TrendAI Zero Day Initiative ha pubblicato l'advisory ZDI-26-402 l'8 luglio 2026, esponendo una vulnerabilità di local privilege escalation in Glarysoft Glary Utilities rimasta senza correzione per quasi 13 mesi. La segnalazione al vendor risale al 29 maggio 2025. Il meccanismo d'attacco sfrutta un link following via NTFS junction nella funzionalità Disk Clean, permettendo a codice già in esecuzione con privilegi limitati di cancellare file arbitrari e incatenare l'azione per eseguire codice come SYSTEM.
- La vulnerabilità ZDI-26-402 consente escalation da bassi privilegi a SYSTEM in Glarysoft Glary Utilities, utility di manutenzione mainstream per Windows.
- L'exploit passa attraverso la funzionalità Disk Clean: un NTFS junction indirizza il servizio elevato verso file che l'attaccante intende cancellare.
- La disclosure coordinata è avvenuta l'8 luglio 2026, dopo segnalazione iniziale il 29 maggio 2025 e almeno due solleciti intermedi senza conferma di ricezione dal vendor.
- Non è documentata alcuna patch disponibile al momento della pubblicazione dell'advisory, secondo il testo del provvedimento citato.
Il meccanismo tecnico: quando Disk Clean diventa arma
La falla risiede specificamente nella funzionalità Disk Clean di Glary Utilities, componente progettato per liberare spazio eliminando file temporanei e residui di sistema. Il servizio opera con privilegi elevati, una condizione normale per software di manutenzione che deve intervenire su directory protette.
L'attacco inizia con la creazione di un NTFS junction — un reparse point che funge da link tra directory — posizionato in una locazione che Disk Clean è configurato per ripulire. Quando il servizio elabora la richiesta, segue il junction senza verificare la destinazione effettiva. Il risultato, secondo l'advisory, è la cancellazione di file arbitrari scelti dall'attaccante, inclusi file che normalmente richiederebbero privilegi SYSTEM per la modifica.
L'escalation completa si realizza incatenando questa capacità di cancellazione controllata. Eliminare file strategici del sistema — tra cui binari critici, librerie condivise o componenti di avvio — permette di sostituirli con payload malevoli che il sistema caricherà successivamente con privilegi elevati. L'advisory ZDI descrive esplicitamente questo percorso: "An attacker can leverage this vulnerability to escalate privileges and execute arbitrary code in the context of SYSTEM."
"The specific flaw exists within the Disk Clean functionality. By creating a junction, an attacker can abuse the service to delete arbitrary files."
Perché il 0-day colpisce una superficie d'attacco vasta
Glary Utilities è distribuito come tool di manutenzione consumer e piccolo ufficio, con installazioni che si contano per milioni su workstation Windows. La sua diffusione massiva si combina con un profilo di rischio sottovalutato: software di utility di sistema viene spesso installato con permessi elevati, aggiornato raramente, e considerato di secondo piano nei programmi di patch management aziendale.
Il vettore d'attacco è strettamente locale, ma questo non ne limita la gravità. Malware già presente su una workstation con privilegi utente standard — scenario comune dopo infezioni iniziali via phishing o download compromesso — può sfruttare ZDI-26-402 per ottenere persistenza a livello SYSTEM. Da lì, la compromissione si estende a disabilitazione di controlli endpoint, movimento laterale, e accesso a credenziali in memoria.
Il prerequisito di esecuzione locale, come precisato nell'advisory, è "low-privileged code on the target system". Questo esclude attacchi remoti diretti ma include esattamente la fase di post-compromissione che rende un infezione iniziale sostenibile e difficile da eradicare.
I tredici mesi di disclosure coordinata
La timeline documentata da ZDI mostra un ciclo di segnalazione senza risoluzione. Il report è stato inoltrato a Glarysoft il 29 maggio 2025. Il 25 giugno 2025 ZDI ha sollecitato una conferma di ricezione, senza evidenza di risposta. Il 4 dicembre 2025 ZDI ha notificato l'intenzione di pubblicare l'advisory come 0-day. La release coordinata è avvenuta l'8 luglio 2026.
Questo arco temporale — quasi 13 mesi tra segnalazione e disclosure forzata — supera i 120 giorni standard di ZDI e indica che il programma di disclosure ha esaurito le estensioni possibili senza ottenere un fix verificabile. L'assenza di conferma esplicita di receipt da parte del vendor, annotata come limite nel dossier, aggiunge un'incognita sulla reale consapevolezza di Glarysoft del problema.
Non è dichiarato se la pubblicazione 0-day abbia finalmente prodotto una reazione del vendor. Il dossier non specifica patch rilasciate dopo l'8 luglio 2026.
Perché è importante
La fonte non specifica versioni di Glary Utilities interessate, rendendo impossibile stabilire se installazioni datate o recenti sino all'ultima release siano vulnerabili. Il provvedimento citato non elenca CVE ID assegnato né CVSS score, limitando l'inserimento nei sistemi di prioritizzazione automatica delle patch.
Il dossier non documenta exploit in-the-wild né campagne di attacco attive che sfruttino ZDI-26-402. Non emerge alcuna raccomandazione operativa specifica dalla fonte oltre alla restrizione dell'interazione con il prodotto, citata nell'advisory come unica strategia di mitigazione data la natura della vulnerabilità.
Resta da verificare se Glarysoft abbia ricevuto effettivamente la segnalazione iniziale e per quali canali; la timeline ZDI riporta solo l'invio e il sollecito, non la conferma. L'identità degli operatori che potrebbero sfruttare questa falla, e la loro eventuale conoscenza precoce della tecnica, non sono documentate.
L'impatto concreto per utenti e amministratori dipende dalla presenza di Glary Utilities nei propri ambienti, dalla capacità di rilevarne installazioni non gestite, e dalla disponibilità di alternative per la funzionalità Disk Clean che non espongano lo stesso profilo di privilegi.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-402/
- http://www.zerodayinitiative.com/advisories/published/