I ricercatori affermano che le vulnerabilità zero-day risolte nel recente round Patch Tuesday di Microsoft sono state utilizzate in attacchi mirati contro l'azienda.
Secondo Kaspersky, è stata tracciata un'ondata di “attacchi altamente mirati” a diverse organizzazioni che hanno utilizzato una catena di exploit zero-day nel browser Google Chrome e nei sistemi Microsoft Windows il 14 e 15 aprile 2021.
Gli aggressori sono stati nominati PuzzleMaker. Il primo exploit della catena, sebbene non confermato, sembra essere CVE-2021-21224, una vulnerabilità di tipo confusione V8 nel browser Google Chrome precedente a 90.0.4430.85.
Il 20 aprile Google ha emesso una patch per il grave difetto che, se sfruttata, consentiva agli aggressori remoti di eseguire codice arbitrario all'interno di una sandbox tramite una pagina HTML predisposta.
I sandbox, in base alla progettazione, sono destinati agli ambienti di sviluppo, ai test e alla protezione, quindi separano le attività dal sistema principale. Affinché una catena di exploit funzioni, una fuga dalla sandbox sarebbe quindi un passaggio successivo necessario.
Secondo i ricercatori, questa fuga è stata trovata in due vulnerabilità di Windows 10, entrambe bug zero-day che sono state corrette nell'ultimo aggiornamento Patch Tuesday di Microsoft.
La prima, CVE-2021-31955, è una vulnerabilità di divulgazione delle informazioni del kernel di Windows nel file ntoskrnl.exe, utilizzato per esporre gli indirizzi del kernel della struttura Eprocess per i processi eseguiti. Il secondo, CVE-2021-31956, è una vulnerabilità di heap buffer overflow nel driver Windows NTFS che può essere sfruttata per l'escalation dei privilegi.
Kaspersky afferma che, quando concatenate, le vulnerabilità consentivano all'aggressore di sfuggire alla sandbox ed eseguire codice dannoso su un computer di destinazione.
Viene quindi distribuito il malware che include stager, dropper, service e moduli shell remoti. Il primo modulo verificherà innanzitutto che lo sfruttamento sia stato un successo e, in tal caso, acquisirà il modulo dropper da un server di comando e controllo (C2) per l'esecuzione.
Due eseguibili quindi atterrano sulla macchina di destinazione che si maschera da file Windows legittimi. Il primo è registrato come servizio e viene utilizzato per avviare il secondo eseguibile, che contiene funzionalità di shell remota.
Questo payload è in grado di scaricare ed estrarre file, oltre a creare processi di sistema. Il malware è anche in grado di “dormire” per un po' o di autodistruggersi.
È consigliabile che le organizzazioni mantengano pianificazioni frequenti delle patch e applichino correzioni pertinenti, soprattutto se i bug vengono attivamente sfruttati. Come abbiamo visto con l'incidente di Microsoft Exchange Server a marzo, gli aggressori affronteranno rapidamente i problemi di sicurezza non appena saranno noti pubblicamente.
Copertura precedente e correlata
Bot Necro Python rinnovato con il nuovo VMWare, exploit del server
Un tuffo in profondità in Nefilim, un gruppo ransomware con un occhio a società di guadagno da 1 miliardo di dollari
Siloscape: questo nuovo malware prende di mira i contenitori Windows per accedere ai cluster Kubernetes
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 