Risolto da Microsoft un pericoloso 0day utilizzato dalle gang ransomware

Microsoft ha risolto una vulnerabilità di sicurezza utilizzata dagli attori delle minacce per aggirare la funzionalità di sicurezza di Windows SmartScreen e fornire payload di malware Magniber ransomware e Qbot.

Gli aggressori hanno utilizzato file JavaScript standalone dannosi per sfruttare lo zero-day CVE-2022-44698 per aggirare gli avvisi di sicurezza Mark-of-the-Web visualizzati da Windows per avvisare gli utenti che i file provenienti da Internet dovevano essere trattati con cautela.

“Un utente malintenzionato può creare un file dannoso che eluderebbe le difese Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come la visualizzazione protetta in Microsoft Office, che si basa sul tagging MOTW”

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ha spiegato Microsoft Martedì.

Secondo Microsoft, questa falla di sicurezza può essere sfruttata utilizzando tre vettori di attacco:

• un utente malintenzionato potrebbe ospitare un sito Web dannoso che sfrutta il bypass della funzionalità di sicurezza;
• un utente malintenzionato potrebbe inviare all’utente preso di mira un file .url appositamente predisposto per sfruttare il bypass.
• I siti Web compromessi oi siti Web che accettano o ospitano contenuti forniti dagli utenti potrebbero contenere contenuti appositamente predisposti per sfruttare il bypass della funzionalità di sicurezza.

Tuttavia, in tutti questi scenari, gli attori delle minacce dovrebbero indurre i propri obiettivi ad aprire file dannosi o ad accedere ai siti Web controllati dagli aggressori contenenti un exploit CVE-2022-44698.

Il team di intelligence sulle minacce di HP ha riferito per la prima volta in ottobre che gli attacchi di phishing stavano distribuendo il ransomware Magniber utilizzando file JavaScript standalone.JS firmati digitalmente con un formato non valido come scoperto da Will Dormann, un analista di vulnerabilità senior presso ANALYGENCE.

Ciò causerebbe l’errore di SmartCheck e consentirebbe l’esecuzione dei file dannosi senza lanciare alcun avviso di sicurezza e installare il ransomware Magniber, anche se è stato contrassegnato con un flag MoTW.

Il mese scorso, la stessa vulnerabilità zero-day di Windows è stata sfruttata anche negli attacchi di phishing per eliminare il malware Qbot senza visualizzare gli avvisi di sicurezza MOTW.

Come ha scoperto il ricercatore di sicurezza ProxyLife, gli attori delle minacce dietro questa recente campagna di phishing QBot sono passati al Windows Mark of the Web zero-day distribuendo file JS firmati con la stessa chiave malformata utilizzata negli attacchi ransomware Magniber.

QBot (alias Qakbot) è un trojan bancario di Windows che si è evoluto in un dropper di malware che ruba le e-mail per utilizzarle in successivi attacchi di phishing o fornisce payload aggiuntivi come Brute Ratel, Cobalt Strike e altri malware.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli