Kaspersky scopre un exploit zero-day utilizzato per attacchi mirati in Windows OS

303

MILANO – Le tecnologie di rilevamento automatizzato di Kaspersky hanno individuato una vulnerabilità zero-day in Windows. L’exploit basato su questa tecnologia permette agli attaccanti di ottenere l’accesso come amministratore nel dispositivo colpito e di eludere il meccanismo di protezione del browser Google Chrome. L’exploit recentemente scoperto è stato utilizzato nell’operazione malevola WizardOpium.

Le vulnerabilità zero-day sono dei bug software precedentemente sconosciuti che, se rilevati dai criminali informatici prima che da altri, permettono loro di operare inosservati per lungo tempo, provocando danni seri e inattesi. Le comuni soluzioni di sicurezza non identificano l’infezione del sistema e non sono perciò in grado di proteggere gli utenti da una minaccia che non riconoscono ancora.
La nuova vulnerabilità in Windows è stata scoperta dai ricercatori di Kaspersky grazie a un precedente exploit zero-day. Lo scorso novembre 2019, la tecnologia Kaspersky Exploit Prevention, inclusa nella maggior parte dei prodotti dell’azienda, è stata in grado di rilevare un exploit zero-day in Google Chrome. Questo exploit ha permesso agli attaccanti di eseguire codice arbitrario sul dispositivo. Dopo aver condotto ricerche approfondite su questa operazione, che gli esperti hanno denominato “WizardOpium”, è stata scoperta una seconda vulnerabilità, questa volta in Windows OS.
Dalle ricerche eseguite è emerso che l’exploit (CVE-2019-1458) Windows zero-day “elevation of privilege” (EoP) recentemente scoperto era stato precedentemente incorporato in un exploit Google Chrome rilevato in passato. Questo veniva impiegato per ottenere privilegi da amministratore nel dispositivo infettato e per eludere il rilevamento da parte della sandbox di Chrome, una componente progettata per proteggere il browser e il computer della vittima da attacchi malevoli.
Analisi dettagliate dell’exploit EoP hanno mostrato che la vulnerabilità sfruttata appartiene al driver win32k.sys. La vulnerabilità può essere sfruttata nell’ultima versione dotata di patch di Windows 7 e addirittura sui alcuni “build” di Windows 10. Le nuove versioni di Windows 10 non sono state compromesse.
“Questo tipo di attacco richiede molte risorse; tuttavia, può offrire agli attaccanti vantaggi non trascurabili di cui possiamo osservare gli effetti. Il numero di zero-day “in the wild” continua a crescere e il trend sembra non volersi arrestare. Le aziende hanno bisogno di fare affidamento sulla threat intelligence più recente a disposizione e di dotarsi di tecnologie di protezione che possono rilevare in modo proattivo minacce sconosciute come gli exploit zero-day”, ha dichiarato Anton Ivanov, Security Expert di Kaspersky.

(I-TALICOM)