Redazione RHC : 4 Settembre 2024 17:27
Il 2 settembre il ricercatore di sicurezza Sergei Kornienko di PixiePoint ha pubblicato un’analisi e una dimostrazione dello sfruttamento di una vulnerabilità critica zero-day nel kernel di Windows , nota come CVE-2024-38106. Questa vulnerabilità legata all’escalation dei privilegi viene già sfruttata attivamente dagli aggressori, richiedendo un intervento urgente da parte dei professionisti e degli utenti della sicurezza.
Il CVE-2024-38106 (punteggio CVSS: 7.0) si trova nel kernel del sistema operativo Windows, in particolare nel processo “ntoskrnl.exe“. Questo processo è un componente chiave di Windows che consente la comunicazione tra hardware e software e supporta molti importanti servizi di sistema.
La vulnerabilità è legata ad una Race Condition , una situazione in cui il risultato dipende dalla sequenza o dalla tempistica degli eventi. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe aumentare i propri privilegi al livello SYSTEM, dandogli di fatto il pieno controllo sul dispositivo interessato.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità è stata segnalata in modo responsabile a Microsoft ed è già stato rilasciato un aggiornamento che risolve CVE-2024-38106. Kornienko ha anche analizzato l’aggiornamento che corregge la vulnerabilità e ha notato importanti cambiamenti in due funzioni chiave: VslGetSetSecureContext() e NtSetInformationWorkerFactory(). Queste modifiche erano necessarie per eliminare la Race Condition e migliorare la sicurezza del sistema.
In particolare, sono stati introdotti meccanismi di blocco delle operazioni legate alla modalità provvisoria del kernel Virtualization-Based Security (VBS), ed è stato aggiunto il controllo dei flag nel processo NtShutdownWorkerFactory(), che ha ridotto la probabilità di sfruttamento della vulnerabilità.
Kornienko ha anche pubblicato un exploit PoC che mostra come gli aggressori possono utilizzare CVE-2024-38106 per aumentare i privilegi. La pubblicazione dell’exploit evidenzia i potenziali rischi per gli utenti domestici e aziendali se la vulnerabilità non viene affrontata in modo tempestivo.
Secondo PixiePoint, la vulnerabilità è stata attivamente sfruttata da un gruppo di hacker nordcoreano noto come Citrine Sleet. Gli attacchi registrati sono iniziati reindirizzando le vittime al sito web dannoso “voyagorclub[.]space”. Si presume che a questo scopo siano stati utilizzati metodi di ingegneria sociale.
Una volta colpito il sito, è stata sfruttata la vulnerabilità legata all’esecuzione di codice in modalità remota CVE-2024-7971, che ha consentito agli aggressori di accedere al sistema preso di mira. Successivamente, hanno scaricato ed eseguito codice per sfruttare la vulnerabilità CVE-2024-38106 per aggirare la sandbox e aumentare i privilegi. Ciò ha reso possibile l’introduzione del malware: il rootkit FudModule.
Un pericolo particolare del rootkit FudModule è l’utilizzo della tecnica Direct Kernel Object Manipulation (DKOM), che consente agli aggressori di modificare i meccanismi di sicurezza del kernel di Windows. Ciò rende estremamente difficile rilevarlo e rimuoverlo.
Microsoft ha rilasciato rapidamente una patch per la vulnerabilità CVE-2024-38106 come parte dell’aggiornamento di agosto 2024. Tuttavia, il fatto che la vulnerabilità fosse già stata sfruttata in attacchi prima del rilascio dell’aggiornamento evidenzia l’importanza di patch tempestive e di una continua vigilanza sulla sicurezza informatica.
RedazioneGli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
