Windows, vulnerabilità zero-day di IE11 concatenate in attacchi mirati

Windows, vulnerabilità zero-day di IE11 concatenate in attacchi mirati

Un hacker avanzato ha sfruttato una delle due vulnerabilità zero-day che Microsoft ha corretto martedì con un attacco mirato all'inizio di quest'anno.

L'esperto ha incatenato due falle in Windows, entrambe sconosciute al momento dell'attacco, nel tentativo di ottenere l'esecuzione di codice remoto e aumentare i propri privilegi su una macchina compromessa.

IE: la porta per Windows 10

Lo sforzo dannoso è avvenuto a maggio e ha preso di mira un'azienda sudcoreana. I ricercatori di Kaspersky ritengono che questa possa essere un'operazione di DarkHotel, un gruppo di hacker che probabilmente opera in una forma o nell'altra per più di un decennio.

Soprannominato "Operazione PowerFall", l'attacco si basava su una vulnerabilità di esecuzione di codice in modalità remota (RCE) in Internet Explorer 11, ora tracciata come CVE-2020-1380, e un difetto nell'API dello spooler di stampa / stampa GDI di Windows che consente l'escalation dei privilegi, ora identificato come CVE-2020-0986.

Il bug RCE è un use-after-free nel motore JavaScript in Internet Explorer a partire dalla versione 9. IE 11 continua a essere presente su Windows 10 per supportare le applicazioni che si basano su di esso per varie funzionalità (ad esempio Microsoft Office, per mostrare contenuti video incorporati nei documenti).

Boris Larin di Kaspersky, che ha scoperto e segnalato CVE-2020-1380 a Microsoft l'8 giugno, ha rilasciato oggi il codice proof-of-concept per attivare la vulnerabilità insieme a una spiegazione tecnica per aiutare a capirla meglio.

Sebbene il punteggio di gravità del Common Vulnerability Scoring System (CVSS) sia 7,5 su 10, Microsoft lo ha valutato come critico per i computer Windows 10.

L'hacker ha usato rapidamente i dettagli di 0day

Dopo aver ottenuto l'accesso remoto al computer di destinazione, l'attore della minaccia ha utilizzato un modulo che ha creato un file denominato "ok.exe", che sfrutta CVE-2020-0986 per eseguire codice dannoso con privilegi elevati.

Microsoft ha ricevuto una segnalazione per questa vulnerabilità nel dicembre 2019 da una fonte anonima, tramite Zero Day Initiative (ZDI) di Trend Micro, ma ha ritardato il rilascio di una patch fino al 9 giugno.

Dopo sei mesi di inattività da parte di Microsoft, ZDI ha pubblicato un advisory il 19 maggio 2020. Larin afferma che il problema è stato sfruttato il giorno successivo dagli attori dietro Operation PowerFall.

L'attacco è stato rilevato e bloccato dalla tecnologia Kaspersky prima che il payload atterrasse sulla macchina compromessa, il che ha negato ai ricercatori l'opportunità di analizzarlo e possibilmente collegarlo a un avversario noto.

Tuttavia, gli exploit hanno alcune somiglianze con altri analizzati in passato e suggeriscono che DarkHotel potrebbe essere coinvolto.

Sebbene ci siano pochi dati per determinare il vettore di infezione iniziale, Larin ha detto che "lo sfruttamento con un documento Office dannoso potrebbe essere possibile perché MS Office utilizza IE per visualizzare i contenuti web".

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.