Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
2nd Edition GlitchZone RHC 970x120 2
320×100
BitLocker nel mirino: attacchi stealth tramite COM hijacking. PoC online

BitLocker nel mirino: attacchi stealth tramite COM hijacking. PoC online

Redazione RHC : 15 Settembre 2025 08:28

E’ stato presentato un innovativo strumento noto come BitlockMove, il quale mette in luce una tecnica di movimento laterale innovativa. Questa PoC sfrutta le interfacce DCOM e il dirottamento COM, entrambe funzionali a BitLocker.

Rilasciato dal ricercatore di sicurezza Fabian Mosch di r-tec Cyber Security, lo strumento consente agli aggressori di eseguire codice su sistemi remoti all’interno della sessione di un utente già connesso, evitando la necessità di rubare credenziali o impersonare account.

Questa tecnica è particolarmente subdola perché il codice dannoso viene eseguito direttamente nel contesto dell’utente bersaglio, generando meno indicatori di compromissione rispetto ai metodi tradizionali come il furto di credenziali da LSASS.


Rhc Conference Sponsor Program 2

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il PoC prende di mira specificamente il BDEUILauncher Class(CLSID ab93b6f1-be76-4185-a488-a9001b105b94), che può avviare diversi processi. Uno di questi, BaaUpdate.exe, il quale risulta vulnerabile al COM hijacking se avviato con parametri specifici. Lo strumento, scritto in C#, funziona in due modalità distinte: enumerazione e attacco.

  • Modalità Enum: un aggressore può utilizzare questa modalità per identificare le sessioni utente attive su un host di destinazione. Ciò consente all’autore della minaccia di selezionare un utente con privilegi elevati, come un amministratore di dominio, per l’attacco.
  • Modalità di attacco: in questa modalità, lo strumento esegue l’attacco. L’aggressore specifica l’host di destinazione, il nome utente della sessione attiva, un percorso per eliminare la DLL dannosa e il comando da eseguire. Lo strumento esegue quindi il dirottamento COM remoto, attiva il payload e pulisce rimuovendo il dirottamento dal registro ed eliminando la DLL.

Monitorando specifici pattern di comportamento, i difensori sono in grado di individuare questa tecnica. Gli indicatori principali comprendono il dirottamento remoto COM del CLSID associato a BitLocker, che punta a caricare una DLL di recente creazione dalla posizione compromessa tramite BaaUpdate.exe.

I processi secondari sospetti generati da BaaUpdate.exe o BdeUISrv.exe costituiscono evidenti indicatori di un possibile attacco. Raro è il suo utilizzo per scopi legittimi, pertanto, gli esperti di sicurezza sono in grado di elaborare ricerche specifiche per verificare la presenza del processo BdeUISrv.exe, al fine di rilevarne l’eventuale natura malevola.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Quale sarà l’e-commerce italiano basato su Magento che presto sarà violato?
Di Redazione RHC - 28/10/2025

Un nuovo post sul dark web mette in vendita l’accesso amministrativo a un negozio online italiano basato su Magento. Prezzo: 200 dollari. Clienti e ordini in chiaro, e un rischio enorme per la sicur...

Immagine del sito
Microsoft Teams farà la spia al tuo capo quando non sei in ufficio! A dicembre il deploy del tracciamento della posizione
Di Redazione RHC - 27/10/2025

Microsoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...

Immagine del sito
Mentre Papa Francesco è Vivo e continua il suo ministero, la disinformazione Galoppa
Di Redazione RHC - 26/10/2025

Un’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...

Immagine del sito
BreachForums rinasce ancora dopo l’ennesima chiusura dell’FBI
Di Redazione RHC - 26/10/2025

Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...

Immagine del sito
Blackout internet di 3 giorni a Caponago: una volpe ha morso e distrutto la fibra ottica
Di Redazione RHC - 25/10/2025

Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...