L’esperto di sicurezza Ori David, ha condotto recentemente una ricerca per la società esperta di cybersecurity e cloud computing Akamai, la quale mette in luce un inedito vettore di attacco informatico: lo studio dimostra come gli attaccanti possano sfruttare enclavi VBS di Windows (Virtualization-Based Security) per sviluppare malware estremamente elusivi e difficili da rilevare, ponendo nuove sfide per aziende e utenti.
I VBS enclave, introdotti da Microsoft per rafforzare la sicurezza, consentono di isolare sezioni di memoria del sistema, rendendole inaccessibili ai processi standard, al kernel e agli strumenti di analisi forense. Tuttavia, questa tecnologia può essere sfruttata in modo malevolo per nascondere codice dannoso, rendendolo invisibile anche ai software di sicurezza più avanzati.
Le tecniche di attacco
La ricerca di Akamai evidenzia diverse tecniche che potrebbero essere impiegate dai cybercriminali per eseguire codice malevolo all’interno di un VBS enclave, tra cui:
- Abuso di vulnerabilità del sistema: sfruttando falle di sicurezza, come CVE-2024-49706, è possibile caricare codice non firmato in un enclave, bypassando i meccanismi di protezione.
- Uso di enclavi vulnerabili: attori malevoli potrebbero sfruttare enclavi legittime ma affette da vulnerabilità per eseguire codice dannoso, in un approccio simile al “Bring Your Own Vulnerable Driver” (BYOVD).
- Tecnica Mirage: un metodo innovativo che utilizza enclavi compromessi per nascondere payload malevoli in memoria, impedendo la loro rilevazione da parte dei software di protezione.
Strategie di difesa
Per contrastare questa nuova minaccia, i ricercatori di Akamai suggeriscono alcune strategie efficaci per identificare e mitigare potenziali attacchi basati su enclavi VBS:
- Monitoraggio delle API di enclave: tracciare chiamate a funzioni come CreateEnclave e CallEnclave può indicare attività sospette.
- Rilevamento di DLL sospette: individuare il caricamento di file come Vertdll.dll e ucrtbase_enclave.dll in processi non convenzionali potrebbe rivelare la presenza di malware.
- Definizione di baseline comportamentali: comprendere quali applicazioni legittime utilizzano enclavi può facilitare l’identificazione di anomalie.
Sebbene l’utilizzo di malware basati su enclavi VBS sia ancora un concetto sperimentale, gli esperti di Akamai avvertono che minacce di questo tipo potrebbero diventare sempre più diffuse con la crescente adozione di questa tecnologia. È quindi fondamentale che le organizzazioni implementino misure di sicurezza proattive per prevenire potenziali abusi e proteggere i propri sistemi.
