Scoperto nuovo exploit critico nel kernel di Windows: implicazioni e soluzioni per la sicurezza
Come un exploit zero-day minaccia la sicurezza del kernel di Windows: analisi e misure di mitigazione
CVE-2024-38106 è una grave vulnerabilità nel kernel di Windows, scoperta da Sergei Kornienko. Consente a malintenzionati di ottenere privilegi SYSTEM. Microsoft ha rilasciato una patch per risolverla. È stata sfruttata attivamente dal gruppo di hacker nordcoreano Citrine Sleet.
Il 2 settembre, il ricercatore di sicurezza Sergei Kornienko della PixiePoint ha pubblicato un'analisi approfondita e una dimostrazione di un exploit che sfrutta una vulnerabilità zero-day critica nel kernel di Windows, identificata come CVE-2024-38106. Questa falla di sicurezza, con un punteggio CVSS di 7.0, si trova nel kernel di Windows e coinvolge il processo “ntoskrnl.exe,” essenziale per la comunicazione tra hardware e software. La vulnerabilità è connessa a una Race Condition, una situazione in cui il risultato di un'operazione dipende dalla sequenza temporale degli eventi. Se sfruttata con successo, questa falla potrebbe consentire a un utente malintenzionato di ottenere privilegi a livello SYSTEM, guadagnando in pratica il pieno controllo del dispositivo vulnerabile. Kornienko ha divulgato responsabilmente la vulnerabilità a Microsoft, che ha rilasciato un aggiornamento per mitigare il problema.
Aggiornamenti e modifiche per la sicurezza
L'aggiornamento rilasciato da Microsoft per risolvere CVE-2024-38106 include modifiche significative a due funzioni chiave: VslGetSetSecureContext() e NtSetInformationWorkerFactory(). Tali modifiche sono state necessarie per eliminare la Race Condition e rafforzare la sicurezza del sistema operativo. In particolare, sono stati introdotti nuovi meccanismi di blocco delle operazioni relative alla modalità di sicurezza basata su virtualizzazione (VBS) del kernel; inoltre, è stato implementato un controllo dei flag nel processo NtShutdownWorkerFactory(), riducendo la probabilità di sfruttamento della vulnerabilità.
Sfruttamento attivo della vulnerabilità
Sergei Kornienko ha anche pubblicato un exploit Proof of Concept (PoC) che dimostra come gli aggressori possono sfruttare CVE-2024-38106 per ottenere un'escalation dei privilegi. La pubblicazione dell'exploit PoC mette in luce i gravi rischi per la sicurezza di utenti domestici e aziendali se la vulnerabilità non viene affrontata tempestivamente. Secondo PixiePoint, la vulnerabilità è stata attivamente sfruttata da un gruppo di hacker nordcoreani noto come Citrine Sleet. Gli attacchi sono iniziati tramite reindirizzamenti a un sito web dannoso chiamato "voyagorclub[.]space," con metodi di ingegneria sociale utilizzati per ingannare le vittime e farle cadere nel tranello.
Conseguenze e raccomandazioni
Una volta che le vittime sono state reindirizzate al sito dannoso, gli aggressori hanno sfruttato la vulnerabilità CVE-2024-7971 per ottenere l'accesso al sistema bersaglio. Successivamente, hanno scaricato ed eseguito codice per sfruttare CVE-2024-38106, eludendo così la sandbox e ottenendo l'elevazione dei privilegi. Questo ha permesso l'introduzione del malware noto come rootkit FudModule, il quale utilizza la tecnica Direct Kernel Object Manipulation (DKOM) per modificare i meccanismi di sicurezza del kernel di Windows. Ciò rende estremamente difficile il rilevamento e la rimozione del malware. Microsoft ha rilasciato rapidamente una patch per la vulnerabilità come parte dell'aggiornamento di agosto 2024. Questa vicenda sottolinea l'importanza di applicare tempestivamente le patch e di mantenere una costante vigilanza sulla sicurezza informatica per prevenire abusi e minimizzare i rischi.
Follow us on WhatsApp for more pills like this09/06/2024 09:44
Marco Verro