Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori di sicurezza cinesi hanno recentemente scoperto attacchi che utilizzano la vulnerabilità CVE-2024-30051 (punteggio CVSS: 7,8), utilizzata negli attacchi informatici legati a QakBot, un noto trojan bancario. La vulnerabilità è stata notata per la prima volta dagli specialisti di Kaspersky Lab nell’aprile 2024. Il difetto è legato alla libreria “dwmcore.dll”, responsabile del processo Desktop Window Manager in Windows.
Sfruttando questa vulnerabilità, gli aggressori possono controllare il processo di allocazione della memoria, che porta a un buffer overflow e consente la scrittura dei dati al di fuori dell’area allocata. Ciò apre la porta all’esecuzione di codice arbitrario sul computer di destinazione.
Gli aggressori hanno sfruttato una vulnerabilità nel sistema DirectComposition, responsabile della gestione degli elementi visivi in Windows. Hanno inviato comandi speciali attraverso funzioni vulnerabili, che hanno interrotto il normale funzionamento del sistema. Ciò ha permesso di modificare i processi di sistema e ottenere diritti di accesso elevati.
È interessante notare che per sfruttare la vulnerabilità è stata utilizzata una complessa tecnica di manipolazione della memoria, inclusa la creazione di oggetti speciali come CHolographicInteropTextureMarshaler. Durante l’attacco gli aggressori hanno inserito codice dannoso in questi oggetti e hanno controllato l’esecuzione dei comandi a livello di sistema.
Dopo aver sfruttato con successo la vulnerabilità, gli aggressori hanno caricato librerie dannose che consentivano loro di eseguire comandi arbitrari ed eseguire programmi con privilegi elevati. Ad un certo punto gli aggressori hanno addirittura sfruttato la vulnerabilità per interagire con il processo UAC (User Account Control) di Windows, che dava loro accesso alle funzioni del sistema e permetteva loro di aggirare i meccanismi di sicurezza standard.
I ricercatori sottolineano che tali tecniche per sfruttare le vulnerabilità indicano che gli sviluppatori di malware sono altamente qualificati. In particolare, gli esperti suggeriscono che QakBot abbia le risorse per acquisire e sfruttare le vulnerabilità 0day, il che conferma la sua attività a lungo termine nel campo degli attacchi informatici.
Secondo gli esperti in futuro è prevedibile un aumento del numero di tali attacchi, soprattutto da parte di gruppi finanziariamente motivati che sfruttano le moderne vulnerabilità per attaccare le grandi organizzazioni.
