Ricerca sulle minacce svela fruttamento e implicazioni del difetto CVE-2024-21412

FortiGuard Labs ha recentemente pubblicato una ricerca dettagliata sullo sfruttamento della vulnerabilità CVE-2024-21412, una falla di sicurezza in Microsoft Windows SmartScreen. Questa vulnerabilità permette agli attaccanti di bypassare le protezioni di sicurezza e distribuire file malevoli, rappresentando una minaccia significativa per gli utenti di Windows.

Dettagli della vulnerabilità

CVE-2024-21412 è una vulnerabilità di bypass della sicurezza che si verifica a causa di un errore nella gestione dei file creati in modo malevolo. Gli attaccanti possono sfruttare questa falla per eludere il dialogo di avviso di sicurezza di SmartScreen e consegnare file dannosi agli utenti. Microsoft ha sanato il bug con gli aggiornamenti di sicurezza mensili rilasciati a febbraio 2024.

Tale difetto al quale è stato assegnato il punteggio CVSS di 8.1 è stato anche menzionato nel catalogo CISA delle vulnerabilità note sfruttate.

Campagna di furto informazioni

FortiGuard Labs nella campagna di furto di informazioni che sfrutta questa vulnerabilità ha osservato che gli attaccanti iniziano inducendo le vittime a cliccare su un link appositamente creato che scarica un file LNK. Questo file LNK, a sua volta, scarica un file eseguibile contenente uno script HTA. Una volta eseguito, lo script decodifica e decripta il codice PowerShell per recuperare gli URL finali, file PDF esca e un iniettore di codice shell malevolo.

Fonte FortiGuard Labs

Questo attacco può portare alla distribuzione finale di Meduza Stealer versione 2.9 in modo diretto tramite un iniettore Shell Code, ACR Stealer e Lumma Stealer per via di un caricatore HijackLoader ottenuto da un iniettore shell code ricavato da una immagine.

In quest’ultimo caso la catena d’infezione “Dopo il controllo anti-debug, inizia a scaricare un file JPG dal sito web Imghippo, “hxxps://i.imghippo[.]com/files/0hVAM1719847927[.]png”. Quindi utilizza l’API di Windows “GdipBitmapGetPixel” per accedere ai pixel e decodificare i byte per ottenere il codice shell.”, spiega Cara Lin di FortiGuard Labs.

Fonte FortiGuard Labs

In particolare ACR Stealer prende di mira varie applicazioni, tra cui browser, wallet crittografici, client FTP, client di posta elettronica, servizi VPN e password manager. Lo stealer può anche sfruttare servizi Web legittimi per instaurare comunicazioni C2.

Implicazioni e raccomandazioni

Gli attori mirano per il momento a regioni specifiche, tra cui Nord America, Spagna e Thailandia. Pertanto implementare misure di sicurezza proattive e mantenere i sistemi aggiornati sono passi fondamentali per proteggere le informazioni sensibili, prevenire attacchi futuri e arginare una eventuale estensione del target.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.