I cybercriminali continuano a mettere alla prova Windows e, per fortuna, le nostre tecnologie proattive continuano a individuare questi tentativi, evitando che vadano a buon fine. Non è né la prima né la seconda volta, bensì la terza, che facciamo scoperte di questo tipo negli ultimi tre mesi. Questa volta, i nostri sistemi hanno rilevato il tentativo di sfruttare una vulnerabilità in Windows Kernel Transaction Manager.
Il nuovo exploit zero-day è stato impiegato per colpire diverse vittime in Asia e Medio Oriente. La vulnerabilità CVE-2018-8611 consentirebbe una privilege escalation nei casi in cui il kernel di Windows non riesca a gestire adeguatamente gli oggetti in memoria. E, in questo modo, i cybercriminali possono eseguire un codice arbitrario in kernel mode.
A livello pratico, ciò vuol dire che i cybercriminali possono installare programmi, visualizzare o modificare dati o persino creare nuovi account. Secondo i nostri esperti, l’exploit può essere utilizzato per evitare la sandbox sui browser web moderni, tra cui Chrome o Edge. Per maggiori dettagli tecnici, vi invitiamo a leggere il nostro post su Securelist; inoltre, maggiori informazioni sulla vulnerabilità CVE-2018-8611 e su chi ha provato a sfruttarla sono disponibili per tutti i nostri clienti di Kaspersky Intelligence Reports, basta soltanto scrivere a intelreports@kaspersky.com.
I nostri esperti hanno prontamente informato gli sviluppatori e Microsoft ha pubblicato da poco la patch corrispondente che corregge il modo in cui il kernel di Windows gestisce gli oggetti in memoria.
Come difendersi
Come sempre, un paio di consigli generali in caso di vulnerabilità:
- Non consideratevi al sicuro solamente perché le vittime interessate fino a questo momento non sono molte. Dalla sua scoperta, altri cybercriminali hanno provato a sfruttare la vulnerabilità, per cui la prima cosa da fare è installare immediatamente la patch;
- Aggiornate periodicamente tutti i software in uso in azienda;
- Avvaletevi di una soluzione di sicurezza dotata di funzionalità per l’analisi automatizzata delle vulnerabilità e per la gestione delle patch;
- Avvaletevi di una soluzione di sicurezza dotata di funzionalità di rilevamento “behaviour- based” per una protezione efficace contro le minacce sconosciute, exploit zero-day compresi.
Torniamo a sottolineare che si trattava di una vulnerabilità sconosciuta e rilevata per la prima volta dalle nostre tecnologie proattive. Per questo consigliamo l’uso di soluzioni specifiche per una protezione ottimale; la prima è la nostra soluzione Kaspersky Anti Targeted Attack Platform, ideata per garantire una protezione specifica dalle minacce APT grazie alla sua sandbox avanzata e al motore antimalware. La seconda è Kaspersky Endpoint Security for Business, con tecnologia integrata di prevenzione automatica degli exploit, grazie alla quale abbiamo individuato la vulnerabilità CVE-2018-8611.