Chrome e Microsoft, queste minacce evidenziano le tante vulnerabilità di sistema

Le tecnologie Kaspersky hanno rilevato un’ondata di attacchi altamente mirati contro più aziende. Un’analisi più attenta, però, ha rivelato che tutti questi attacchi hanno sfruttato una catena di exploit chain di Google Chrome e Microsoft Windows.

Google Chrome, troppe falle nel sistema (Adobe Stock)
Google Chrome, troppe falle nel sistema (Adobe Stock)

Con il termine di exploit, in informatica, si identifica una determinata tipologia di script, virus, worm, porzione di dati o binario che sfrutta un bug o una vulnerabilità, per creare comportamenti non previsti in software, hardware, o in sistemi elettronici (solitamente computerizzati). Il termine non si riferisce tuttavia solamente al software; infatti, nella dinamica di un classico attacco di ingegneria sociale, anche l’inganno o il discorso stesso utilizzato per raggirare la vittima è considerato un exploit. Chain sta per catena.

Chrome e Microsoft, Kasperky at work: PuzzleMaker, la nuova minaccia

Microsoft, le cause del proliferarsi di attacchi hacker (Adobe Stock)
Microsoft, le cause del proliferarsi di attacchi hacker (Adobe Stock)

Ed è proprio in questa catena che i cybercriminali sfruttano la vulnerabilità di sicurezza, talvolta individuata in software differenti. Kaspersky non è stato in grado di recuperare l’exploit utilizzato per l’esecuzione di codice remoto in Chrome, è riuscita almeno a trovare e analizzare un exploit di elevazione dei privilegi (EoP) utilizzato per sfuggire alla sandbox e ottenere i privilegi di sistema.

LEGGI ANCHE >>> Con il casco da bici 5G puoi prevenire gli incidenti stradali

L’exploit dell’elevazione dei privilegi è stato ottimizzato per funzionare con le build più recenti e più importanti di Windows 10 (17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2) e sfrutta due vulnerabilità distinte nella Kernel del sistema operativo Microsoft Windows.

LEGGI ANCHE >>> Volantino Expert 7-20 giugno 2021 “Sconto & Doppio Sconto“: che offerte!

Lo scorso 20 aprile Kaspersky ha segnalato queste vulnerabilità a Microsoft, la quale ha assegnato CVE-2021-31955 alla vulnerabilità legata all’intercettazione di informazioni personali e CVE-2021-31956 alla vulnerabilità relativa all’acquisizione di privilegi più elevati. Entrambe le vulnerabilità sono state corrette l’8 giugno 2021, come parte del June Patch Tuesday.

Tutti gli attacchi osservati da Kasperky sono stati condotti da Chrome, un browser diventato particolarmente vulnerabile. Un esempio: a inizio aprile si è svolto il Pwn2Own, un concorso di pirateria informatica in cui il browser di Google era uno degli obiettivi. Secondo il sito web ZDI (Zero Day Initiative, l’organizzatore di Pwn2Own) un team partecipante è stato in grado di dimostrare uno sfruttamento riuscito del processo di rendering di Chrome, utilizzando un bug di Typer Mismatch.

Lo scorso 12 aprile, gli sviluppatori di Chromium hanno eseguito due correzioni di bug relativi a Typer nel repository open source di V8, un motore JavaScript utilizzato dab Chrome e Chromium. Una di queste aveva lo scopo di correggere una vulnerabilità utilizzata proprio durante il Pwn2Own ed entrambe le correzioni di bug sono state commesse insieme a test di regressione: file JavaScript per attivare queste vulnerabilità.

Più tardi lo stesso giorno, un utente con l’handle Twitter @ r4j0x00 ha pubblicato un exploit di esecuzione di codice remoto funzionante su GitHub, prendendo di mira una versione aggiornata di Google Chrome. Quell’exploit utilizzava una vulnerabilità del problema 1196683 per eseguire uno shellcode nel contesto del processo di rendering del browser.

L’exploit pubblicato non conteneva un exploit di fuga sandbox ed era quindi destinato a funzionare solo quando il browser veniva avviato con l’opzione della riga di comando –no-sandbox.

La nuova minaccia è stata battezzata PuzzleMaker e ha fatto leva su una serie di vulnerabilità zero-day scoperte nel browser Google Chrome e in Windows 10. I suoi sviluppatori hanno anche previsto un modulo shell remoto per scaricare e caricare file, creare processi, tenere un “profilo basso” per certi periodi di tempo così da non ingenerare sospetti e cancellare a distanza tutti i file malevoli.

Finora i cybercriminali hanno sempre giocato d’anticipo sfruttando delle lacune di sicurezza non ancora individuate da Google e Microsoft. Risolverle, significherebbe danno un brutto colpo ai cybercriminali.

Gestione cookie