Redazione RHC : 4 Settembre 2024 17:27
Il 2 settembre il ricercatore di sicurezza Sergei Kornienko di PixiePoint ha pubblicato un’analisi e una dimostrazione dello sfruttamento di una vulnerabilità critica zero-day nel kernel di Windows , nota come CVE-2024-38106. Questa vulnerabilità legata all’escalation dei privilegi viene già sfruttata attivamente dagli aggressori, richiedendo un intervento urgente da parte dei professionisti e degli utenti della sicurezza.
Il CVE-2024-38106 (punteggio CVSS: 7.0) si trova nel kernel del sistema operativo Windows, in particolare nel processo “ntoskrnl.exe“. Questo processo è un componente chiave di Windows che consente la comunicazione tra hardware e software e supporta molti importanti servizi di sistema.
La vulnerabilità è legata ad una Race Condition , una situazione in cui il risultato dipende dalla sequenza o dalla tempistica degli eventi. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe aumentare i propri privilegi al livello SYSTEM, dandogli di fatto il pieno controllo sul dispositivo interessato.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità è stata segnalata in modo responsabile a Microsoft ed è già stato rilasciato un aggiornamento che risolve CVE-2024-38106. Kornienko ha anche analizzato l’aggiornamento che corregge la vulnerabilità e ha notato importanti cambiamenti in due funzioni chiave: VslGetSetSecureContext() e NtSetInformationWorkerFactory(). Queste modifiche erano necessarie per eliminare la Race Condition e migliorare la sicurezza del sistema.
In particolare, sono stati introdotti meccanismi di blocco delle operazioni legate alla modalità provvisoria del kernel Virtualization-Based Security (VBS), ed è stato aggiunto il controllo dei flag nel processo NtShutdownWorkerFactory(), che ha ridotto la probabilità di sfruttamento della vulnerabilità.
Kornienko ha anche pubblicato un exploit PoC che mostra come gli aggressori possono utilizzare CVE-2024-38106 per aumentare i privilegi. La pubblicazione dell’exploit evidenzia i potenziali rischi per gli utenti domestici e aziendali se la vulnerabilità non viene affrontata in modo tempestivo.
Secondo PixiePoint, la vulnerabilità è stata attivamente sfruttata da un gruppo di hacker nordcoreano noto come Citrine Sleet. Gli attacchi registrati sono iniziati reindirizzando le vittime al sito web dannoso “voyagorclub[.]space”. Si presume che a questo scopo siano stati utilizzati metodi di ingegneria sociale.
Una volta colpito il sito, è stata sfruttata la vulnerabilità legata all’esecuzione di codice in modalità remota CVE-2024-7971, che ha consentito agli aggressori di accedere al sistema preso di mira. Successivamente, hanno scaricato ed eseguito codice per sfruttare la vulnerabilità CVE-2024-38106 per aggirare la sandbox e aumentare i privilegi. Ciò ha reso possibile l’introduzione del malware: il rootkit FudModule.
Un pericolo particolare del rootkit FudModule è l’utilizzo della tecnica Direct Kernel Object Manipulation (DKOM), che consente agli aggressori di modificare i meccanismi di sicurezza del kernel di Windows. Ciò rende estremamente difficile rilevarlo e rimuoverlo.
Microsoft ha rilasciato rapidamente una patch per la vulnerabilità CVE-2024-38106 come parte dell’aggiornamento di agosto 2024. Tuttavia, il fatto che la vulnerabilità fosse già stata sfruttata in attacchi prima del rilascio dell’aggiornamento evidenzia l’importanza di patch tempestive e di una continua vigilanza sulla sicurezza informatica.
RedazioneSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
