Circa una dozzina di gruppi nazionali provenienti da Corea del Nord, Cina e Russia stanno sfruttando una vulnerabilità che colpisce una funzionalità comunemente utilizzata di Microsoft Windows.
I ricercatori della Zero Day Initiative (ZDI) hanno affermato di aver identificato diverse campagne che sfruttano il bug, che colpisce i collegamenti di Windows o file .lnk, a partire dal 2017.
Microsoft non ha assegnato un numero CVE (Common Vulnerabilities and Exposures), ma ZDI, che fa parte della società di sicurezza informatica Trend Micro, lo ha contrassegnato come ZDI-CAN-25373.
La vulnerabilità si verifica nel modo in cui Windows visualizza il contenuto dei collegamenti, secondo ZDI. Questi file, noti anche come collegamenti shell, consentono agli utenti Windows di fare clic rapidamente su un file, una cartella o un'applicazione in un'altra parte del sistema.
"Dato che Windows sopprime sempre la visualizzazione dell'estensione .lnk, gli autori delle minacce spesso aggiungono un'estensione 'spoof' come .pdf.lnk insieme a un'icona corrispondente per ingannare ulteriormente gli utenti. Un file .lnk avrà solitamente una freccia sul lato inferiore sinistro dell'icona."
Hanno trovato quasi 1.000 campioni che sfruttano il bug, ma hanno ipotizzato che il numero totale di tentativi di sfruttamento “sia molto più alto”.
ZDI afferma di aver contattato Microsoft con un exploit proof-of-concept, ma il gigante della tecnologia ha rifiutato di creare una patch per la vulnerabilità. L'azienda ha affermato che Microsoft "ha classificato questo come di bassa gravità e non verrà patchato nell'immediato futuro".
In alcuni commenti a Recorded Future News, un portavoce di Microsoft ha affermato che il loro prodotto di sicurezza informatica Defender "ha rilevatori in atto per rilevare e bloccare questa attività di minaccia". Hanno aggiunto che Smart App Control blocca anche i file dannosi da Internet.
"Sebbene l'esperienza [dell'interfaccia utente] descritta nel rapporto non soddisfi i requisiti per un servizio immediato in base alle nostre linee guida di classificazione della gravità, prenderemo in considerazione la possibilità di affrontarla in una futura versione della funzionalità", hanno affermato.
Il portavoce ha osservato che Windows identifica i file di collegamento come potenzialmente pericolosi e che il tentativo di aprire un file .lnk scaricato da Internet attiva automaticamente un avviso di sicurezza che consiglia agli utenti di non aprire file provenienti da fonti sconosciute.
Microsoft ha affermato che le tattiche descritte da ZDI hanno “un’utilità pratica limitata per gli aggressori”.
'Collaborazione trasversale'
Solo il 20% delle campagne analizzate dai ricercatori era incentrato sul guadagno finanziario, mentre circa il 70% era finalizzato allo spionaggio e al furto di informazioni.
Gli hacker hanno preso di mira principalmente enti governativi, aziende legate alle criptovalute, think tank, società di telecomunicazioni, organizzazioni militari e di difesa e altro ancora, ha affermato ZDI.
La stragrande maggioranza delle vittime identificate da ZDI (oltre 300) si trova negli Stati Uniti, mentre decine di altre sono sparse tra Canada, Russia, Corea del Sud, Vietnam e Brasile.
ZDI ha inoltre monitorato le tattiche utilizzate da ciascun gruppo, rilevando che l'APT37 della Corea del Nord e altri gruppi in genere utilizzavano file .lnk di grandi dimensioni con grandi quantità di spazi vuoti e altri contenuti indesiderati per eludere ulteriormente il rilevamento.
L'azienda ha avvertito che il bug è un esempio del fatto che i gruppi statali fanno sempre più affidamento sulle vulnerabilità zero-day negli attacchi ai settori critici.
"Queste vulnerabilità presentano rischi sostanziali, poiché prendono di mira difetti che rimangono sconosciuti ai fornitori di software e non dispongono delle corrispondenti patch di sicurezza, lasciando così governi e organizzazioni vulnerabili allo sfruttamento", hanno affermato.
"Con l'aumento delle tensioni e dei conflitti geopolitici, si prevede un aumento della sofisticatezza degli attori delle minacce e dell'utilizzo delle vulnerabilità zero-day, poiché sia gli stati nazionali che i criminali informatici si sforzano di ottenere un vantaggio competitivo sui loro avversari".
Nessun commento:
Posta un commento