Ad aprile, gli esperti di Kaspersky hanno scoperto una serie di attacchi informatici altamente mirati che utilizzavano exploit contro diverse aziende utilizzando zero-day precedentemente sconosciuti per Google Chrome e Microsoft Windows. Il nuovo attore di minacce PuzzleMaker è in azione.
Finora Kaspersky non è stato in grado di connettersi a noti attori delle minacce, quindi chiama questo nuovo attore delle minacce PuzzleMaker. Uno degli exploit è stato utilizzato per l'esecuzione di codice in modalità remota nel browser Web Chrome, l'altro è stato utilizzato per l'elevazione dei privilegi e ha preso di mira le build più recenti e popolari di Windows 10. Quest'ultimo sfrutta due vulnerabilità nel kernel del sistema operativo Microsoft Windows: la vulnerabilità CVE-2021-31955 e la vulnerabilità di elevazione dei privilegi CVE-2021-31956. Microsoft ha patchato entrambi ieri sera come parte di Patch Tuesday.
Crea rompicapi Zero Day
Negli ultimi mesi, ci sono state numerose attività di minaccia avanzata che sfruttano i giorni zero. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di attacchi exploit altamente mirati contro più aziende, in cui gli aggressori potrebbero compromettere di nascosto le reti prese di mira. Tutti gli attacchi sono stati effettuati tramite Chrome e hanno utilizzato un exploit che consentiva l'esecuzione di codice in modalità remota.
I ricercatori di Kaspersky non sono stati in grado di ottenere il codice per l'exploit di esecuzione remota, ma i tempi e la disponibilità indicano che gli aggressori hanno sfruttato la vulnerabilità CVE-2021-21224 ora corretta. Ciò è correlato a un bug di mancata corrispondenza del tipo in V8, un motore JavaScript utilizzato dai browser Web Chrome e Chromium. Ciò ha consentito agli attori delle minacce di sfruttare il processo di rendering di Chrome, che è responsabile di ciò che accade all'interno della scheda di un utente.
Due vulnerabilità nel kernel di Microsoft Windows
Tuttavia, gli esperti di Kaspersky sono stati in grado di identificare e analizzare il secondo exploit. Si tratta di un exploit Elevation of Privilege che sfrutta due vulnerabilità nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità di divulgazione di informazioni chiamata CVE-2021-31955 che fa trapelare informazioni sensibili sul kernel. La vulnerabilità è correlata a SuperFetch, una funzionalità introdotta per la prima volta in Windows Vista progettata per ridurre i tempi di caricamento del software precaricando in memoria le applicazioni utilizzate di frequente.
La seconda è un'elevazione della vulnerabilità dei privilegi che consente agli aggressori di compromettere il kernel e ottenere un accesso elevato al computer. Ha la designazione CVE-2021-31956 ed è un buffer overflow basato su heap. Gli aggressori hanno utilizzato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura e scrittura arbitrarie in memoria ed eseguire moduli malware con privilegi di sistema.
Il contagocce di malware ricarica il modulo shell remoto
Una volta che gli aggressori hanno utilizzato sia gli exploit di Chrome che quelli di Windows per prendere piede sul sistema di destinazione, il modulo stager scarica ed esegue un dropper di malware più complesso da un server remoto. Questo quindi installa due file eseguibili mascherati da file legittimi del sistema operativo Microsoft Windows. Il secondo di questi due eseguibili è un modulo shell remoto in grado di scaricare e caricare file, creare processi, rimanere inattivo per un determinato periodo di tempo e cancellarsi dal sistema infetto. Microsoft ha rilasciato una patch per entrambe le vulnerabilità di Windows come parte di Patch Tuesday.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/