All’inizio dell’anno – dopo un’attenta analisi di CVE-2021-1732, exploit utilizzato dal gruppo APT BITTER – i ricercatori di Kaspersky avevano individuato un nuovo exploit zero-day attualmente non ricollegabile a nessun threat actor noto.
Per vulnerabilità zero-day si intende un bug software sconosciuto. Prima di essere identificati consentono agli attaccanti di condurre attività dannose in incognito, con conseguenze inaspettate e disastrose.
Nel mese di febbraio gli esperti di Kaspersky hanno analizzato l’exploit CVE-2021-1732, e ne hanno individuato e segnalato a Microsoft un secondo. Dopo aver accertato che si trattasse effettivamente di uno zero-day, lo hanno denominato CVE-2021-28310.
Secondo i ricercatori, questo exploit è stato utilizzato in the wild da diversi threat actor. Si tratta di una Escalation of Privilege (EoP) individuato in Desktop Window Manager, che permette agli attaccanti l’esecuzione arbitraria di codice sul dispositivo della vittima.
È probabile che l’exploit venga utilizzato insieme ad altri exploit del browser per non essere rilevato dalla sandbox o per ottenere privilegi di sistema ed effettuare ulteriori accessi.
L’indagine preliminare di Kaspersky non ha rilevato l’intera catena di infezioni per cui non è ancora chiaro se l’exploit venga utilizzato con un altro zero-day o distribuito sfruttando vulnerabilità note per cui era già stata predisposta una patch.
“Lo zero-day è stato subito identificato dalla nostra tecnologia avanzata di prevenzione degli exploit e dai relativi registri di rilevamento. Infatti, le tecnologie di protezione degli exploit che abbiamo recentemente integrato nei nostri prodotti hanno rilevato diversi zero-day, dimostrando la loro efficacia più volte. Continueremo a proteggere i nostri utenti migliorando le nostre tecnologie e lavorando con vendor di terze parti per distribuire patch per le vulnerabilità note, rendendo internet più sicuro per tutti”, ha dichiarato Boris Larin, esperto di sicurezza di Kaspersky.
Una patch per la vulnerabilità Escalation of Privilege CVE-2021-28310 è stata rilasciata il 13 aprile 2021.
I prodotti di Kaspersky rilevano questo exploit con i seguenti nomi:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Per proteggersi da questa minaccia, Kaspersky raccomanda di:
- Installare le patch per nuove vulnerabilità non appena disponibili per evitare che i threat actor le possano sfruttare.
- Dotarsi di una soluzione di protezione degli endpoint con funzionalità di gestione delle vulnerabilità e delle patch. Queste funzionalità possono semplificare significativamente il compito dei responsabili della sicurezza IT.
- Fornire ai team SOC l’accesso alla più recente threat intelligence (TI). Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati e approfondimenti sugli attacchi informatici raccolti da Kaspersky in oltre 20 anni di esperienza.
- Oltre ad adottare una protezione di base per gli endpoint, implementare una soluzione di sicurezza di livello aziendale che rilevi le minacce avanzate a livello di rete nella fase iniziale, come Kaspersky Anti Targeted Attack Platform.
Maggiori dettagli sui nuovi exploit sono disponibili su Securelist.
Per scoprire quali tecnologie hanno rilevato questo e altri zero-days in Microsoft Windows, è possibile iscriversi a un webinar di Kaspersky a questo link.