QakBot e CVE-2024-30051: Nuovi Metodi di Attacco Basati su Vulnerabilità Windows

Redazione RHC : 7 Settembre 2024 09:39

I ricercatori di sicurezza cinesi hanno recentemente scoperto attacchi che utilizzano la vulnerabilità CVE-2024-30051 (punteggio CVSS: 7,8), utilizzata negli attacchi informatici legati a QakBot, un noto trojan bancario. La vulnerabilità è stata notata per la prima volta dagli specialisti di Kaspersky Lab nell’aprile 2024. Il difetto è legato alla libreria “dwmcore.dll”, responsabile del processo Desktop Window Manager in Windows.

Sfruttando questa vulnerabilità, gli aggressori possono controllare il processo di allocazione della memoria, che porta a un buffer overflow e consente la scrittura dei dati al di fuori dell’area allocata. Ciò apre la porta all’esecuzione di codice arbitrario sul computer di destinazione.

Gli aggressori hanno sfruttato una vulnerabilità nel sistema DirectComposition, responsabile della gestione degli elementi visivi in ​​Windows. Hanno inviato comandi speciali attraverso funzioni vulnerabili, che hanno interrotto il normale funzionamento del sistema. Ciò ha permesso di modificare i processi di sistema e ottenere diritti di accesso elevati.

Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?  Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

È interessante notare che per sfruttare la vulnerabilità è stata utilizzata una complessa tecnica di manipolazione della memoria, inclusa la creazione di oggetti speciali come CHolographicInteropTextureMarshaler. Durante l’attacco gli aggressori hanno inserito codice dannoso in questi oggetti e hanno controllato l’esecuzione dei comandi a livello di sistema.

Dopo aver sfruttato con successo la vulnerabilità, gli aggressori hanno caricato librerie dannose che consentivano loro di eseguire comandi arbitrari ed eseguire programmi con privilegi elevati. Ad un certo punto gli aggressori hanno addirittura sfruttato la vulnerabilità per interagire con il processo UAC (User Account Control) di Windows, che dava loro accesso alle funzioni del sistema e permetteva loro di aggirare i meccanismi di sicurezza standard.

I ricercatori sottolineano che tali tecniche per sfruttare le vulnerabilità indicano che gli sviluppatori di malware sono altamente qualificati. In particolare, gli esperti suggeriscono che QakBot abbia le risorse per acquisire e sfruttare le vulnerabilità 0day, il che conferma la sua attività a lungo termine nel campo degli attacchi informatici.

Secondo gli esperti in futuro è prevedibile un aumento del numero di tali attacchi, soprattutto da parte di gruppi finanziariamente motivati che sfruttano le moderne vulnerabilità per attaccare le grandi organizzazioni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli