Kaspersky rileva due zero-day in Microsoft Windows e Chrome impiegati in una serie di attacchi mirati

Nel mese di aprile, gli esperti di Kaspersky hanno individuato una serie di attacchi altamente mirati contro diverse aziende, che utilizzano una catena di exploit zero-day di Google Chrome e Microsoft Windows non ancora nota. Uno degli exploit è stato utilizzato per l’esecuzione di codice da remoto nel web-browser Chrome, mentre l’altro era un exploit che consentiva di elevare i privilegi messo a punto per colpire le ultime e più importanti build di Windows 10. Quest’ultimo zero day sfrutta due vulnerabilità nel kernel del sistema operativo Microsoft Windows: Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956. In occasione del Patch Tuesday, Microsoft ha reso disponibili due patch per entrambe le vulnerabilità.
 


Milano, 9 giugno 2021 – Durante gli ultimi mesi sono stati osservati numerosi attacchi condotti tramite minacce avanzate che sfruttano gli zero-days in the wild. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di exploit altamente mirati contro diverse aziende che hanno permesso agli attaccanti di compromettere le reti prese di mira senza essere rilevati.  

Non avendo trovato un legame tra questi attacchi e i threat actor già noti, Kaspersky ha denominato questo nuovo attore PuzzleMaker.
 

Tutti gli attacchi sono stati condotti attraverso Chrome e hanno utilizzato un exploit per eseguire del codice da remoto. Sebbene i ricercatori di Kaspersky non siano stati in grado di risalire al codice per l’exploit di esecuzione remota, la linea temporale e la disponibilità dell’exploit suggeriscono che gli attaccanti stavano usando la vulnerabilità, ora patchata, CVE-2021-21224. Questa vulnerabilità era legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser, e permetteva agli attaccanti di sfruttare il processo di rendering di Chrome (responsabili di ciò che accade all’interno della tab degli utenti).  

Gli esperti di Kaspersky sono stati, tuttavia, in grado di rilevare e analizzare il secondo exploit: l’exploit di elevazione dei privilegi che sfrutta due vulnerabilità distinte presenti nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità Information Disclosure, in grado di far trapelare informazioni sensibili del kernel, rinominata CVE-2021-31955. La vulnerabilità è collegata a SuperFetch, una feature introdotta per la prima volta in Windows Vista che mira a ridurre i tempi di caricamento del software precaricando le applicazioni comunemente utilizzate in memoria.  

La seconda vulnerabilità, Elevation of Privilege (una vulnerabilità che permette agli attaccanti di sfruttare il kernel e ottenere un accesso privilegiato al computer), è stata denominata CVE-2021-31956, ed è un buffer overflow heap-based. Gli attaccanti hanno usato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura/scrittura di memoria arbitraria ed eseguire moduli malware con privilegi di sistema. 

Una volta che gli attaccanti hanno usato entrambi gli exploit di Chrome e Windows per infiltrarsi nel sistema preso di mira, il modulo stager scarica ed esegue un dropper malware più complesso da un server remoto. Questo dropper installa poi due file eseguibili, che si presentano come file legittimi del sistema operativo Microsoft Windows. Uno dei due file eseguibili è un modulo shell remoto, che è in grado di scaricare e caricare file, creare processi, rimanere in stand-by per un certo periodo di tempo e cancellarsi dal sistema infetto.  

In occasione del Patch Tuesday. Microsoft ha rilasciato una patch per entrambe le vulnerabilità.
 

“Gli attacchi che abbiamo rilevato sono altamente mirati, tuttavia non sono stati ancora collegati a un threat actor noto. Pertanto, abbiamo denominato il loro sviluppatore “PuzzleMaker” e monitoreremo con attenzione il panorama degli attacchi alla ricerca delle sue attività future o di nuovi insight su questo gruppo. Di recente, abbiamo assistito al proliferare di minacce di alto profilo legate a exploit zero-day. Questo ci ricorda che gli zero-day continuano ad essere il metodo più efficace per infettare gli obiettivi designati. Ora che queste vulnerabilità sono state rese pubbliche, probabilmente osserveremo un aumento del loro utilizzo negli attacchi da parte di questo e altri threat actor. Per questa ragione raccomandiamo agli utenti di scaricare l’ultima patch da Microsoft il più presto possibile”, ha dichiarato Boris Larin, Senior Security Researcher del Global Research and Analysis Team (GReAT).
 

I prodotti Kaspersky rilevano e proteggono dall’exploit delle vulnerabilità Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956 e dai moduli malware associati. 

Maggiori informazioni su questi nuovi zero-day sono disponibili su Securelist. 

Per proteggere la propria organizzazione dagli attacchi che sfruttano queste due nuove vulnerabilità, gli esperti di Kaspersky raccomandano di: 

• Aggiornare il browser Chrome e Microsoft Windows appena possibile e controllare regolarmente la disponibilità di aggiornamenti. 

• Utilizzare una soluzione di sicurezza per gli endpoint affidabile, come Kaspersky Endpoint Security for Business, dotata di funzionalità di prevenzione degli exploit, behavior detection e di un remediation engine in grado di respingere gli attacchi.  

• Installare soluzioni anti-APT e EDR, abilitando le funzionalità di discovery e detection delle minacce, le indagini e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla più recente threat intelligence e a una formazione professionale continua. Il framework Kaspersky Expert Security offre tutte queste funzionalità. 

• Un’adeguata protezione degli endpoint e l’implementazione di servizi dedicati possono respingere gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi. 

Informazioni su Kaspersky
 

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
 

Seguici su:
 


 


 

https://www.linkedin.com/company/kaspersky-lab-italia
 

https://www.instagram.com/kasperskylabitalia/
 

https://t.me/KasperskyItalia
 

Contatto di redazione:
 

email kaspersky@noesis.net
 

sito web www.kaspersky.it.
 

Total
0
Shares
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Articoli correlati
P