Microsoft ha rilasciato ieri sera gli aggiornamenti cumulativi per Windows 11 24H2, 23H2 e 22H2. Tra le patch di sicurezza c’è quella che risolve una vulnerabilità zero-day presente nel Common Log File System (CLFS) e sfruttata per installare una backdoor.
Descrizione della vulnerabilità
La vulnerabilità, indicata con CVE-2024-29824, è presente anche in Windows 10. Microsoft ha comunicato che la patch sarà disponibile nei prossimi giorni, quindi non è inclusa dell’aggiornamento cumulativo distribuito ieri sera. L’azienda di Redmond ha rilevato attacchi contro aziende in Spagna, Australia, Sud Africa e Stati Uniti. Gli autori sono i cybercriminali del gruppo Storm-2460 (RansomEXX).
La vulnerabilità consente di ottenere privilegi SYSTEM senza l’interazione dell’utente. Microsoft non ha scoperto l’iniziale vettore di accesso ai dispositivi, ma quasi certamente è stato scaricato un file infetto da un sito di terze parti. L’eseguibile nasconde la backdoor PipeMagic che sfrutta la vulnerabilità del driver CLFS per caricare in memoria l’exploit da un processo dllhost.exe.
Successivamente viene effettuato il dump della memoria del processo LSASS e recuperate le credenziali di login. L’ultimo step della catena di infezione prevede la cifratura dei file e l’installazione di un ransomware. Nel file di testo copiato su disco ci sono due domini .onion che la vittima deve visitare per contattare i cybercriminali e avviare la negoziazione sul riscatto.
Anche se gli obiettivi sono aziende e non utenti privati è meglio installare subito gli aggiornamenti cumulativi per Windows 11 24H2/23H2/22H2 che includono le patch di sicurezza per altre vulnerabilità.
Ti potrebbe interessare
9 apr 2025