Almeno 11 gruppi di hacker sponsorizzati dallo stato dalla Corea del Nord, Iran, Russia, e la Cina hanno sfruttato attivamente un sistema operativo Windows appena scoperto vulnerabilità zero-day nello spionaggio informatico e negli attacchi di furto di dati da 2017. Nonostante le chiare prove di sfruttamento, Microsoft ha rifiutato di rilasciare un aggiornamento di sicurezza per risolvere il problema.
Microsoft rifiuta di applicare la patch ZDI-CAN-25373
I ricercatori di sicurezza Pietro Girnus e Aliakbar Zahravi dall'iniziativa Zero Day di Trend Micro (noto in breve come ZDI) ha rivelato che quasi 1,000 Collegamento a conchiglia (.LNK) Campioni sfruttando questa vulnerabilità, tracciato come Codice articolo ZDI-CAN-25373, sono stati identificati. Si stima che il numero effettivo di tentativi di sfruttamento sia molto più alto.
I ricercatori hanno presentato una verifica teorica (PoC) exploit tramite il programma bug bounty di Trend Micro ZDI. Tuttavia, Microsoft ha classificato la vulnerabilità come “non soddisfa i requisiti per il servizio” e ha rifiutato di correggerlo.
Spionaggio globale e furto di dati su larga scala
Gli attori della minaccia hanno fatto leva Codice articolo ZDI-CAN-25373 in attacchi informatici diffusi in tutto il mondo Nord America, Sud America, Europa, Asia orientale, e Australia. La maggior parte di questi attacchi, in giro per 70%, sono stati collegati allo spionaggio e al furto di dati, mentre i motivi finanziari hanno rappresentato circa 20%.
Tra i gruppi di hacker che sfruttano questa vulnerabilità ci sono noti attori sponsorizzati dallo stato come Il male Corp, APT43 (Kimsuky), Amaro, APT37, Panda Mustang, Vento laterale, Hotel Rosso, e Konni. Queste I criminali informatici APT hanno distribuito diversi payload di malware, Compreso Ursnif, Gh0st RAT, e Trucco bot, facendo uso di il malware-as-a-service piattaforme per espandere ulteriormente la loro portata.
Come funziona la vulnerabilità?
La vulnerabilità zero-day di Windows è causata da un Interfaccia utente (UI) Falsa rappresentazione di informazioni critiche debolezza. Sfrutta il modo in cui Windows gestisce .lnk file di collegamento, consentendo agli aggressori di eseguire codice arbitrario sui dispositivi presi di mira, eludendo il rilevamento.
Gli aggressori manipolano .lnk file inserendo argomenti nascosti della riga di comando utilizzando spazi vuoti riempiti, che può assumere la forma di caratteri esadecimali codificati, come:
\x20(Spazio)\x09(Scheda orizzontale)\x0A(avanzamento di riga)\x0B(Scheda verticale)\x0C(Avanzamento modulo)\x0D(Ritorno a capo)
Questi spazi nascosti impediscono agli utenti di visualizzare argomenti dannosi nell'interfaccia utente di Windows, consentendo agli aggressori di eseguire comandi furtivamente.
Microsoft deve ancora assegnare un Identificazione CVE a questa vulnerabilità, mentre Trend Micro continua a monitorarlo come Codice articolo ZDI-CAN-25373. Il problema è abbastanza simile a un'altra vulnerabilità, CVE-2024-43461, che è stato utilizzato dal gruppo APT Void Banshee per lanciare attacchi in tutto il Nord America, Europa, e Asia sud-orientale. Microsoft ha corretto CVE-2024-43461 durante il mese di settembre 2024 Patch Martedì.
Nonostante le crescenti preoccupazioni dei ricercatori sulla sicurezza, Microsoft non ha fornito alcuna indicazione che una patch per Codice articolo ZDI-CAN-25373 verrà rilasciato, lasciando gli utenti Windows esposti a continue minacce informatiche.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: