PuzzleMaker: attacco contro Windows 10 e Chrome

PuzzleMaker: attacco contro Windows 10 e Chrome

Microsoft ha risolto due vulnerabilità zero-day che permettevano l'esecuzione di malware su Windows 10 attraverso una vulnerabilità di Chrome.
Microsoft ha risolto due vulnerabilità zero-day che permettevano l'esecuzione di malware su Windows 10 attraverso una vulnerabilità di Chrome.

Gli esperti di Kaspersky hanno scoperto una serie di attacchi effettuati contro varie aziende attraverso una catena di exploit zero-day per Chrome e Windows 10. La vulnerabilità del browser, presente nel motore JavaScript V8, è stata risolta da Google a fine aprile. Le due vulnerabilità, presenti nel kernel di Windows 10, sono state risolte da Microsoft con le patch rilasciate ieri sera.

PuzzleMaker: attacco combinato

Gli attacchi sono state effettuati mediante l'esecuzione di codice remoto, sfruttando il bug del motore JavaScript V8 di Chrome. Per eludere la sandbox e ottenere i privilegi di accesso (SYSTEM) sono stati sfruttati i due bug di Windows 10. La prima vulnerabilità, identificata con CVE-2021-31955, era presente nella funzionalità SuperFetch che riduce i tempi di avvio delle applicazioni pre-caricando in memoria quelle più usate.

La seconda vulnerabilità, identificata con CVE-2021-31956, era dovuta al buffer overflow in ntfs.sys. Utilizzando le due vulnerabilità di Windows 10 e quella di Chrome, il gruppo PuzzleMaker (nome assegnato da Kaspersky) ha installato sui computer delle vittime un malware composto da quattro moduli (stager, dropper, service e remote shell).

Il modulo stager notifica il successo dell'attacco e scarica il modulo dropper da un server remoto. Il modulo dropper installa due eseguibili con nomi identici a quelli di due file Windows, ovvero il servizio WmiPrvMon.exe e la remote shell wmimon.dll. Quest'ultima può scaricare altri file infetti dal server remoto.

Oltre alle due elencate, Microsoft ha risolto altre quattro vulnerabilità zero-day. Con il Patch Tuesday di ieri sono state chiuse in totale 50 falle di sicurezza in vari software, tra cui Excel. Gli aggiornamenti cumulativi sono KB5003637 per Windows 10 21H1/20H2/2004 e KB5003635 per Windows 10 1909. Con questi update è disponibile per tutti la funzionalità Notizie e interessi.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

09 06 2021
Link copiato negli appunti