GDPR, Privacy e Sicurezza /

Una vulnerabilità in Windows

Una vulnerabilità in Windows

13 Dicembre 2019 Gian Carlo Lanzetti
SoloTablet
Gian Carlo Lanzetti
share
Le tecnologie di rilevamento automatizzato di Kaspersky hanno individuato una vulnerabilità zero-day in Windows. L’exploit basato su questa tecnologia permette agli attaccanti di ottenere l’accesso come amministratore nel dispositivo colpito e di eludere il meccanismo di protezione del browser Google Chrome.

Le vulnerabilità zero-day sono dei bug software precedentemente sconosciuti che, se rilevati dai criminali informatici prima che da altri, permettono loro di operare inosservati per lungo tempo, provocando danni seri e inattesi. Le comuni soluzioni di sicurezza non identificano l’infezione del sistema e non sono perciò in grado di proteggere gli utenti da una minaccia che non riconoscono ancora.

La nuova vulnerabilità in Windows è stata scoperta dai ricercatori di Kaspersky grazie a un precedente exploit zero-day. Lo scorso novembre la tecnologia Kaspersky Exploit Prevention, inclusa nella maggior parte dei prodotti dell’azienda, è stata in grado di rilevare un exploit zero-day in Google Chrome. Questo exploit ha permesso agli attaccanti di eseguire codice arbitrario sul dispositivo. Dopo aver condotto ricerche approfondite su questa operazione, che gli esperti hanno denominato “WizardOpium”, è stata scoperta una seconda vulnerabilità, questa volta in Windows OS.

Dalle ricerche eseguite è emerso che l’exploit (CVE-2019-1458) Windows zero-day “elevation of privilege” (EoP) recentemente scoperto era stato precedentemente incorporato in un exploit Google Chrome rilevato in passato. Questo veniva impiegato per ottenere privilegi da amministratore nel dispositivo infettato e per eludere il rilevamento da parte della sandbox di Chrome, una componente progettata per proteggere il browser e il computer della vittima da attacchi malevoli.

Analisi dettagliate dell’exploit EoP hanno mostrato che la vulnerabilità sfruttata appartiene al driver win32k.sys. La vulnerabilità può essere sfruttata nell’ultima versione dotata di patch di Windows 7 e addirittura sui alcuni “build” di Windows 10. Le nuove versioni di Windows 10 non sono state compromesse. 

Questo tipo di attacco richiede molte risorse; tuttavia, può offrire agli attaccanti vantaggi non trascurabili di cui possiamo osservare gli effetti. Il numero di zero-day ‘in the wild’ continua a crescere e il trend sembra non volersi arrestare. Le aziende hanno bisogno di fare affidamento sulla threat intelligence più recente a disposizione e di dotarsi di tecnologie di protezione che possono rilevare in modo proattivo minacce sconosciute come gli exploit zero-day”, ha dichiarato Anton Ivanov, Security Expert di Kaspersky.

I prodotti di Kaspersky rilevano questo exploit come PDM:Exploit.Win32.Generic.

La vulnerabilità è stata segnalata a Microsoft e il 10 Dicembre 2019 è stata distribuita una patch.

Per prevenire l’installazione di backdoor attraverso una vulnerabilità zero-day in Windows, gli esperti di Kaspersky raccomandano di adottare le seguenti precauzioni:

  • Installare le patch di Microsoft per le nuove vulnerabilità appena possibile. Se la patch viene scaricata, gli autori di minacce non potranno più sfruttare la vulnerabilità.
  • Assicurarsi che tutti i software siano aggiornati non appena viene introdotta una patch di sicurezza, se si è preoccupati per la sicurezza dell’intera azienda. Utilizzare un prodotto di sicurezza con valutazione delle vulnerabilità e capacità di patch management per assicurarsi che questi processi si svolgano in modo automatico. 
  • Utilizzare una soluzione di sicurezza affidabile che integri funzioni di rilevamento behavior-based per la protezione da minacce sconosciute, come Kaspersky Endpoint Security;
  • Assicurarsi che il security team abbia accesso alla più recente tecnologia di cyberthreat intelligence. Su Kaspersky Intelligence Reporting sono disponibili dei report privati circa i più recenti sviluppi nel panorama delle minacce. Per maggiori informazioni è possibile contattare: intelreports@kaspersky.com;
  • Utilizzare la tecnologia sandbox per analizzare gli oggetti sospetti. L’accesso alla versione base di Kaspersky Cloud Sandbox è disponibile al link https://opentip.kaspersky.com/.

 

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


PS.Mobile

PS.Mobile, software house di Bologna dal 2001, offre ai suoi clienti progetti...

Vai al profilo

Computime Srl

Computime, rivenditore Apple dal 1983, Servizi per l'editoria, Software House. La...

Vai al profilo

Soft! e Oscar

Siamo un Team, con sede in Abruzzo, che si occupa della pianificazione, progettazione e...

Vai al profilo