Redazione RHC : 31 Marzo 2024 09:50
Gli hacker sostenuti dal governo nordcoreano hanno ottenuto una vittoria importante quando Microsoft ha lasciato un sistema Windows zero-day senza patch per sei mesi dopo aver appreso che era sotto sfruttamento attivo.
Anche dopo che Microsoft ha corretto la vulnerabilità il mese scorso, la società non ha fatto menzione del fatto che il gruppo nordcoreano Lazarus aveva utilizzato la vulnerabilità almeno da agosto per installare un rootkit nascosto sui computer vulnerabili. La vulnerabilità ha fornito un mezzo semplice e nascosto per il malware che aveva già ottenuto i diritti amministrativi del sistema per interagire con il kernel di Windows. Lazarus ha sfruttato la vulnerabilità proprio per questo. Anche così, Microsoft sostiene da tempo che tali elevazioni dall’amministratore al kernel non rappresentano l’attraversamento di un limite di sicurezza, una possibile spiegazione per il tempo impiegato da Microsoft per risolvere la vulnerabilità.
“Quando si parla di sicurezza di Windows, c’è una linea sottile tra amministratore e kernel”, ha spiegato la settimana scorsa Jan Vojtěšek, un ricercatore della società di sicurezza Avast. ” I criteri di servizio di sicurezza di Microsoft affermano da tempo che ‘[un]amministratore-kernel non è un limite di sicurezza”, il che significa che Microsoft si riserva il diritto di applicare patch alle vulnerabilità da amministratore a kernel a propria discrezione. Di conseguenza, il modello di sicurezza di Windows non garantisce che impedirà a un utente malintenzionato a livello di amministratore di accedere direttamente al kernel”.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La politica di Microsoft si è rivelata un vantaggio per Lazarus nell’installazione di “FudModule”, un rootkit personalizzato che secondo Avast era eccezionalmente nascosto e avanzato. I rootkit sono malware che hanno la capacità di nascondere file, processi e altri meccanismi interni al sistema operativo stesso e allo stesso tempo controllare i livelli più profondi del sistema operativo. Per funzionare, devono prima ottenere privilegi amministrativi: un risultato importante per qualsiasi malware che infetti un sistema operativo moderno. Poi devono superare un altro ostacolo: interagire direttamente con il kernel, il recesso più interno di un sistema operativo riservato alle funzioni più sensibili.Annuncio
Negli anni passati Lazarus e altri gruppi di minacce hanno raggiunto quest’ultima soglia principalmente sfruttando driver di sistema di terze parti, che per definizione hanno già accesso al kernel. Per funzionare con le versioni supportate di Windows, i driver di terze parti devono prima essere firmati digitalmente da Microsoft per certificare che sono affidabili e soddisfano i requisiti di sicurezza. Nel caso in cui Lazarus o un altro autore di minacce abbiano già superato l’ostacolo amministrativo e abbiano identificato una vulnerabilità in un driver approvato, possono installarlo e sfruttare la vulnerabilità per ottenere l’accesso al kernel di Windows. Questa tecnica, nota come BYOVD (porta il tuo autista vulnerabile), ha tuttavia un costo, perché offre ampie opportunità ai difensori di rilevare un attacco in corso.
La vulnerabilità sfruttata da Lazarus, tracciata come CVE-2024-21338, offriva molta più azione furtiva rispetto a BYOVD perché sfruttava appid.sys, un driver che abilita il servizio Windows AppLocker, preinstallato nel sistema operativo Microsoft. Avast ha affermato che tali vulnerabilità rappresentano il “Santo Graal” rispetto a BYOVD.
Ad agosto, i ricercatori Avast hanno inviato a Microsoft una descrizione dello zero-day, insieme al codice proof-of-concept che dimostrava cosa faceva quando veniva sfruttato. Microsoft non ha corretto la vulnerabilità fino al mese scorso . Anche allora, la divulgazione dello sfruttamento attivo di CVE-2024-21338 e dei dettagli del rootkit Lazarus non è arrivata da Microsoft a febbraio ma da Avast 15 giorni dopo. Il giorno dopo, Microsoft ha aggiornato il suo bollettino sulle patch per segnalare lo sfruttamento.
RedazioneHackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, ...
Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali....
L’operazione internazionale “Eastwood” rappresenta uno spartiacque nella lotta contro il cyberterrorismo. Per la prima volta, un’azione coordinata su scala mondiale ha infe...
Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine i...
L’11 luglio, ora locale, è stato rivelato che Google DeepMind aveva “reclutato” con successo il team principale della startup di intelligenza artificiale Windsurf. Non molto ...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
