Kaspersky Lab svela una nuova vulnerabilità zero-day per Windows sfruttata da un gruppo di cybercriminali scoperto di recente

(Milano, 13 marzo 2019) - Le tecnologie automatizzate di Kaspersky Lab hanno rilevato una nuova vulnerabilità per Microsoft Windows; si ritiene che sia stata sfruttata in una serie di attacchi mirati messi in atto da almeno due gruppi di cybercriminali (tra loro, il gruppo SandCat, scoperto di recente). Si tratta del quarto exploit che sfrutta una vulnerabilità zero-day scoperto “in the wild” dalla tecnologia Automatic Exploit Prevention di Kaspersky Lab. L’azienda ha segnalato questa vulnerabilità, alla quale è stato assegnato il codice CVE-2019-0797, direttamente a Microsoft, che ha già rilasciato la patch per la sua risoluzione. Le vulnerabilità zero-day sono dei bug ancora sconosciuti presenti nei software, che possono essere sfruttati dagli attaccanti per violare i dispositivi e le reti delle vittime. Il nuovo exploit sfrutta la vulnerabilità all’interno del sottosistema grafico di Microsoft Windows per avviare una “privilege escalation” in locale. Quest’operazione fornisce all’attaccante il controllo totale sul computer della vittima. Stando al campione di malware esaminato dai ricercatori di Kaspersky Lab, l’exploit prende di mira il sistema operativo delle versioni di Windows da 8 a 10. Gli esperti ritengono che l’exploit che hanno rilevato possa essere stato utilizzato da diversi autori di minacce, inclusi i gruppi FruityArmor e SandCat (e forse non solo da loro). FruityArmor è noto per aver già sfruttato in passato delle vulnerabilità zero-day; SandCat, invece, sarebbe un nuovo gruppo, scoperto solo di recente. “La scoperta di una nuova vulnerabilità zero-day per Windows, sfruttata attivamente “in the wild”, dimostra che strumenti così costosi e rari sono sempre molto interessanti per i cybercriminali; per questo motivo le organizzazioni hanno bisogno di soluzioni che possano proteggerle anche da minacce sconosciute come quelle di questo tipo. Questa scoperta conferma, una volta di più, l’importanza della collaborazione fra il settore della sicurezza e gli sviluppatori di software: la “caccia” ai bug, la divulgazione delle scoperte fatta responsabilmente e il rilascio immediato delle patch sono il modo migliore per proteggere gli utenti da minacce nuove ed emergenti”, ha commentato Anton Ivanov, Security Expert presso Kaspersky Lab. Lo sfruttamento della vulnerabilità è stato rilevato dalla tecnologia Automatic Exploit Prevention di Kaspersky Lab, integrata nella maggior parte dei prodotti dell’azienda. I prodotti di Kaspersky Lab hanno rilevato l’exploit come: • HEUR:Exploit.Win32.Generic • HEUR:Trojan.Win32.Generic • PDM:Exploit.Win32.Generic Kaspersky Lab consiglia di implementare le seguenti misure di sicurezza: •Procedere con l’installazione della patch di Microsoft per fare fronte alla nuova vulnerabilità il prima possibile. •Assicurarsi di procedere regolarmente con l’aggiornamento di tutti i software utilizzati in azienda e ogni volta che viene rilasciata una nuova patch per la sicurezza. Le soluzioni di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare a rendere automatici questi processi. •Scegliere una soluzione di sicurezza affidabile comeKaspersky Endpoint Security: è dotata di funzionalità di detection “behaviour-based” per una protezione efficace contro cyberminacce conosciute e sconosciute, compresi gli exploit. •Usare tool di sicurezza avanzati, come la piattaforma Kaspersky Anti Targeted Attack (KATA), nel caso in cui l’azienda avesse bisogno di un sistema di protezione altamente sofisticato. •Assicurarsi che il proprio team di sicurezza IT abbia accesso alle risorse di intelligence sulle cyberminacce più aggiornate. Report privati riguardo gli ultimi sviluppi dello scenario delle minacce sono disponibili per gli iscritti al Kaspersky Intelligence Reporting. Per ricevere ulteriori informazioni, è possibile scrivere all’indirizzo intelreports@kaspersky.com. •Ultima cosa, ma non meno importante: assicurarsi che il proprio staff sia adeguatamente formato per quanto riguarda le conoscenze di base della “cybersecurity hygiene”. Maggiori informazioni sul nuovo exploit scoperto da Kaspersky Lab sono disponibili in un blogpost dedicato su Securelist. Per approfondire le tecnologie che hanno rilevato questa e altre vulnerabilità zero-day per Microsoft Windows, è disponibile online la visione “on demand” del webinardi Kaspersky Lab, dal titolo “Three Windows zero-days in three months: how we found them in the wild”. Informazioni su Kaspersky Lab Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 21 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it Seguici su: https://twitter.com/KasperskyLabIT http://www.facebook.com/kasperskylabitalia https://www.linkedin.com/company/kaspersky-lab-italia https://t.me/KasperskyLabIT