L’exploit permette agli hacker di accedere come amministratori ai dispositivi colpiti eludendo così il meccanismo di protezione di Google Chrome

Scoperta vulnerabilità zero-day Windows alla base di WizardOpium

Le tecnologie Kaspersky hanno individuato una nuova vulnerabilità zero-day in Windows, che permette agli attaccanti di ottenere l’accesso come amministratore nel dispositivo colpito e di eludere il meccanismo di protezione del browser Google Chrome. L’exploit è stato utilizzato nell’operazione malevola WizardOpium.

Le vulnerabilità zero-day sono dei bug software precedentemente sconosciuti che, se rilevati dai criminali informatici prima che da altri, permettono loro di operare inosservati per lungo tempo, provocando danni seri e inattesi. Le comuni soluzioni di sicurezza non identificano l’infezione del sistema e non sono perciò in grado di proteggere gli utenti da una minaccia che non riconoscono ancora.

La nuova vulnerabilità in Windows è stata scoperta dai ricercatori di Kaspersky grazie a un precedente exploit zero-day.

Lo scorso novembre 2019, la tecnologia Kaspersky Exploit Prevention, inclusa nella maggior parte dei prodotti dell’azienda, è stata in grado di rilevare un exploit zero-day in Google Chrome. Questo exploit ha permesso agli attaccanti di eseguire codice arbitrario sul dispositivo. Dopo aver condotto ricerche approfondite su questa operazione, che gli esperti hanno denominato WizardOpium, è stata scoperta una seconda vulnerabilità, questa volta in Windows OS.

Dalle ricerche eseguite è emerso che l’exploit (CVE-2019-1458) Windows zero-day “elevation of privilege” (EoP) recentemente scoperto era stato precedentemente incorporato in un exploit Google Chrome rilevato in passato. Questo veniva impiegato per ottenere privilegi da amministratore nel dispositivo infettato e per eludere il rilevamento da parte della sandbox di Chrome, una componente progettata per proteggere il browser e il computer della vittima da attacchi malevoli.

Analisi dettagliate dell’exploit EoP hanno mostrato che la vulnerabilità sfruttata appartiene al driver win32k.sys. La vulnerabilità può essere sfruttata nell’ultima versione dotata di patch di Windows 7 e addirittura sui alcuni “build” di Windows 10. Le nuove versioni di Windows 10 non sono state compromesse.

“Questo tipo di attacco richiede molte risorse; tuttavia, può offrire agli attaccanti vantaggi non trascurabili di cui possiamo osservare gli effetti. Il numero di zero-day “in the wild” continua a crescere e il trend sembra non volersi arrestare. Le aziende hanno bisogno di fare affidamento sulla threat intelligence più recente a disposizione e di dotarsi di tecnologie di protezione che possono rilevare in modo proattivo minacce sconosciute come gli exploit zero-day”, ha dichiarato Anton Ivanov, Security Expert di Kaspersky.

I prodotti di Kaspersky rilevano questo exploit come PDM:Exploit.Win32.Generic.

La vulnerabilità è stata segnalata a Microsoft e il 10 Dicembre 2019 è stata distribuita una patch.

Per prevenire l’installazione di backdoor attraverso una vulnerabilità zero-day in Windows, gli esperti di Kaspersky raccomandano di adottare le seguenti precauzioni:

  • Installare le patch di Microsoft per le nuove vulnerabilità appena possibile. Se la patch viene scaricata, gli autori di minacce non potranno più sfruttare la vulnerabilità.
  • Assicurarsi che tutti i software siano aggiornati non appena viene introdotta una patch di sicurezza, se si è preoccupati per la sicurezza dell’intera azienda. Utilizzare un prodotto di sicurezza con valutazione delle vulnerabilità e capacità di patch management per assicurarsi che questi processi si svolgano in modo automatico.
  • Utilizzare una soluzione di sicurezza affidabile che integri funzioni di rilevamento behavior-based per la protezione da minacce sconosciute, come Kaspersky Endpoint Security;
  • Assicurarsi che il security team abbia accesso alla più recente tecnologia di cyberthreat intelligence. Su Kaspersky Intelligence Reporting sono disponibili dei report privati circa i più recenti sviluppi nel panorama delle minacce. Per maggiori informazioni è possibile contattare: intelreports@kaspersky.com;
  • Utilizzare la tecnologia sandbox per analizzare gli oggetti sospetti. L’accesso alla versione base di Kaspersky Cloud Sandbox è disponibile a questo link.
  • Per maggiori informazioni sul nuovo exploit è possibile consultare il report su Securelist.
  • Per conoscere le tecnologie che hanno rilevato questo e altri exploit zero-day in Microsoft Windows, è disponibile un webinar di Kaspersky, visualizzabile su richiesta.