Windows, vulnerabilità zero-day di IE11 concatenate in attacchi mirati
13 Agosto 2020 - Tempo di lettura: 7 minuti
Un hacker avanzato ha sfruttato una delle due vulnerabilità zero-day che Microsoft ha corretto martedì con un attacco mirato all'inizio di quest'anno.
L'esperto ha incatenato due falle in Windows, entrambe sconosciute al momento dell'attacco, nel tentativo di ottenere l'esecuzione di codice remoto e aumentare i propri privilegi su una macchina compromessa.
IE: la porta per Windows 10
Lo sforzo dannoso è avvenuto a maggio e ha preso di mira un'azienda sudcoreana. I ricercatori di Kaspersky ritengono che questa possa essere un'operazione di DarkHotel, un gruppo di hacker che probabilmente opera in una forma o nell'altra per più di un decennio.
Soprannominato "Operazione PowerFall", l'attacco si basava su una vulnerabilità di esecuzione di codice in modalità remota (RCE) in Internet Explorer 11, ora tracciata come CVE-2020-1380, e un difetto nell'API dello spooler di stampa / stampa GDI di Windows che consente l'escalation dei privilegi, ora identificato come CVE-2020-0986.
Il bug RCE è un use-after-free nel motore JavaScript in Internet Explorer a partire dalla versione 9. IE 11 continua a essere presente su Windows 10 per supportare le applicazioni che si basano su di esso per varie funzionalità (ad esempio Microsoft Office, per mostrare contenuti video incorporati nei documenti).
Boris Larin di Kaspersky, che ha scoperto e segnalato CVE-2020-1380 a Microsoft l'8 giugno, ha rilasciato oggi il codice proof-of-concept per attivare la vulnerabilità insieme a una spiegazione tecnica per aiutare a capirla meglio.
Sebbene il punteggio di gravità del Common Vulnerability Scoring System (CVSS) sia 7,5 su 10, Microsoft lo ha valutato come critico per i computer Windows 10.
L'hacker ha usato rapidamente i dettagli di 0day
Dopo aver ottenuto l'accesso remoto al computer di destinazione, l'attore della minaccia ha utilizzato un modulo che ha creato un file denominato "ok.exe", che sfrutta CVE-2020-0986 per eseguire codice dannoso con privilegi elevati.
Microsoft ha ricevuto una segnalazione per questa vulnerabilità nel dicembre 2019 da una fonte anonima, tramite Zero Day Initiative (ZDI) di Trend Micro, ma ha ritardato il rilascio di una patch fino al 9 giugno.
Dopo sei mesi di inattività da parte di Microsoft, ZDI ha pubblicato un advisory il 19 maggio 2020. Larin afferma che il problema è stato sfruttato il giorno successivo dagli attori dietro Operation PowerFall.
L'attacco è stato rilevato e bloccato dalla tecnologia Kaspersky prima che il payload atterrasse sulla macchina compromessa, il che ha negato ai ricercatori l'opportunità di analizzarlo e possibilmente collegarlo a un avversario noto.
Tuttavia, gli exploit hanno alcune somiglianze con altri analizzati in passato e suggeriscono che DarkHotel potrebbe essere coinvolto.
Sebbene ci siano pochi dati per determinare il vettore di infezione iniziale, Larin ha detto che "lo sfruttamento con un documento Office dannoso potrebbe essere possibile perché MS Office utilizza IE per visualizzare i contenuti web".
