Scoperta una nuova catena di exploit zero-day per Chrome e Windows 10. La denuncia arriva dai ricercatori di Kaspersky. Microsoft è intervenuta con una patch per il kernel di Windows 10 uscita ieri sera, in occasione dell’ultimo Patch Tuesday (8 giugno 2021).
Dietro l’attacco attraverso i due exploit si nascondeva il gruppo criminale PuzzleMaker, soprannominato così dagli esperti di sicurezza informatica di Kaspersky, in assenza di legami chiari con altri team di hacker già noti. Sfruttando alcune falle nel kernel di Windows e nel motore JavaScript V8 di Chrome, gli hacker erano in grado di ottenere i privilegi di accesso.
Sfruttando la conoscenza degli exploit – ancora ignorati da Windows e Google, oltre che dal mondo dei ricercatori di sicurezza informatica -, gli hacker di PuzzleMaker hanno condotto diversi attacchi ai danni delle aziende di mezzo mondo, installando con una facilità disarmante un malware a quattro moduli (stager, dropper, service e remote shell). In breve: grazie agli exploit gli hacker ottenevano i privilegi di amministratore per inserire uno stager all’interno del computer, quest’ultimo scaricava ed eseguiva un dropper, e quindi un malware più complesso, che a sua volta aveva il compito di installare due file eseguibili completamente invisibili agli occhi dei principali antivirus. Uno dei due file, il modulo shell remoto, poteva cancellarsi dal sistema infetto in autonomia, dopo aver scaricato ed eseguito file o creato nuovi processi.
Gli exploit funzionavano con alcune delle build più recenti e usate di Windows 10: 17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1 e19042 – 20H2.
Con la patch di ieri, Microsoft ha anche risolto alcune altre falle di sicurezza – ben 50, in totale – e corretto quattro altre vulnerabilità zero-day.