Redazione RHC : 4 Settembre 2024 17:27
Il 2 settembre il ricercatore di sicurezza Sergei Kornienko di PixiePoint ha pubblicato un’analisi e una dimostrazione dello sfruttamento di una vulnerabilità critica zero-day nel kernel di Windows , nota come CVE-2024-38106. Questa vulnerabilità legata all’escalation dei privilegi viene già sfruttata attivamente dagli aggressori, richiedendo un intervento urgente da parte dei professionisti e degli utenti della sicurezza.
Il CVE-2024-38106 (punteggio CVSS: 7.0) si trova nel kernel del sistema operativo Windows, in particolare nel processo “ntoskrnl.exe“. Questo processo è un componente chiave di Windows che consente la comunicazione tra hardware e software e supporta molti importanti servizi di sistema.
La vulnerabilità è legata ad una Race Condition , una situazione in cui il risultato dipende dalla sequenza o dalla tempistica degli eventi. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe aumentare i propri privilegi al livello SYSTEM, dandogli di fatto il pieno controllo sul dispositivo interessato.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità è stata segnalata in modo responsabile a Microsoft ed è già stato rilasciato un aggiornamento che risolve CVE-2024-38106. Kornienko ha anche analizzato l’aggiornamento che corregge la vulnerabilità e ha notato importanti cambiamenti in due funzioni chiave: VslGetSetSecureContext() e NtSetInformationWorkerFactory(). Queste modifiche erano necessarie per eliminare la Race Condition e migliorare la sicurezza del sistema.
In particolare, sono stati introdotti meccanismi di blocco delle operazioni legate alla modalità provvisoria del kernel Virtualization-Based Security (VBS), ed è stato aggiunto il controllo dei flag nel processo NtShutdownWorkerFactory(), che ha ridotto la probabilità di sfruttamento della vulnerabilità.
Kornienko ha anche pubblicato un exploit PoC che mostra come gli aggressori possono utilizzare CVE-2024-38106 per aumentare i privilegi. La pubblicazione dell’exploit evidenzia i potenziali rischi per gli utenti domestici e aziendali se la vulnerabilità non viene affrontata in modo tempestivo.
Secondo PixiePoint, la vulnerabilità è stata attivamente sfruttata da un gruppo di hacker nordcoreano noto come Citrine Sleet. Gli attacchi registrati sono iniziati reindirizzando le vittime al sito web dannoso “voyagorclub[.]space”. Si presume che a questo scopo siano stati utilizzati metodi di ingegneria sociale.
Una volta colpito il sito, è stata sfruttata la vulnerabilità legata all’esecuzione di codice in modalità remota CVE-2024-7971, che ha consentito agli aggressori di accedere al sistema preso di mira. Successivamente, hanno scaricato ed eseguito codice per sfruttare la vulnerabilità CVE-2024-38106 per aggirare la sandbox e aumentare i privilegi. Ciò ha reso possibile l’introduzione del malware: il rootkit FudModule.
Un pericolo particolare del rootkit FudModule è l’utilizzo della tecnica Direct Kernel Object Manipulation (DKOM), che consente agli aggressori di modificare i meccanismi di sicurezza del kernel di Windows. Ciò rende estremamente difficile rilevarlo e rimuoverlo.
Microsoft ha rilasciato rapidamente una patch per la vulnerabilità CVE-2024-38106 come parte dell’aggiornamento di agosto 2024. Tuttavia, il fatto che la vulnerabilità fosse già stata sfruttata in attacchi prima del rilascio dell’aggiornamento evidenzia l’importanza di patch tempestive e di una continua vigilanza sulla sicurezza informatica.
RedazioneSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
