{"id":25784,"date":"2021-10-18T11:26:30","date_gmt":"2021-10-18T09:26:30","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25784"},"modified":"2021-10-18T11:26:30","modified_gmt":"2021-10-18T09:26:30","slug":"mysterysnail-cve-2021-40449","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/","title":{"rendered":"MysterySnail procede verso la vulnerabilit\u00e0 zero-day"},"content":{"rendered":"<p>Le nostre tecnologie Behavioral Detection Engine ed Exploit Prevention hanno recentemente rilevato lo sfruttamento di una vulnerabilit\u00e0 nel driver del kernel Win32k, portando a un\u2019indagine sull\u2019intera operazione svolta dai criminali informatici. Abbiamo segnalato la vulnerabilit\u00e0 (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-40449<\/a>) a Microsoft, e l\u2019azienda ha avviato la patch in un normale aggiornamento rilasciato il 12 ottobre. Pertanto, come al solito dopo il Patch Tuesday, si consiglia di <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">aggiornare Microsoft Windows<\/a> il pi\u00f9 presto possibile.<\/p>\n<h2>Perch\u00e8 si usava CVE-2021-40449<\/h2>\n<p>CVE-2021-40449 \u00e8 una <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\">vulnerabilit\u00e0 use-after-free<\/a> nella funzione NtGdiResetDC del driver Win32k. Una descrizione tecnica dettagliata \u00e8 disponibile nel nostro <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">post su Securelist<\/a>, ma, in breve, la vulnerabilit\u00e0 pu\u00f2 portare alla perdita di indirizzi del modulo del kernel nella memoria del computer. I criminali informatici poi usano la perdita per elevare i privilegi di un altro processo dannoso.<\/p>\n<p>Attraverso i privilegi d\u2019accesso, i criminali informatici sono stati in grado di scaricare e lanciare MysterySnail, un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/\" target=\"_blank\" rel=\"noopener\">Remote Access Trojan (RAT)<\/a> che d\u00e0 ai criminali informatici l\u2019accesso al sistema della vittima.<\/p>\n<h2>Che cosa fa MysterySnail<\/h2>\n<p>Il trojan inizia raccogliendo informazioni sul sistema infetto e le invia al server C&amp;C. Poi, attraverso MysterySnail, i criminali informatici possono impartire vari comandi. Per esempio, possono creare, leggere o eliminare un file specifico; creare o eliminare un processo; ottenere un elenco di directory; o aprire un canale proxy e inviare dati attraverso di esso.<\/p>\n<p>Le altre caratteristiche di MysterySnail includono la capacit\u00e0 di visualizzare l\u2019elenco delle unit\u00e0 collegate, di monitorare la connessione di unit\u00e0 esterne in background, e altro ancora. Il trojan pu\u00f2 anche lanciare la shell interattiva cmd.exe (copiando il file cmd.exe in una cartella temporanea con un nome diverso).<\/p>\n<h2>Attacchi attraverso CVE-2021-40449<\/h2>\n<p>L\u2019exploit per questa vulnerabilit\u00e0 copre una serie di sistemi operativi della famiglia Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) e Server 2019 (build 17763). Secondo i nostri esperti, l\u2019exploit esiste specificamente per escalation di privilegi sulle versioni server del sistema operativo.<\/p>\n<p>Dopo aver rilevato la minaccia, i nostri esperti hanno stabilito che l\u2019exploit e il malware MysterySnail che carica nel sistema hanno visto un ampio uso in operazioni di spionaggio contro le aziende IT, organizzazioni diplomatiche e aziende che lavorano per l\u2019industria della difesa.<\/p>\n<p>Grazie al Kaspersky Threat Attribution Engine, i nostri esperti sono stati in grado di trovare somiglianze nel codice e nella funzionalit\u00e0 di MysterySnail e il malware utilizzato dal gruppo IronHusky. Inoltre, un gruppo APT di lingua cinese ha utilizzato alcuni indirizzi del server C&amp;C di MysterySnail nel 2012.<\/p>\n<p>Per ulteriori informazioni sull\u2019attacco, compresa una descrizione dettagliata dell\u2019exploit e degli indicatori di compromissione, <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">cliccate sul nostro post su Securelist<\/a>.<\/p>\n<h2>Come proteggersi<\/h2>\n<p>Iniziate installando le ultime <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">patch di Microsoft<\/a> ed evitate di essere colpiti da future vulnerabilit\u00e0 zero-day installando robuste soluzioni di sicurezza che rilevino proattivamente e fermino lo sfruttamento delle vulnerabilit\u00e0 su tutti i computer con accesso a Internet. Le tecnologie Behavioral Detection Engine e Exploit Prevention, come quelle di <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>, hanno rilevato CVE-2021-40449.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Le nostre tecnologie di sicurezza hanno rilevato lo sfruttamento di una vulnerabilit\u00e0 precedentemente sconosciuta nel driver Win32k.<\/p>\n","protected":false},"author":2581,"featured_media":25785,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[294,1826,441,584,23],"class_list":{"0":"post-25784","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exploit","11":"tag-rat","12":"tag-trojan","13":"tag-vulnerabilita","14":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mysterysnail-cve-2021-40449\/23490\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/18967\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/9499\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/25567\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mysterysnail-cve-2021-40449\/23639\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mysterysnail-cve-2021-40449\/31702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mysterysnail-cve-2021-40449\/10158\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/42448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mysterysnail-cve-2021-40449\/15406\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mysterysnail-cve-2021-40449\/31798\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mysterysnail-cve-2021-40449\/24480\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mysterysnail-cve-2021-40449\/29842\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mysterysnail-cve-2021-40449\/29640\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25784","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25784"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25784\/revisions"}],"predecessor-version":[{"id":25794,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25784\/revisions\/25794"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/25785"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25784"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25784"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25784"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}