un discorso di comunità, qualora il bug hunter dell’azienda avesse scovato il bug di sicurezza, sarebbe stato più consono condividerlo con Microsoft in modo da proteggere l’intero ecosistema piuttosto che utilizzarlo nelle attività di Red team dell’azienda.
Premesso questo, la vulnerabilità è stata battezzata RegPwn, rimasta interna per oltre un anno e sfruttata con continuità. Colpisce diversi sistemi, tra cui Microsoft Windows 10, 11 e varie versioni Server. Ora è stata corretta, ma il modo in cui funzionava, lascia qualche dubbio.
Tutto parte dalle funzionalità di accessibilità di Windows, quelle pensate per facilitare l’uso del sistema. Narratore, tastiera su schermo, strumenti utili. Ma dietro le quinte si appoggiano al registro di sistema, in particolare a chiavi che possono essere modificate anche da utenti con pochi privilegi.
Ed è proprio qui che si apre uno spiraglio. Quando queste funzionalità vengono attivate, alcune configurazioni vengono copiate tra diverse aree del registro, passando da contesti utente a contesti con privilegi più elevati. E se controlli l’inizio della catena puoi influenzare tutto il resto.
Il punto interessante arriva con il Secure Desktop. È quell’ambiente isolato che si attiva, ad esempio, quando blocchi il PC o lanci qualcosa come amministratore. Qui girano solo processi fidati, spesso con privilegi SYSTEM. In questo scenario entrano in gioco più istanze di un processo specifico, che si occupa di copiare configurazioni tra diverse chiavi del registro. Una gira con privilegi utente, l’altra come SYSTEM.
Il problema è che alcune di queste chiavi restano modificabili dall’utente. Insomma una porta lasciata socchiusa. Con un po’ di tempismo e sfruttando link simbolici nel registro, diventa possibile scrivere valori arbitrari con privilegi SYSTEM. Non è immediato, serve precisione, ma funziona.
L’attacco richiede alcuni passaggi ben orchestrati. Si prepara l’ambiente, si modifica una chiave controllata dall’utente e si imposta un blocco opportunistico su un file specifico. Poi si forza la creazione del Secure Desktop. A quel punto, quando il sistema tenta di scrivere nel registro, l’attaccante intercetta il momento giusto e reindirizza la scrittura verso una destinazione a scelta. Questione di pochi secondi.
Un esempio concreto? Sovrascrivere il percorso di esecuzione di un servizio di sistema e avviarlo. Tradotto: esecuzione di codice con privilegi massimi. La vulnerabilità, identificata come CVE-2026-24291, è stata risolta durante l’ultimo aggiornamento mensile. La ricerca è stata condotta da MDSec, che ha deciso di rendere pubblici i dettagli dopo aver utilizzato la tecnica nei propri test.
Per la community di Red Hot Cyber questa vicenda ricorda che occorre sempre, una volta scoperto uno zeroday, condividerlo con il vendor del prodotto. In questo modo si rende disponibile una patch in tempi brevi capace di mettere in sicurezza intere organizzazioni che potrebbero essere a rischio compromissione.
