Akamai, leader globale di cybersecurity e cloud computing che abilita e protegge il business online, ha pubblicato una nuova ricerca condotta dal suo esperto di sicurezza Ori David, che mette in luce un inedito vettore di attacco informatico. Lo studio dimostra come gli attaccanti possano sfruttare enclavi VBS (Virtualization-Based Security) di Windows per sviluppare malware estremamente elusivi e difficili da rilevare, ponendo nuove sfide per aziende e utenti.
I VBS enclave, introdotti da Microsoft per rafforzare la sicurezza, consentono di isolare sezioni di memoria del sistema, rendendole inaccessibili ai processi standard, al kernel e agli strumenti di analisi forense. Tuttavia, questa tecnologia può essere sfruttata in modo malevolo per nascondere codice dannoso, rendendolo invisibile anche ai software di sicurezza più avanzati.
La ricerca di Akamai evidenzia diverse tecniche che potrebbero essere impiegate dai cybercriminali per eseguire codice malevolo all’interno di un VBS enclave, tra cui:
- Abuso di vulnerabilità del sistema: sfruttando falle di sicurezza, come CVE-2024-49706, è possibile caricare codice non firmato in un enclave, bypassando i meccanismi di protezione.
- Uso di enclavi vulnerabili: attori malevoli potrebbero sfruttare enclavi legittime ma affette da vulnerabilità per eseguire codice dannoso, in un approccio simile al “Bring Your Own Vulnerable Driver” (BYOVD).
- Tecnica Mirage: un metodo innovativo che utilizza enclavi compromessi per nascondere payload malevoli in memoria, impedendo la loro rilevazione da parte dei software di protezione.
Per contrastare questa nuova minaccia, i ricercatori di Akamai suggeriscono alcune strategie efficaci per identificare e mitigare potenziali attacchi basati su enclavi VBS:
- Monitoraggio delle API di enclave: tracciare chiamate a funzioni come CreateEnclave e CallEnclave può indicare attività sospette.
- Rilevamento di DLL sospette: individuare il caricamento di file come Vertdll.dll e ucrtbase_enclave.dll in processi non convenzionali potrebbe rivelare la presenza di malware.
- Definizione di baseline comportamentali: comprendere quali applicazioni legittime utilizzano enclavi può facilitare l’identificazione di anomalie.
Sebbene l’utilizzo di malware basati su enclavi VBS sia ancora un concetto sperimentale, gli esperti di Akamai avvertono che minacce di questo tipo potrebbero diventare sempre più diffuse con la crescente adozione di questa tecnologia. È quindi fondamentale che le organizzazioni implementino misure di sicurezza proattive per prevenire potenziali abusi e proteggere i propri sistemi.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.
Per maggiori dettagli è possibile consultare il blogpost al seguente link.
