Due componenti di Windows sarebbero state sfruttate dagli hacker per diffondere malware.
Nuovi malware sfruttano Windows
Stando a quanto riportano i ricercatori di sicurezza di Google, alcune organizzazione di cybercriminali starebbero creando firme di codice non valide, ma ritenute legittime da Windows, per aggirare i software di sicurezza e diffondere il malware OpenSUpdater infettando i PC dei malcapitati.
Le firme del codice sugli eseguibili di Windows forniscono garanzie sull’integrità di un eseguibile firmato, nonché informazioni sull’identità del firmatario. Gli aggressori in grado di nascondere la propria identità nelle firme senza compromettere l’integrità della firma possono evitare il rilevamento più a lungo e prolungare la durata dei certificati di firma del codice per infettare più sistemi.
OpenSUpdater, una famiglia nota di software indesiderato che viola le nostre politiche ed è dannoso per l’esperienza dell’utente, viene utilizzato per scaricare e installare altri programmi sospetti. L’attore dietro OpenSUpdater cerca di infettare il maggior numero possibile di utenti e mentre non hanno un targeting specifico, la maggior parte degli obiettivi sembra trovarsi negli Stati Uniti ed è incline a scaricare crack di giochi e software in aree grigie.
I gruppi di campioni OpenSUpdater sono spesso firmati con lo stesso certificato di firma del codice, ottenuto da un’autorità di certificazione legittima. Da metà agosto, i campioni di OpenSUpdater hanno una firma non valida e ulteriori indagini hanno dimostrato che si trattava di un tentativo deliberato di eludere il rilevamento.
In un altro report dei ricercatori di sicurezza, alcuni hacker starebbero sfruttando una componente utilizzata nei firmware dei device dai produttori OEM denominata Windows Platform Binary Table (WPBT). Quest’ultima permetterebbe di eludere il rilevamento di Windows per installare rootkit dannosi sui PC.
Il team di ricerca di Eclypsium ha identificato un punto debole nella capacità WPBT di Microsoft che può consentire a un utente malintenzionato di eseguire codice dannoso con i privilegi del kernel all’avvio di un dispositivo. WPBT è una funzionalità che consente agli OEM di modificare il sistema operativo host durante l’avvio per includere driver, applicazioni e contenuti specifici del fornitore. La compromissione di questo processo può consentire a un utente malintenzionato di installare un rootkit compromettendo l’integrità del dispositivo.
Il problema deriva dal fatto che mentre Microsoft richiede la firma di un binario WPBT, accetterà un certificato scaduto o revocato. Ciò significa che un utente malintenzionato può firmare un file binario dannoso con qualsiasi certificato scaduto prontamente disponibile. Questo problema riguarda tutti i dispositivi basati su Windows che tornano a Windows 8 quando è stato introdotto per la prima volta WPBT. Abbiamo dimostrato con successo l’attacco ai moderni PC Secured-core
che eseguono le più recenti protezioni di avvio.Questa debolezza può essere potenzialmente sfruttata tramite più vettori (ad es. accesso fisico, remoto e catena di approvvigionamento) e con più tecniche (ad es. bootloader dannoso, DMA, ecc.). Le organizzazioni dovranno prendere in considerazione questi vettori e utilizzare un approccio a più livelli alla sicurezza per garantire che tutte le correzioni disponibili vengano applicate e identificare eventuali potenziali compromessi per i dispositivi.
Che ne pensate di questa vicenda? Vi fidate dei sistemi di protezione di Windows? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonti | 1, 2
