{"id":24893,"date":"2021-06-09T17:39:54","date_gmt":"2021-06-09T15:39:54","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24893"},"modified":"2021-06-09T17:39:54","modified_gmt":"2021-06-09T15:39:54","slug":"chrome-windows-zero-day","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/","title":{"rendered":"PuzzleMaker: attacchi mirati colpiscono diverse aziende"},"content":{"rendered":"

Le tecnologie di rilevamento delle minacce comportamentali e di prevenzione degli exploit di Kaspersky Endpoint Security for Business<\/a> hanno identificato un\u2019ondata di attacchi fortemente mirati a diverse aziende. Questi attacchi hanno usato una catena di exploit zero-day del browser Google Chrome e alcune vulnerabilit\u00e0 di Microsoft Windows. Le patch per le vulnerabilit\u00e0 sono gi\u00e0 disponibili (a partire da un aggiornamento Microsoft rilasciato l\u20198 giugno), quindi consigliamo a tutti di aggiornare sia il browser, sia il sistema operativo. Il gruppo che si nasconde dietro questi attacchi lo abbiamo battezzato con il nome PuzzleMaker.<\/p>\n

Cosa c\u2019\u00e8 di cos\u00ec pericoloso negli attacchi PuzzleMaker?<\/h2>\n

I cybercriminali utilizzano una vulnerabilit\u00e0 di Google Chrome per eseguire un codice dannoso sul dispositivo bersaglio per poi sfruttare due vulnerabilit\u00e0 di Windows 10 per sfuggire alla \u201csandbox\u201d<\/a> e ottenere privilegi di sistema. Innanzitutto caricano il primo modulo malware, il cosiddetto stager<\/em>, sul dispositivo della vittima insieme a una serie di configurazioni personalizzate (indirizzo del server di comando, ID di sessione, chiavi di decifrazione per il modulo successivo, e cos\u00ec via).<\/p>\n

Lo stager informa i cybercriminali che l\u2019infezione \u00e8 avvenuta con successo, per poi scaricare e decifrare un modulo dropper che, a sua volta, installa due file eseguibili che si spacciano per file legittimi. Il primo, WmiPrvMon.ex\u0435, \u00e8 registrato come servizio ed esegue il secondo, wmimon.dll., che \u00e8 il payload<\/a> principale dell\u2019attacco, che ha le sembianze di una shell remota.<\/p>\n

I criminali informatici usano questa shell per ottenere il pieno controllo del dispositivo bersaglio. Possono caricare e scaricare file, creare processi, ibernare il dispositivo per un determinato periodo di tempo e persino eliminare qualsiasi traccia dell\u2019attacco. Questo componente malware comunica con il server di comando attraverso una connessione cifrata.<\/p>\n

Di quali exploit e vulnerabilit\u00e0 stiamo parlando?<\/h2>\n

Sfortunatamente, i nostri esperti non sono stati in grado di analizzare l\u2019exploit per l\u2019esecuzione del codice da remoto<\/a> utilizzato da PuzzleMaker per attaccare Google Chrome; tuttavia, dopo aver condotto un\u2019indagine approfondita, sono giunti alla conclusione che i cybercriminali probabilmente hanno sfruttato la vulnerabilit\u00e0 CVE-2021-21224<\/a>. Se siete interessati a come e perch\u00e9 sono arrivati a questa conclusione, vi invitiamo a leggere il nostro post su Securelist<\/a>. In ogni caso, il 20 aprile 2021, Google ha rilasciato una patch per questa vulnerabilit\u00e0, meno di una settimana dopo la nostra scoperta dell\u2019ondata di attacchi.<\/p>\n

L\u2019exploit per l\u2019elevazione dei privilegi utilizza due vulnerabilit\u00e0 di Windows 10 contemporaneamente. La prima, CVE-2021-31955<\/a>, \u00e8 una vulnerabilit\u00e0 nella divulgazione delle informazioni del file ntoskrnl.exe. L\u2019exploit utilizza questa vulnerabilit\u00e0 per determinare gli indirizzi della struttura kernel EPROCESS per i processi eseguiti. La seconda vulnerabilit\u00e0, CVE-2021-31956<\/a>, si trova nel driver ntfs.sys e appartiene alla classe di vulnerabilit\u00e0 heap overflow<\/em>. I cybercriminali se ne sono serviti, insieme alla Windows Notification Facility, per leggere e scrivere dati nella memoria. Questo exploit funziona sulle build pi\u00f9 comuni di Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) e 19042 (20H2). Anche la build 19043 (21H1) \u00e8 vulnerabile, sebbene le nostre tecnologie non abbiano rilevato attacchi su questa versione, che \u00e8 stata rilasciata dopo il nostro rilevamento di PuzzleMaker. Su Securelist abbiamo pubblicato un post con una descrizione tecnica dettagliata<\/a>, dove abbiamo elencato anche gli indicatori di compromissione.<\/p>\n

Come difendersi da questo tipo di attacchi<\/h2>\n

Per salvaguardare la vostra sicurezza aziendale dagli exploit utilizzati nell\u2019attacco PuzzleMaker, innanzitutto aggiornate Chrome e installate le patch del sistema operativo che risolvono le vulnerabilit\u00e0 CVE-2021-31955 e CVE-2021-31956v (dal sito<\/a>\u00a0di\u00a0Microsoft<\/a>).<\/p>\n

Detto questo, per scongiurare la minaccia di altre vulnerabilit\u00e0 zero-day, ogni tipo di azienda ha bisogno di utilizzare soluzioni di cybersecurity in grado di rilevare tali tentativi di sfruttamento delle vulnerabilit\u00e0, analizzando i comportamenti sospetti. Ad esempio, i nostri prodotti hanno rilevato questo attacco utilizzando la tecnologia Behavioral Detection Engine e il sottosistema Exploit Prevention in Kaspersky Endpoint Security for business<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Le nostre tecnologie hanno rilevato attacchi mirati che coinvolgono una serie di exploit zero-day.<\/p>\n","protected":false},"author":700,"featured_media":24895,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[30,294,584,23],"class_list":{"0":"post-24893","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-chrome","11":"tag-exploit","12":"tag-vulnerabilita","13":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-windows-zero-day\/22945\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-windows-zero-day\/18438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chrome-windows-zero-day\/24889\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-windows-zero-day\/22882\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-windows-zero-day\/30891\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-windows-zero-day\/9728\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-windows-zero-day\/40191\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chrome-windows-zero-day\/14905\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chrome-windows-zero-day\/31022\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/chrome-windows-zero-day\/27149\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chrome-windows-zero-day\/24006\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-windows-zero-day\/29322\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-windows-zero-day\/29126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=24893"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24893\/revisions"}],"predecessor-version":[{"id":24921,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24893\/revisions\/24921"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/24895"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=24893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=24893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=24893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}