Windows Kernel Zero-Day: CVE-2024-38106 Sfruttata Attivamente da Hacker Nordcoreani

Il 2 settembre il ricercatore di sicurezza Sergei Kornienko di PixiePoint ha pubblicato un’analisi e una dimostrazione dello sfruttamento di una vulnerabilità critica zero-day nel kernel di Windows , nota come CVE-2024-38106. Questa vulnerabilità legata all’escalation dei privilegi viene già sfruttata attivamente dagli aggressori, richiedendo un intervento urgente da parte dei professionisti e degli utenti della sicurezza.

Il CVE-2024-38106 (punteggio CVSS: 7.0) si trova nel kernel del sistema operativo Windows, in particolare nel processo “ntoskrnl.exe“. Questo processo è un componente chiave di Windows che consente la comunicazione tra hardware e software e supporta molti importanti servizi di sistema.

La vulnerabilità è legata ad una Race Condition , una situazione in cui il risultato dipende dalla sequenza o dalla tempistica degli eventi. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe aumentare i propri privilegi al livello SYSTEM, dandogli di fatto il pieno controllo sul dispositivo interessato.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità è stata segnalata in modo responsabile a Microsoft ed è già stato rilasciato un aggiornamento che risolve CVE-2024-38106. Kornienko ha anche analizzato l’aggiornamento che corregge la vulnerabilità e ha notato importanti cambiamenti in due funzioni chiave: VslGetSetSecureContext() e NtSetInformationWorkerFactory(). Queste modifiche erano necessarie per eliminare la Race Condition e migliorare la sicurezza del sistema.

In particolare, sono stati introdotti meccanismi di blocco delle operazioni legate alla modalità provvisoria del kernel Virtualization-Based Security (VBS), ed è stato aggiunto il controllo dei flag nel processo NtShutdownWorkerFactory(), che ha ridotto la probabilità di sfruttamento della vulnerabilità.

Kornienko ha anche pubblicato un exploit PoC che mostra come gli aggressori possono utilizzare CVE-2024-38106 per aumentare i privilegi. La pubblicazione dell’exploit evidenzia i potenziali rischi per gli utenti domestici e aziendali se la vulnerabilità non viene affrontata in modo tempestivo.

Secondo PixiePoint, la vulnerabilità è stata attivamente sfruttata da un gruppo di hacker nordcoreano noto come Citrine Sleet. Gli attacchi registrati sono iniziati reindirizzando le vittime al sito web dannoso “voyagorclub[.]space”. Si presume che a questo scopo siano stati utilizzati metodi di ingegneria sociale.

Una volta colpito il sito, è stata sfruttata la vulnerabilità legata all’esecuzione di codice in modalità remota CVE-2024-7971, che ha consentito agli aggressori di accedere al sistema preso di mira. Successivamente, hanno scaricato ed eseguito codice per sfruttare la vulnerabilità CVE-2024-38106 per aggirare la sandbox e aumentare i privilegi. Ciò ha reso possibile l’introduzione del malware: il rootkit FudModule.

Un pericolo particolare del rootkit FudModule è l’utilizzo della tecnica Direct Kernel Object Manipulation (DKOM), che consente agli aggressori di modificare i meccanismi di sicurezza del kernel di Windows. Ciò rende estremamente difficile rilevarlo e rimuoverlo.

Microsoft ha rilasciato rapidamente una patch per la vulnerabilità CVE-2024-38106 come parte dell’aggiornamento di agosto 2024. Tuttavia, il fatto che la vulnerabilità fosse già stata sfruttata in attacchi prima del rilascio dell’aggiornamento evidenzia l’importanza di patch tempestive e di una continua vigilanza sulla sicurezza informatica.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.