Microsoft ha rilasciato lo scorso 12 novembre gli aggiornamenti cumulativi per Windows 11 22H2/23H2/24H2 e Windows 10 22H2 che correggono due vulnerabilità zero-day. Una di esse è stata sfruttata da cybercriminali russi per colpire organizzazioni ucraini con SparkRAT.
Phishing e accesso remoto
La vulnerabilità CVE-2024-43451 è stata scoperta dai ricercatori ClearSky nel mese di giugno. Può essere sfruttata per rubare gli hash NTLMv2 degli utenti collegati ad un server remoto controllato dai cybercriminali. La catena di infezione prevede innanzitutto l’invio di email di phishing che proviene da un server precedentemente compromesso.
Nel messaggio è presente un link che dovrebbe permettere il rinnovo di una certificazione accademica. In realtà viene scaricato un archivio ZIP che contiene un file URL. Quando l’ignara vittima interagisce con l’URL (tasto destro, spostamento o cancellazione) viene stabilita una connessione con un server remoto, dal quale viene scaricato SparkRAT che consente di prendere il controllo del computer.
Contemporaneamente vengono rubati gli hash NTLMv2 tramite protocollo SMB. Le credenziali di login possono essere decifrate con vari tool. Dopo aver ricevuto i dettagli da ClearSky, Microsoft ha corretto la vulnerabilità zero-day con le patch per Windows 11 e 10. Gli utenti devono quindi installare gli ultimi aggiornamenti tramite Windows Update.
Anche se questo tipo di attacco è stato sfruttato da altri cybercriminali in passato, gli esperti di ClearSky ritengono che gli autori siano il gruppo russo UAC-0194. La CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha ordinato alle aziende di installare la patch entro il 3 dicembre.
Ti potrebbe interessare
18 nov 2024