Redazione RHC : 28 Ottobre 2024 09:57
Lo specialista di SafeBreach Alon Leviev ha scoperto che gli aggressori possono utilizzare componenti obsoleti del kernel di Windows per aggirare le protezioni chiave come Driver Signature Enforcement, consentendo l’implementazione dei rootkit anche su sistemi completamente aggiornati. Questo metodo di attacco è stato reso possibile intercettando il processo di Windows Update, che consente di installare componenti vulnerabili e obsoleti sul sistema aggiornato senza modificarne lo stato.
Leviev ha anche sviluppato uno strumento chiamato Windows Downdate, che consente di creare un rollback personalizzato e rende un sistema “completamente aggiornato” suscettibile a difetti che sono già stati risolti. Leviev ha affermato di essere stato in grado di garantire che le vulnerabilità precedentemente corrette diventassero nuovamente rilevanti, il che di fatto ha svalutato il concetto di Windows “completamente aggiornato”. Questo metodo è chiamato attacco Downgrade .
Utilizzando questo approccio, il ricercatore ha identificato una nuova vulnerabilità CVE-2024-21302 (punteggio CVSS: 6,7), che consente l’escalation dei privilegi sui dispositivi Windows, comprese macchine virtuali e altre funzioni. Microsoft ha rapidamente corretto la vulnerabilità perché superava il cosiddetto “limite di sicurezza”. Tuttavia, il metodo di acquisizione degli aggiornamenti è rimasto invariato, poiché non è considerato una violazione diretta della sicurezza.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nonostante la correzione, il bug è ancora pericoloso perché dirottando il processo di aggiornamento, un utente malintenzionato può ripristinare vecchi problemi nel sistema. Uno degli obiettivi degli attacchi è la funzionalità Driver Signature Enforcement (DSE), che in genere impedisce l’esecuzione dei driver non firmati. Riparando la vulnerabilità in DSE, un hacker può caricare driver dannosi nel sistema e nascondere le proprie azioni aggirando i meccanismi di sicurezza di Windows.
Il ricercatore ha anche dimostrato che altre funzionalità di sicurezza di Windows, come la sicurezza basata sulla virtualizzazione (VBS), possono essere aggirate modificando le chiavi nel registro. Se VBS non è configurato per la massima sicurezza, file chiave come SecureKernel.exe possono essere sostituiti con versioni vulnerabili, consentendo di aggirare la sicurezza e manipolare i componenti di sistema. Allo stesso tempo, Microsoft dispone di metodi di protezione a livello UEFI, ma abilitarli richiede una configurazione aggiuntiva. La protezione completa è disponibile solo quando VBS è attivato con blocco UEFI obbligatorio.
Microsoft, dal canto suo, ha dichiarato che sta sviluppando un aggiornamento per eliminare queste vulnerabilità e sta anche creando meccanismi che blocchino i file di sistema VBS obsoleti. Tuttavia, la tempistica esatta del rilascio delle correzioni non è stata specificata, poiché sono necessari test approfonditi per prevenire arresti anomali e incompatibilità.
L’azienda sta ora esortando i team di sicurezza a essere vigili e a monitorare possibili attacchi di rollback delle versioni poiché rappresentano una seria minaccia per le organizzazioni.
RedazioneLa società Microsoft ha reso noto di essere impegnata nell’investigazione di un’anomalia di rilievo riguardante il client desktop tradizionale di Outlook per il sistema operativo Windows, anomali...
Un nuovo gruppo di hacker legato al Partito Comunista Cinese è stato identificato dagli esperti di Palo Alto Networks. L’Unità 42, divisione di intelligence sulle minacce della società california...
I sistemi di Intelligenza Artificiale Generativa (GenAI) stanno rivoluzionando il modo in cui interagiamo con la tecnologia, offrendo capacità straordinarie nella creazione di contenuti testuali, imm...
Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...
In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
