Con l’ultimo aggiornamento cumulativo di ottobre, Microsoft ha incluso molte patch di sicurezza per alcune vulnerabilità di Windows 10 e 11.

Corrette quattro vulnerabilità 0-day

Microsoft ha annunciato di aver corretto 74 falle scoperte recentemente, di cui 3 classificate come critiche e 4 0-day dopo quelle scoperte gli scorsi mesi. Nello specifico, sono state patchate due vulnerabilità 0-day, tra cui CVE-2021-40469, CVE-2021-41335, CVE-2021-41338 e CVE-2021-40449, quest’ultima sfruttata attivamente da un gruppo di hacker cinesi per diffondere malware ai fini di spionaggio di aziende e altri enti.

Alla fine di agosto e all’inizio di settembre 2021, le tecnologie Kaspersky hanno rilevato attacchi con l’utilizzo di un exploit di elevazione dei privilegi su più server Microsoft Windows. L’exploit aveva numerose stringhe di debug da un exploit precedente e pubblicamente noto per la vulnerabilità CVE-2016-3309, ma un’analisi più attenta ha rivelato che si trattava di un 0-day. Abbiamo scoperto che stava usando una vulnerabilità precedentemente sconosciuta nel driver Win32k e lo sfruttamento si basa molto su una tecnica per far trapelare gli indirizzi di base dei moduli del kernel. Abbiamo prontamente segnalato questi risultati a Microsoft. La parte di divulgazione delle informazioni della catena di exploit è stata identificata come non aggirava un limite di sicurezza e pertanto non è stata corretta. Microsoft ha assegnato CVE-2021-40449 alla vulnerabilità use-after-free nel driver del kernel Win32k ed è stata patchata il 12 ottobre 2021, come parte della patch martedì di ottobre.

Oltre a trovare lo zero-day in natura, abbiamo analizzato il payload del malware utilizzato insieme all’exploit zero-day e abbiamo scoperto che varianti del malware sono state rilevate in campagne di spionaggio diffuse contro aziende IT, appaltatori militari/della difesa ed entità diplomatiche.

Chiamiamo questo gruppo di attività MysterySnail. La somiglianza del codice e il riutilizzo dell’infrastruttura C2 che abbiamo scoperto ci hanno permesso di collegare questi attacchi con l’attore noto come IronHusky e l’attività APT di lingua cinese risalente al 2012.

Cosa ne pensate di questi problemi di vulnerabilità? Ritenete Windows sempre più sicuro? Diteci la vostra nei commenti.

Articolo di Windows Blog Italia
Fonti | BleepingComputer