AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Scoperto nuovo exploit critico nel kernel di Windows: implicazioni e soluzioni per la sicurezza

Come un exploit zero-day minaccia la sicurezza del kernel di Windows: analisi e misure di mitigazione

CVE-2024-38106 è una grave vulnerabilità nel kernel di Windows, scoperta da Sergei Kornienko. Consente a malintenzionati di ottenere privilegi SYSTEM. Microsoft ha rilasciato una patch per risolverla. È stata sfruttata attivamente dal gruppo di hacker nordcoreano Citrine Sleet.

This pill is also available in English language

Il 2 settembre, il ricercatore di sicurezza Sergei Kornienko della PixiePoint ha pubblicato un'analisi approfondita e una dimostrazione di un exploit che sfrutta una vulnerabilità zero-day critica nel kernel di Windows, identificata come CVE-2024-38106. Questa falla di sicurezza, con un punteggio CVSS di 7.0, si trova nel kernel di Windows e coinvolge il processo “ntoskrnl.exe,” essenziale per la comunicazione tra hardware e software. La vulnerabilità è connessa a una Race Condition, una situazione in cui il risultato di un'operazione dipende dalla sequenza temporale degli eventi. Se sfruttata con successo, questa falla potrebbe consentire a un utente malintenzionato di ottenere privilegi a livello SYSTEM, guadagnando in pratica il pieno controllo del dispositivo vulnerabile. Kornienko ha divulgato responsabilmente la vulnerabilità a Microsoft, che ha rilasciato un aggiornamento per mitigare il problema.

Aggiornamenti e modifiche per la sicurezza

L'aggiornamento rilasciato da Microsoft per risolvere CVE-2024-38106 include modifiche significative a due funzioni chiave: VslGetSetSecureContext() e NtSetInformationWorkerFactory(). Tali modifiche sono state necessarie per eliminare la Race Condition e rafforzare la sicurezza del sistema operativo. In particolare, sono stati introdotti nuovi meccanismi di blocco delle operazioni relative alla modalità di sicurezza basata su virtualizzazione (VBS) del kernel; inoltre, è stato implementato un controllo dei flag nel processo NtShutdownWorkerFactory(), riducendo la probabilità di sfruttamento della vulnerabilità.

Sfruttamento attivo della vulnerabilità

Sergei Kornienko ha anche pubblicato un exploit Proof of Concept (PoC) che dimostra come gli aggressori possono sfruttare CVE-2024-38106 per ottenere un'escalation dei privilegi. La pubblicazione dell'exploit PoC mette in luce i gravi rischi per la sicurezza di utenti domestici e aziendali se la vulnerabilità non viene affrontata tempestivamente. Secondo PixiePoint, la vulnerabilità è stata attivamente sfruttata da un gruppo di hacker nordcoreani noto come Citrine Sleet. Gli attacchi sono iniziati tramite reindirizzamenti a un sito web dannoso chiamato "voyagorclub[.]space," con metodi di ingegneria sociale utilizzati per ingannare le vittime e farle cadere nel tranello.

Conseguenze e raccomandazioni

Una volta che le vittime sono state reindirizzate al sito dannoso, gli aggressori hanno sfruttato la vulnerabilità CVE-2024-7971 per ottenere l'accesso al sistema bersaglio. Successivamente, hanno scaricato ed eseguito codice per sfruttare CVE-2024-38106, eludendo così la sandbox e ottenendo l'elevazione dei privilegi. Questo ha permesso l'introduzione del malware noto come rootkit FudModule, il quale utilizza la tecnica Direct Kernel Object Manipulation (DKOM) per modificare i meccanismi di sicurezza del kernel di Windows. Ciò rende estremamente difficile il rilevamento e la rimozione del malware. Microsoft ha rilasciato rapidamente una patch per la vulnerabilità come parte dell'aggiornamento di agosto 2024. Questa vicenda sottolinea l'importanza di applicare tempestivamente le patch e di mantenere una costante vigilanza sulla sicurezza informatica per prevenire abusi e minimizzare i rischi.

Follow us on WhatsApp for more pills like this

09/06/2024 09:44

Marco Verro

Last pills

Hacker attack in Lebanon: Hezbollah under fireTechnological shock and injuries: cyber warfare hits Hezbollah in Lebanon

Data breach: Fortinet faces new hack, 440GB of stolen informationFortinet under attack: hackers breach security and make information public. discover the details and the consequences for the privacy of involved users

Shocking cyber espionage discoveries: nation-state threatsHow state-of-state cyberwarfare is changing the game in the tech industry: Details and analysis of recent attacks

A new era for Flipper Zero with firmware 1.0Discover the revolutionary features of Flipper Zero firmware 1.0: performance improvements, JavaScript, and enhanced connectivity