Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Per oltre un anno, una falla nei meccanismi di accessibilità di Windows ha consentito agli aggressori di assumere il controllo totale del sistema. Questo problema, riguardante quasi tutte le versioni supportate di Windows, era legato alla tastiera virtuale standard.
MDSec ha annunciato la scoperta di una vulnerabilità di escalation dei privilegi, denominata internamente RegPwn. I ricercatori avevano sfruttato attivamente la vulnerabilità nelle operazioni del Red Team sin da gennaio 2025, mantenendo la scoperta riservata. Una correzione è stata rilasciata solo con l’aggiornamento di sicurezza di Windows di marzo segnalato con il CVE-2026-24291.
L’errore ha interessato Windows 10, Windows 11 e le versioni server del sistema: Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022 e Windows Server 2025.
Il problema riguarda le funzionalità di accessibilità di Windows che aiutano le persone con disabilità a utilizzare il sistema. Queste includono Assistente vocale, la tastiera su schermo e altri strumenti. Le impostazioni relative a queste funzionalità sono memorizzate nel registro di sistema .
Quando un utente avvia, ad esempio, la tastiera su schermo, il sistema crea una chiave di registro con le impostazioni della funzionalità e consente all’utente standard di modificarne i dati. Durante l’accesso, Windows copia le impostazioni dalla chiave di registro utente alla chiave di registro di sistema. Questa operazione viene eseguita dal processo winlogon.
La funzionalità di accessibilità viene eseguita per conto dell’utente, ma con un livello di integrità superiore grazie a uno speciale flag di interfaccia di accessibilità. A prima vista, questo schema sembra sicuro. Tuttavia, si presenta un problema quando si passa al desktop protetto di Windows .
Un desktop sicuro viene utilizzato, ad esempio, quando un utente blocca il computer o esegue un programma con privilegi di amministratore. In questo ambiente è consentita l’esecuzione solo di processi attendibili con privilegi di sistema. I normali processi utente non sono autorizzati a essere eseguiti in questo ambiente.
Quando viene creato il desktop protetto, vengono avviati due processi atbroker.exe. Uno viene eseguito come utente, l’altro come account SYSTEM. Innanzitutto, il processo utente copia le impostazioni di accessibilità dalla chiave di registro utente alla chiave di registro di sistema. Successivamente, il processo SYSTEM sposta i valori ancora più in profondità, nell’area del registro utilizzata dalla tastiera su schermo.
Dopodiché, il processo osk.exe viene avviato con privilegi di sistema. La tastiera su schermo legge nuovamente le impostazioni e scrive i valori nella chiave del registro di sistema, che rimane scrivibile dall’utente standard.
Questo meccanismo apre la porta agli attacchi. L’utente controlla la chiave di registro di origine e può sostituire la chiave di destinazione utilizzando un collegamento simbolico del registro . Di conseguenza, un processo con privilegi di SYSTEM scrive dati in una chiave di registro arbitraria.
Per sfruttare la vulnerabilità, un utente malintenzionato deve solo intercettare il breve intervallo tra l’avvio della tastiera virtuale e la scrittura dei dati. Per sincronizzare l’operazione, il file oskmenu.xml viene bloccato. Quando il sistema accede al file, l’attaccante sostituisce la chiave del registro di sistema con un collegamento simbolico alla chiave selezionata.
Nella dimostrazione dell’attacco, i ricercatori sovrascrivono il parametro ImagePath del servizio msiserver e quindi avviano il servizio tramite un oggetto COM MSI. Il sistema esegue il percorso specificato con privilegi di SYSTEM, garantendo il pieno controllo del sistema. Una correzione per RegPwn è stata rilasciata nell’aggiornamento di sicurezza di Windows di marzo. Dopo l’installazione dell’aggiornamento, la sequenza di operazioni descritta non consente più di scrivere valori arbitrari nel registro di sistema.
