All’inizio del 2021, i ricercatori di Kaspersky, dopo un’analisi approfondita dell’exploit CVE-2021-1732 exploit utilizzato dal gruppo APT BITTER, avevano individuato un nuovo exploit zero-day attualmente non ricollegabile a nessun threat actor noto.
Per vulnerabilità zero-day si intende un bug software sconosciuto. Prima di essere identificati consentono agli attaccanti di condurre attività dannose in incognito, con conseguenze inaspettate e disastrose.
Nel mese di febbraio gli esperti di Kaspersky hanno analizzato l’exploit CVE-2021-1732, e hanno individuato e segnalato a Microsoft un secondo exploit. Dopo aver accertato che si trattasse effettivamente di uno zero-day, lo hanno denominato CVE-2021-28310.
Secondo i ricercatori, questo exploit è stato utilizzato in the wild da diversi threat actor. Si tratta di una Escalation of Privilege (EoP) individuato in Desktop Window Manager, che permette agli attaccanti l’esecuzione arbitraria di codice sul dispositivo della vittima.
È probabile che l’exploit venga utilizzato insieme ad altri exploit del browser per non essere rilevato dalla sandbox o per ottenere privilegi di sistema ed effettuare ulteriori accessi.
L’indagine preliminare di Kaspersky non ha rilevato l’intera catena di infezioni per cui non è ancora chiaro se l’exploit venga utilizzato con un altro zero-day o distribuito sfruttando vulnerabilità note per cui era già stata predisposta una patch.
“Lo zero-day è stato subito identificato dalla nostra tecnologia avanzata di prevenzione degli exploit e dai relativi registri di rilevamento. Infatti, le tecnologie di protezione degli exploit che abbiamo recentemente integrato nei nostri prodotti hanno rilevato diversi zero-day, dimostrando la loro efficacia più volte. Continueremo a proteggere i nostri utenti migliorando le nostre tecnologie e lavorando con vendor di terze parti per distribuire patch per le vulnerabilità note, rendendo internet più sicuro per tutti”, ha dichiarato Boris Larin, esperto di sicurezza di Kaspersky.
Maggiori informazioni su BITTER APT e IOC sono disponibili su richiesta per i clienti del servizio Kaspersky Intelligence Reporting: intelreports@kaspersky.com.
Una patch per la vulnerabilità Escalation of Privilege CVE-2021-28310 è stata rilasciata il 13 aprile 2021.
I prodotti di Kaspersky rilevano questo exploit con i seguenti nomi:
⦁ HEUR:Exploit.Win32.Generic
⦁ HEUR:Trojan.Win32.Generic
⦁ PDM:Exploit.Win32.Generic
Per proteggersi da questa minaccia, Kaspersky raccomanda di:
⦁ Installare le patch per nuove vulnerabilità non appena disponibili per evitare che i threat actor le possano sfruttare.
⦁ Dotarsi di una ⦁ soluzione di protezione degli endpoint con funzionalità di gestione delle vulnerabilità e delle patch. Queste funzionalità possono semplificare significativamente il compito dei responsabili della sicurezza IT.
⦁ Fornire ai team SOC l’accesso alla più recente threat intelligence (TI). ⦁ Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati e approfondimenti sugli attacchi informatici raccolti da Kaspersky in oltre 20 anni di esperienza.
⦁ Oltre ad adottare una protezione di base per gli endpoint, implementare una soluzione di sicurezza di livello aziendale che rilevi le minacce avanzate a livello di rete nella fase iniziale, come ⦁ Kaspersky Anti Targeted Attack Platform.
Maggiori dettagli sui nuovi exploit sono disponibili su Securelist.
Per scoprire quali tecnologie hanno rilevato questo e altri zero-days in Microsoft Windows, è possibile iscriversi a un webinar di Kaspersky a questo link.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/