MILANO – Nel mese di aprile, gli esperti di Kaspersky hanno individuato una serie di attacchi altamente mirati contro diverse aziende, che utilizzano una catena di exploit zero-day di Google Chrome e Microsoft Windows non ancora nota. Uno degli exploit è stato utilizzato per l’esecuzione di codice da remoto nel web-browser Chrome, mentre l’altro era un exploit che consentiva di elevare i privilegi messo a punto per colpire le ultime e più importanti build di Windows 10. Quest’ultimo zero day sfrutta due vulnerabilità nel kernel del sistema operativo Microsoft Windows: Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956. In occasione del Patch Tuesday, Microsoft ha reso disponibili due patch per entrambe le vulnerabilità.
Duranti gli ultimi mesi sono stati osservati numerosi attacchi condotti tramite minacce avanzate che sfruttano gli zero-days in the wild. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di exploit altamente mirati contro diverse aziende che hanno permesso agli attaccanti di compromettere le reti prese di mira senza essere rilevati.
Non avendo trovato un legame tra questi attacchi e i threat actor già noti, Kaspersky ha denominato questo nuovo attore PuzzleMaker.
Tutti gli attacchi sono stati condotti attraverso Chrome e hanno utilizzato un exploit per eseguire del codice da remoto. Sebbene i ricercatori di Kaspersky non siano stati in grado di risalire al codice per l’exploit di esecuzione remota, la linea temporale e la disponibilità dell’exploit suggeriscono che gli attaccanti stavano usando la vulnerabilità, ora patchata, CVE-2021-21224. Questa vulnerabilità era legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser, e permetteva agli attaccanti di sfruttare il processo di rendering di Chrome (responsabili di ciò che accade all’interno della tab degli utenti).
Gli esperti di Kaspersky sono stati, tuttavia, in grado di rilevare e analizzare il secondo exploit: l’exploit di elevazione dei privilegi che sfrutta due vulnerabilità distinte presenti nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità Information Disclosure, in grado di far trapelare informazioni sensibili del kernel, rinominata CVE-2021-31955. La vulnerabilità è collegata a SuperFetch, una feature introdotta per la prima volta in Windows Vista che mira a ridurre i tempi di caricamento del software precaricando le applicazioni comunemente utilizzate in memoria.
La seconda vulnerabilità, Elevation of Privilege (una vulnerabilità che permette agli attaccanti di sfruttare il kernel e ottenere un accesso privilegiato al computer), è stata denominata CVE-2021-31956, ed è un buffer overflow heap-based. Gli attaccanti hanno usato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura/scrittura di memoria arbitraria ed eseguire moduli malware con privilegi di sistema.
Una volta che gli attaccanti hanno usato entrambi gli exploit di Chrome e Windows per infiltrarsi nel sistema preso di mira, il modulo stager scarica ed esegue un dropper malware più complesso da un server remoto. Questo dropper installa poi due file eseguibili, che si presentano come file legittimi del sistema operativo Microsoft Windows. Uno dei due file eseguibili è un modulo shell remoto, che è in grado di scaricare e caricare file, creare processi, rimanere in stand-by per un certo periodo di tempo e cancellarsi dal sistema infetto.
In occasione del Patch Tuesday. Microsoft ha rilasciato una patch per entrambe le vulnerabilità.
“Gli attacchi che abbiamo rilevato sono altamente mirati, tuttavia non sono stati ancora collegati a un threat actor noto. Pertanto, abbiamo denominato il loro sviluppatore “PuzzleMaker” e monitoreremo con attenzione il panorama degli attacchi alla ricerca delle sue attività future o di nuovi insight su questo gruppo. Di recente, abbiamo assistito al proliferare di minacce di alto profilo legate a exploit zero-day. Questo ci ricorda che gli zero-day continuano ad essere il metodo più efficace per infettare gli obiettivi designati. Ora che queste vulnerabilità sono state rese pubbliche, probabilmente osserveremo un aumento del loro utilizzo negli attacchi da parte di questo e altri threat actor. Per questa ragione raccomandiamo agli utenti di scaricare l’ultima patch da Microsoft il più presto possibile”, ha dichiarato Boris Larin, Senior Security Researcher del Global Research and Analysis Team (GReAT).
I prodotti Kaspersky rilevano e proteggono dall’exploit delle vulnerabilità Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956 e dai moduli malware associati.
Maggiori informazioni su questi nuovi zero-day sono disponibili su Securelist.
Per proteggere la propria organizzazione dagli attacchi che sfruttano queste due nuove vulnerabilità, gli esperti di Kaspersky raccomandano di:
• Aggiornare il browser Chrome e Microsoft Windows appena possibile e controllare regolarmente la disponibilità di aggiornamenti.
• Utilizzare una soluzione di sicurezza per gli endpoint affidabile, come Kaspersky Endpoint Security for Business, dotata di funzionalità di prevenzione degli exploit, behavior detection e di un remediation engine in grado di respingere gli attacchi.
• Installare soluzioni anti-APT e EDR, abilitando le funzionalità di discovery e detection delle minacce, le indagini e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla più recente threat intelligence e a una formazione professionale continua. Il framework Kaspersky Expert Security offre tutte queste funzionalità.
• Un’adeguata protezione degli endpoint e l’implementazione di servizi dedicati possono respingere gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.