La vulnerabilità è stata segnalata a Microsoft ed è stata risolta il 10 aprile
Le tecnologie automatizzate di Kaspersky Lab hanno rilevato una vulnerabilità precedentemente sconosciuta in Microsoft Windows. Questa vulnerabilità è stata sfruttata da un gruppo sconosciuto di cybercriminali, che cercavano di ottenere il pieno controllo dei dispositivi che avevano preso di mira. L’attacco mirava al nucleo fondamentale del sistema operativo – il kernel – attraverso una backdoor costruita a partire da un elemento essenziale di Windows OS.
Le backdoor sono un tipo di malware estremamente pericoloso: consentono agli autori delle minacce di controllare le macchine infette senza farsi notare per portare avanti i loro scopi malevoli. Una “privilege escalation” di questo tipo, messa in atto da una terza parte, è difficile da nascondere alle soluzioni di sicurezza. Nonostante questo, una backdoor che sfrutta un bug precedentemente sconosciuto e presente all’interno del sistema – una vulnerabilità zero-day – ha molte più possibilità di passare inosservata. Le normali soluzioni di sicurezza non possono riconoscere l’infezione del sistema, né possono proteggere gli utenti da una minaccia che deve essere ancora scoperta.
La tecnologia Exploit Prevention di Kaspersky Lab, però, è riuscita a rilevare il tentato sfruttamento di una vulnerabilità sconosciuta all’interno del sistema operativo Microsoft Windows. Ecco lo scenario di attacco scoperto: dopo il lancio del file .exe malevolo, veniva avviata l’installazione del malware. L’infezione sfruttava una vulnerabilità zero-day, ottenendo i privilegi necessari per rimanere con successo all’interno della macchina della vittima. Il malware dava quindi il via al lancio di una backdoor, sviluppata con un elemento legittimo di Windows, presente su tutti i computer che si basano su questo sistema operativo – una shell in linea di comando, un linguaggio di scripting e un framework per l’automazione chiamato Windows PowerShell. Questo ha permesso agli autori della minaccia di muoversi in modo furtivo all’interno del sistema e di evitare il rilevamento, risparmiando tempo nella scrittura del codice per tool malevoli. Il malware avviava quindi il download di un’altra backdoor da un popolare servizio legittimo di text storage, che, a sua volta, dava ai criminali il pieno controllo del sistema infetto.
“In questo tipo di attacco, abbiamo osservato le due tendenze principali che spesso vediamo quando analizziamo delle Advanced Persistent Threat (APT). Prima di tutto, l’utilizzo degli exploit per avviare una “privilege escalation” in locale in modo da ottenere una presenza costante sul computer della vittima. In secondo luogo, l’uso di framework legittimi come Windows PowerShell per attività malevole sul computer della vittima. Questa combinazione di fattori permette agli autori della minaccia di bypassare le soluzioni di sicurezza standard. Per rilevare questo tipo di tecniche, la soluzione di sicurezza deve utilizzare tecnologie di “Exploit Prevention” e motori di rilevamento basati sull’analisi comportamentale”, spiega Anton Ivanov, Security Expert presso Kaspersky Lab.
I prodotti di Kaspersky Lab hanno rilevato questo exploit come:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
La vulnerabilità è stata segnalata a Microsoft ed è stata risolta il 10 aprile.
Per impedire l’eventuale installazione di backdoor sfruttando possibili vulnerabilità zero-day all’interno di Windows, Kaspersky Lab consiglia di adottare le seguenti misure di sicurezza:
- Una volta che la vulnerabilità è stata risolta e che la patch è stata scaricata, gli autori delle minacce perdono l’opportunità di utilizzarla. È importante, quindi, procedere con l’installazione della patch di Microsoft per far fronte alla nuova vulnerabilità il prima possibile.
- In caso di preoccupazione per lo stato di sicurezza della propria organizzazione, assicurarsi di procedere regolarmente con l’aggiornamento di tutti i software ogni volta che viene rilasciata una nuova patch per la sicurezza. È importante usare soluzioni di sicurezza con funzionalità di gestione delle patch, così da assicurarsi che questi processi vengano eseguiti automaticamente
- Utilizzare una soluzione di sicurezza di provata efficacia con capacità di rilevamento behavior-based per la protezione dalle minacce sconosciute, come Kaspersky Endpoint Security
- Assicurarsi che il team di sicurezza abbia accesso all’intelligence delle minacce più recente. Report privati riguardo gli ultimi sviluppi dello scenario delle minacce sono disponibili per gli iscritti al Kaspersky Intelligence Reporting. Per ricevere ulteriori informazioni, è possibile scrivere all’indirizzo: intelreports@kaspersky.com
- Ultima cosa, ma non meno importante: assicurarsi che il proprio staff sia formato per quanto riguarda le conoscenze di base della “cybersecurity hygiene”.
