Gli esperti di Kaspersky hanno scoperto una serie di attacchi effettuati contro varie aziende attraverso una catena di exploit zero-day per Chrome e Windows 10. La vulnerabilità del browser, presente nel motore JavaScript V8, è stata risolta da Google a fine aprile. Le due vulnerabilità, presenti nel kernel di Windows 10, sono state risolte da Microsoft con le patch rilasciate ieri sera.
PuzzleMaker: attacco combinato
Gli attacchi sono state effettuati mediante l’esecuzione di codice remoto, sfruttando il bug del motore JavaScript V8 di Chrome. Per eludere la sandbox e ottenere i privilegi di accesso (SYSTEM) sono stati sfruttati i due bug di Windows 10. La prima vulnerabilità, identificata con CVE-2021-31955, era presente nella funzionalità SuperFetch che riduce i tempi di avvio delle applicazioni pre-caricando in memoria quelle più usate.
La seconda vulnerabilità, identificata con CVE-2021-31956, era dovuta al buffer overflow in ntfs.sys
. Utilizzando le due vulnerabilità di Windows 10 e quella di Chrome, il gruppo PuzzleMaker (nome assegnato da Kaspersky) ha installato sui computer delle vittime un malware composto da quattro moduli (stager, dropper, service e remote shell).
Il modulo stager notifica il successo dell’attacco e scarica il modulo dropper da un server remoto. Il modulo dropper installa due eseguibili con nomi identici a quelli di due file Windows, ovvero il servizio WmiPrvMon.exe
e la remote shell wmimon.dll
. Quest’ultima può scaricare altri file infetti dal server remoto.
Oltre alle due elencate, Microsoft ha risolto altre quattro vulnerabilità zero-day. Con il Patch Tuesday di ieri sono state chiuse in totale 50 falle di sicurezza in vari software, tra cui Excel. Gli aggiornamenti cumulativi sono KB5003637 per Windows 10 21H1/20H2/2004 e KB5003635 per Windows 10 1909. Con questi update è disponibile per tutti la funzionalità Notizie e interessi.