Il worm russo all'attacco dello 0-day di Windows

La società di sicurezza iSight Partners ha svelato l’esistenza di “SandWorm”, un codice malevolo progettato per sfruttare una vulnerabilità 0-day presente all’interno di tutte le versioni di Windows supportate (ma non su XP) e già adoperata da ignoti cracker russi per condurre una campagna di cyber-spionaggi ai danni della NATO. La vulnerabilità (CVE-2014-4114) riguarda sia i sistemi Windows per desktop (Vista, 7, 8) che Server, ed è presente a causa del modo in cui l’OS Microsoft tratta un pacchetto OLE in forma di DLL; un malintenzionato può sfruttare la falla per scaricare e lanciare gli eseguibili indicati in un file .inf , mandando quindi in esecuzione codice malevolo da remoto.

Come spiegato da iSight, la falla è già stata attivamente sfruttata dai cracker in una campagna di cyber-spionaggio a opera dei soliti black hat russi che ha preso di mira NATO, governi dell’Ucraina e dell’Europa occidentale, aziende impegnate nel settore dell’energia eolica (in Polonia), aziende di telecomunicazioni europee e organizzazioni accademiche statunitensi.

Gli attacchi – di tipo spear-phishing – vengono condotti per mezzo di un file PowerPoint “armato” per sfruttare la vulnerabilità, spiega la società, mentre per quanto riguarda l’eventuale furto di dati sensibili o riservati non sono al momento disponibili dettagli specifici.

La vulnerabilità ribattezzata SandWorm – a causa dei continui riferimenti al classico sci-fi di Frank Herbert, Dune, dice iSight – ha oramai fatto i suoi danni ma non tutto è perduto: gli aggiornamenti in arrivo oggi con il Patch Tuesday mensile dovrebbero servire (anche) a chiudere il bug incriminato.

Alfonso Maruccia