Redazione RHC : 31 Marzo 2024 09:50
Gli hacker sostenuti dal governo nordcoreano hanno ottenuto una vittoria importante quando Microsoft ha lasciato un sistema Windows zero-day senza patch per sei mesi dopo aver appreso che era sotto sfruttamento attivo.
Anche dopo che Microsoft ha corretto la vulnerabilità il mese scorso, la società non ha fatto menzione del fatto che il gruppo nordcoreano Lazarus aveva utilizzato la vulnerabilità almeno da agosto per installare un rootkit nascosto sui computer vulnerabili. La vulnerabilità ha fornito un mezzo semplice e nascosto per il malware che aveva già ottenuto i diritti amministrativi del sistema per interagire con il kernel di Windows. Lazarus ha sfruttato la vulnerabilità proprio per questo. Anche così, Microsoft sostiene da tempo che tali elevazioni dall’amministratore al kernel non rappresentano l’attraversamento di un limite di sicurezza, una possibile spiegazione per il tempo impiegato da Microsoft per risolvere la vulnerabilità.
“Quando si parla di sicurezza di Windows, c’è una linea sottile tra amministratore e kernel”, ha spiegato la settimana scorsa Jan Vojtěšek, un ricercatore della società di sicurezza Avast. ” I criteri di servizio di sicurezza di Microsoft affermano da tempo che ‘[un]amministratore-kernel non è un limite di sicurezza”, il che significa che Microsoft si riserva il diritto di applicare patch alle vulnerabilità da amministratore a kernel a propria discrezione. Di conseguenza, il modello di sicurezza di Windows non garantisce che impedirà a un utente malintenzionato a livello di amministratore di accedere direttamente al kernel”.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La politica di Microsoft si è rivelata un vantaggio per Lazarus nell’installazione di “FudModule”, un rootkit personalizzato che secondo Avast era eccezionalmente nascosto e avanzato. I rootkit sono malware che hanno la capacità di nascondere file, processi e altri meccanismi interni al sistema operativo stesso e allo stesso tempo controllare i livelli più profondi del sistema operativo. Per funzionare, devono prima ottenere privilegi amministrativi: un risultato importante per qualsiasi malware che infetti un sistema operativo moderno. Poi devono superare un altro ostacolo: interagire direttamente con il kernel, il recesso più interno di un sistema operativo riservato alle funzioni più sensibili.Annuncio
Negli anni passati Lazarus e altri gruppi di minacce hanno raggiunto quest’ultima soglia principalmente sfruttando driver di sistema di terze parti, che per definizione hanno già accesso al kernel. Per funzionare con le versioni supportate di Windows, i driver di terze parti devono prima essere firmati digitalmente da Microsoft per certificare che sono affidabili e soddisfano i requisiti di sicurezza. Nel caso in cui Lazarus o un altro autore di minacce abbiano già superato l’ostacolo amministrativo e abbiano identificato una vulnerabilità in un driver approvato, possono installarlo e sfruttare la vulnerabilità per ottenere l’accesso al kernel di Windows. Questa tecnica, nota come BYOVD (porta il tuo autista vulnerabile), ha tuttavia un costo, perché offre ampie opportunità ai difensori di rilevare un attacco in corso.
La vulnerabilità sfruttata da Lazarus, tracciata come CVE-2024-21338, offriva molta più azione furtiva rispetto a BYOVD perché sfruttava appid.sys, un driver che abilita il servizio Windows AppLocker, preinstallato nel sistema operativo Microsoft. Avast ha affermato che tali vulnerabilità rappresentano il “Santo Graal” rispetto a BYOVD.
Ad agosto, i ricercatori Avast hanno inviato a Microsoft una descrizione dello zero-day, insieme al codice proof-of-concept che dimostrava cosa faceva quando veniva sfruttato. Microsoft non ha corretto la vulnerabilità fino al mese scorso . Anche allora, la divulgazione dello sfruttamento attivo di CVE-2024-21338 e dei dettagli del rootkit Lazarus non è arrivata da Microsoft a febbraio ma da Avast 15 giorni dopo. Il giorno dopo, Microsoft ha aggiornato il suo bollettino sulle patch per segnalare lo sfruttamento.
RedazioneSviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...
Uno strumento Microsoft Web Deploy presenta una falla critica di sicurezza, potenzialmente sfruttata da aggressori autenticati per eseguire codice sui sistemi coinvolti. Si tratta del bug monitorato c...
Secondo quanto riportato dai media, le autorità statunitensi starebbero segretamente inserendo dispositivi di localizzazione in lotti di chip che potrebbero essere dirottati illegalmente verso la...
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
