Risolto da Microsoft un pericoloso 0day utilizzato dalle gang ransomware

Microsoft ha risolto una vulnerabilità di sicurezza utilizzata dagli attori delle minacce per aggirare la funzionalità di sicurezza di Windows SmartScreen e fornire payload di malware Magniber ransomware e Qbot.

Gli aggressori hanno utilizzato file JavaScript standalone dannosi per sfruttare lo zero-day CVE-2022-44698 per aggirare gli avvisi di sicurezza Mark-of-the-Web visualizzati da Windows per avvisare gli utenti che i file provenienti da Internet dovevano essere trattati con cautela.

“Un utente malintenzionato può creare un file dannoso che eluderebbe le difese Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come la visualizzazione protetta in Microsoft Office, che si basa sul tagging MOTW”

ha spiegato Microsoft Martedì.

Secondo Microsoft, questa falla di sicurezza può essere sfruttata utilizzando tre vettori di attacco:

• un utente malintenzionato potrebbe ospitare un sito Web dannoso che sfrutta il bypass della funzionalità di sicurezza;
• un utente malintenzionato potrebbe inviare all’utente preso di mira un file .url appositamente predisposto per sfruttare il bypass.
• I siti Web compromessi oi siti Web che accettano o ospitano contenuti forniti dagli utenti potrebbero contenere contenuti appositamente predisposti per sfruttare il bypass della funzionalità di sicurezza.

Tuttavia, in tutti questi scenari, gli attori delle minacce dovrebbero indurre i propri obiettivi ad aprire file dannosi o ad accedere ai siti Web controllati dagli aggressori contenenti un exploit CVE-2022-44698.

Il team di intelligence sulle minacce di HP ha riferito per la prima volta in ottobre che gli attacchi di phishing stavano distribuendo il ransomware Magniber utilizzando file JavaScript standalone.JS firmati digitalmente con un formato non valido come scoperto da Will Dormann, un analista di vulnerabilità senior presso ANALYGENCE.

Ciò causerebbe l’errore di SmartCheck e consentirebbe l’esecuzione dei file dannosi senza lanciare alcun avviso di sicurezza e installare il ransomware Magniber, anche se è stato contrassegnato con un flag MoTW.

Il mese scorso, la stessa vulnerabilità zero-day di Windows è stata sfruttata anche negli attacchi di phishing per eliminare il malware Qbot senza visualizzare gli avvisi di sicurezza MOTW.

Come ha scoperto il ricercatore di sicurezza ProxyLife, gli attori delle minacce dietro questa recente campagna di phishing QBot sono passati al Windows Mark of the Web zero-day distribuendo file JS firmati con la stessa chiave malformata utilizzata negli attacchi ransomware Magniber.

QBot (alias Qakbot) è un trojan bancario di Windows che si è evoluto in un dropper di malware che ruba le e-mail per utilizzarle in successivi attacchi di phishing o fornisce payload aggiuntivi come Brute Ratel, Cobalt Strike e altri malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks