Il 15 luglio 2026 Trend Micro ha pubblicato l'advisory ZDI-26-432, che documenta una vulnerabilità nel Backup Service di G DATA Total Security. Il difetto, catalogato come CVE-2026-13268 con punteggio CVSS 7.8, permette a un attaccante con accesso locale limitato di scalare i privilegi fino a SYSTEM attraverso un attacco di symbolic link following. La segnalazione è stata inviata al vendor il 12 febbraio: cinque mesi di coordinazione che terminano con la disclosure pubblica senza che il dossier confermi una patch disponibile.
- La vulnerabilità ZDI-26-432 (CVE-2026-13268, CVSS 7.8) interessa il Backup Service di G DATA Total Security ed è stata resa pubblica il 15 luglio 2026.
- Il meccanismo di attacco sfrutta un symbolic link per indurre il servizio a cancellare file arbitrari, con conseguente escalation a privilegi SYSTEM.
- È richiesto un prerequisito di accesso locale con esecuzione di codice a bassi privilegi: non è un attacco remoto.
- La coordinazione ZDI-G DATA è durata circa cinque mesi, ma il dossier non specifica se esista una versione corretta o patch dedicata.
Il meccanismo: come un link simbolico compromette SYSTEM
Il difetto risiede specificamente nel Backup Service, componente che opera con privilegi elevati per gestire copie di sicurezza e operazioni su file di sistema. Secondo l'advisory ZDI, il servizio non valida correttamente i percorsi quando elabora directory accessibili a utenti non privilegiati. Un attaccante che abbia già ottenuto l'esecuzione di codice con privilegi limitati può creare un symbolic link in una posizione controllata: quando il servizio di backup interagisce con quel percorso, il link following lo reindirizza verso file arbitrari del sistema.
L'effetto immediato è la cancellazione non autorizzata di file, ma il vettore si estende oltre. L'advisory afferma esplicitamente che l'attaccante può "leverage this vulnerability to escalate privileges and execute arbitrary code in the context of SYSTEM". La transizione da cancellazione file a esecuzione arbitraria con privilegi massimi indica che il servizio, oltre a seguire i link, esegue operazioni successive — probabilmente nella gestione di file temporanei o di log — che espongono la funzionalità a una manipolazione più ampia del previsto.
Perché il privilegio SYSTEM cambia la partita
L'esecuzione nel contesto SYSTEM rappresenta il massimo livello di privilegio su Windows, superiore anche agli amministratori locali in molti scenari operativi. Un attaccante con questo accesso può compromettere ogni aspetto del sistema: installare driver, modificare il registro, alterare binari di sicurezza, o disattivare meccanismi di protezione. Nel caso specifico, il prodotto vulnerabile è uno strumento di sicurezza endpoint: l'ironia operativa è che una componente progettata per proteggere il sistema — il backup con privilegi elevati — diventa essa stessa il percorso di compromissione.
Il punteggio CVSS 7.8, secondo la tabella advisory pubblicata da ZDI, colloca la vulnerabilità nella fascia alta della severità. Il valore riflette la combinazione di accesso locale richiesto con l'impatto totale sulla confidenzialità, integrità e disponibilità del sistema compromesso. Non emerge tuttavia il vector string completo, che avrebbe permesso di verificare la distribuzione esatta dei pesi tra i vari parametri.
"By creating a symbolic link, an attacker can abuse the service to delete a file. An attacker can leverage this vulnerability to escalate privileges and execute arbitrary code in the context of SYSTEM." — ZDI Advisory ZDI-26-432
Cinque mesi di coordinazione, pochi dettagli operativi
La timeline pubblicata dall'advisory documenta una coordinazione standard del programma ZDI: segnalazione al vendor il 12 febbraio 2026, rilascio coordinato il 15 luglio 2026. Il periodo di circa cinque mesi è coerente con le finestre tipiche di disclosure responsabile, ma non implica automaticamente che il vendor abbia distribuito una correzione. Il dossier non elenca una versione patchata, non fornisce URL di fix dedicato oltre all'indirizzo dell'advisory stesso, e non identifica il ricercatore che ha scoperto la vulnerabilità.
Il record CVE-2026-13268, consultabile su cve.org, risulta in stato "reserved": l'identificatore è assegnato e confermato, ma i dettagli tecnici non sono ancora stati popolati dalla CNA (CVE Numbering Authority). Questo è un pattern comune nelle prime fasi di disclosure, ma lascia un vuoto informativo che le organizzazioni devono colmare con verifica diretta presso il vendor. Il record ZDI rimane, allo stato attuale, la fonte primaria più dettagliata disponibile pubblicamente.
Il pattern ricorrente: servizi di sicurezza come superficie d'attacco
La vulnerabilità si inserisce in un pattern documentato da anni nella sicurezza endpoint: i processi con privilegi elevati che interagiscono con risorse condivise o directory utente sono sistematicamente esposti a race condition e manipolazioni di percorso. I software antivirus e di backup sono particolarmente a rischio perché, per design, devono accedere a ogni area del filesystem, operano con permessi massimi, e spesso espongono servizi always-on che elaborano input esterni o semi-esterni.
L'attacco per symbolic link following non è tecnicamente sofisticato: richiede la capacità di creare un link in una posizione che il servizio privilegiato consulta, e l'assenza di controlli di canonicalizzazione del percorso. La criticità nasce dalla combinazione di semplicità dell'exploit con l'elevato impatto, non dalla complessità dell'ingegneria offensiva. Per le organizzazioni che distribuiscono G DATA Total Security in ambienti multi-utente o con terminal server, il rischio è concreto: qualsiasi account con esecuzione locale, anche fortemente limitato, diviene potenziale punto di ingresso per la compromissione completa della macchina.
Perché è importante
Il dossier non specifica se il Backup Service vulnerabile sia installato di default in tutte le edizioni di G DATA Total Security o se rappresenti una componente opzionale. Non è noto se esistano versioni corrette del prodotto, né se il vendor abbia distribuito un aggiornamento automatico o manuale nel corso dei cinque mesi di coordinazione. L'advisory ZDI non documenta inoltre se la vulnerabilità sia stata oggetto di sfruttamento attivo in the wild.
Il CVSS vector string non è disponibile nelle fonti, il che impedisce di verificare se il punteggio 7.8 includa o meno variabili di attacco complesso come la richiesta di condizioni specifiche di configurazione. Il credit della scoperta non è attribuito, eliminando un possibile canale di approfondimento tecnico attraverso il ricercatore. Il CVE record, infine, non aggiunge dettagli oltre alla conferma dell'assegnazione.
Per le organizzazioni che utilizzano il prodotto, il perimetro di incertezza è ampio: senza indicazioni esplicite del vendor sulla versione corretta, sulla presenza del servizio nell'installazione, o sulla disponibilità di workaround, resta il problema di verificare autonomamente lo stato delle proprie istanze. La natura del difetto — locale, con prerequisito di esecuzione limitata — non lo rende prioritario rispetto a vulnerabilità remote pre-autenticazione, ma lo colloca in una categoria di rischio spesso sottovalutata: la compromissione da insider o da catena di attacco iniziata con un altro vettore locale.
Domande frequenti
È necessario un accesso remoto per sfruttare questa vulnerabilità?
No. Il dossier documenta esplicitamente che l'attacco richiede l'esecuzione di codice a bassi privilegi sulla macchina target. Non è una vulnerabilità remota.
È confermato che la vulnerabilità sia stata sfruttata attivamente?
No. L'advisory ZDI e le fonti collegate non documentano casi di exploitation in the wild.
Esiste una versione patchata di G DATA Total Security?
Il dossier non specifica una versione corretta né conferma la disponibilità di una patch. La verifica deve essere effettuata direttamente con il vendor o attraverso i canali di aggiornamento del prodotto.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-432/
- http://www.zerodayinitiative.com/advisories/published/
- https://www.cve.org/CVERecord?id=CVE-2026-13268
- http://www.zerodayinitiative.com/advisories/upcoming/
- https://www.trendmicro.com/
- https://www.trendmicro.com/en_us/business/products/one-platform.html
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.