Microsoft contro le patch malevole a caldo

Redmond svela un'operazione contro un gruppo di cyber-criminali asiatici attivi da anni, capaci di sfruttare i meccanismi di aggiornamento propri di Windows per rubare informazioni riservate
Redmond svela un'operazione contro un gruppo di cyber-criminali asiatici attivi da anni, capaci di sfruttare i meccanismi di aggiornamento propri di Windows per rubare informazioni riservate

Gli esperti di sicurezza del Microsoft Malware Protection Center hanno svelato i particolari dell’operazione Platinum, condotta contro un gruppo di cyber-criminali che negli anni passati hanno preso di mira bersagli di alto profilo in territorio asiatico.

Attivo dal 2009, il gruppo di cyber-criminali che Redmond ha classificato come Platinum ha infatti compromesso organizzazioni governative e militari, agenzie di intelligence, provider di telecomunicazioni e altro ancora.

La tecnica di infiltrazione più comune prevedeva l’uso di campagne di spear-phishing per compromettere le credenziali di accesso di altro profilo, spiega Microsoft, e da lì i criminali hanno potuto sfruttare un meccanismo di aggiornamento di Windows poco noto ma potenzialmente molto pericoloso chiamato “hotpatching”.

Introdotto inizialmente con Windows Server 2003, il succitato meccanismo delle “patch a caldo” permette di aggiornare i componenti del sistema operativo (eseguibili, DLL e non) senza necessità di riavvio: Microsoft stessa ha usato l’hotpatching per 10 update a Windows Server 2003, mentre il meccanismo è stato rimosso da Windows con Windows 8.

I cracker di Platinum hanno compromesso la funzionalità di hotpatching di Windows e sono riusciti a passare inosservati per anni, spiega Redmond, e solo grazie all’uso dei feedback di dati anonimizzati degli utenti Windows la corporation è riuscita a identificare la minaccia.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

28 04 2016
Link copiato negli appunti