Almeno 21 gruppi di cybercriminali, tra cui il noto Lazarus, hanno sfruttato una nuova vulnerabilità zero-day di Windows. Come scoperto dai ricercatori di Trend Micro è presente almeno dal 2017. Permette di rubare dati ed effettuare attività di cyberspionaggio. Microsoft ha promesso di rilasciare una patch.
Problema con i file LNK
La vulnerabilità zero-day è dovuta all’errata visualizzazione di informazioni critiche relative ai file LNK. L’interfaccia di Windows non mostra correttamente il contenuto del campo Destinazione nella scheda Collegamento delle proprietà, quindi i cybercriminali possono ingannare l’utente ed eseguire codice sul computer.
Il trucco è aggiungere spazi bianchi al comando presente nel campo Destinazione. Questi spazi bianchi sono rappresentati da speciali codici esadecimali che non vengono mostrati da Windows. I cybercriminali possono anche cambiare l’icona associata, ingannando gli utenti.
Quando l’ignara vittima clicca due volte sul file viene eseguito il codice nascosto. È possibile quindi scaricare malware che ruba dati sensibili dal computer o permette di avviare attività di cyberspionaggio tramite spyware. Ovviamente è necessaria l’interazione dell’utente (la visita di un sito o l’apertura del file).
Come scritto nel bollettino di sicurezza, Trend Micro ha segnalato la vulnerabilità il 20 settembre 2024. Microsoft ha risposto una settimana dopo, dicendo che non rilascerà una patch di sicurezza. I ricercatori hanno fornito ulteriori dettagli, ricevendo la stessa risposta.
Pochi giorni fa, un portavoce dell’azienda di Redmond ha comunicato che Microsoft Defender può rilevare questa minaccia, mentre la funzionalità Smart App Control (Controllo intelligente delle app) blocca il download di file infetti da Internet. Anche se il problema non soddisfa le linee guida sulla classificazione delle vulnerabilità verrà rilasciata una patch con i futuri aggiornamenti.
Ti potrebbe interessare
21 mar 2025