Le nostre tecnologie Behavioral Detection Engine ed Exploit Prevention hanno recentemente rilevato lo sfruttamento di una vulnerabilità nel driver del kernel Win32k, portando a un’indagine sull’intera operazione svolta dai criminali informatici. Abbiamo segnalato la vulnerabilità (CVE-2021-40449) a Microsoft, e l’azienda ha avviato la patch in un normale aggiornamento rilasciato il 12 ottobre. Pertanto, come al solito dopo il Patch Tuesday, si consiglia di aggiornare Microsoft Windows il più presto possibile.
Perchè si usava CVE-2021-40449
CVE-2021-40449 è una vulnerabilità use-after-free nella funzione NtGdiResetDC del driver Win32k. Una descrizione tecnica dettagliata è disponibile nel nostro post su Securelist, ma, in breve, la vulnerabilità può portare alla perdita di indirizzi del modulo del kernel nella memoria del computer. I criminali informatici poi usano la perdita per elevare i privilegi di un altro processo dannoso.
Attraverso i privilegi d’accesso, i criminali informatici sono stati in grado di scaricare e lanciare MysterySnail, un Remote Access Trojan (RAT) che dà ai criminali informatici l’accesso al sistema della vittima.
Che cosa fa MysterySnail
Il trojan inizia raccogliendo informazioni sul sistema infetto e le invia al server C&C. Poi, attraverso MysterySnail, i criminali informatici possono impartire vari comandi. Per esempio, possono creare, leggere o eliminare un file specifico; creare o eliminare un processo; ottenere un elenco di directory; o aprire un canale proxy e inviare dati attraverso di esso.
Le altre caratteristiche di MysterySnail includono la capacità di visualizzare l’elenco delle unità collegate, di monitorare la connessione di unità esterne in background, e altro ancora. Il trojan può anche lanciare la shell interattiva cmd.exe (copiando il file cmd.exe in una cartella temporanea con un nome diverso).
Attacchi attraverso CVE-2021-40449
L’exploit per questa vulnerabilità copre una serie di sistemi operativi della famiglia Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) e Server 2019 (build 17763). Secondo i nostri esperti, l’exploit esiste specificamente per escalation di privilegi sulle versioni server del sistema operativo.
Dopo aver rilevato la minaccia, i nostri esperti hanno stabilito che l’exploit e il malware MysterySnail che carica nel sistema hanno visto un ampio uso in operazioni di spionaggio contro le aziende IT, organizzazioni diplomatiche e aziende che lavorano per l’industria della difesa.
Grazie al Kaspersky Threat Attribution Engine, i nostri esperti sono stati in grado di trovare somiglianze nel codice e nella funzionalità di MysterySnail e il malware utilizzato dal gruppo IronHusky. Inoltre, un gruppo APT di lingua cinese ha utilizzato alcuni indirizzi del server C&C di MysterySnail nel 2012.
Per ulteriori informazioni sull’attacco, compresa una descrizione dettagliata dell’exploit e degli indicatori di compromissione, cliccate sul nostro post su Securelist.
Come proteggersi
Iniziate installando le ultime patch di Microsoft ed evitate di essere colpiti da future vulnerabilità zero-day installando robuste soluzioni di sicurezza che rilevino proattivamente e fermino lo sfruttamento delle vulnerabilità su tutti i computer con accesso a Internet. Le tecnologie Behavioral Detection Engine e Exploit Prevention, come quelle di Kaspersky Endpoint Security for Business, hanno rilevato CVE-2021-40449.