Le vulnerabilità di Windows si trovano al centro di una complessa operazione di cyber-spionaggio avviata nel 2017. Recenti ricerche condotte da Trend Micro hanno messo in luce come almeno undici gruppi di hacker, sostenuti da Stati come Corea del Nord, Iran, Russia e Cina, abbiano abbondantemente sfruttato una falla di sicurezza nei file shortcut del sistema operativo. Questo ampio utilizzo di exploit rappresenta una minaccia crescente per la sicurezza informatica a livello globale.
Indice dei contenuti
Il problema della vulnerabilità non affrontata da Microsoft
Secondo i dettagli rivelati, la vulnerabilità nota internamente come ZDI-CAN-25373 consente agli hacker di eseguire codice arbitrario sui computer con Windows compromessi, tutto senza che l’utente ne sia a conoscenza. Gli esperti Peter Girnus e Aliakbar Zahravi della Zero Day Initiative hanno rilevato quasi mille campioni di file Shell Link che sfruttano questa debolezza, evidenziando una possibilità di attacchi molto più estesa di quanto si pensasse.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
Microsoft, informata della vulnerabilità a settembre, ha deciso di non rilasciare alcuna patch correttiva, adducendo che la situazione non rispecchiava i requisiti d’urgenza previsti. Questo ha suscitato preoccupazioni tra gli esperti di sicurezza, date le ripercussioni potenziali sul vasto numero di sistemi vulnerabili in tutto il mondo.
La vulnerabilità, classificata come “UI Misrepresentation of Critical Information” , si basa su una deviazione della visualizzazione dei file di collegamento. Il metodo utilizzato dai criminali informatici è tanto semplice quanto diabolico: essi nascondono gli argomenti di comando maligni all’interno dei file .LNK tramite l’aggiunta di spazi bianchi nella struttura di COMMANDLINEARGUMENTS. Questi possono includere spazi esadecimali, tabulazioni e avanzamenti di riga, che mascherano le istruzioni dannose e confondono i sistemi di sicurezza, rendendoli impercettibili all’utente.
Un panorama di attacchi informatici su scala globale
L’analisi condotta dai ricercatori di Trend Micro ha rivelato che la vulnerabilità è stata oggetto di attacchi mirati realizzati da vari gruppi criminali e statali, quali Evil Corp, APT43 , Bitter, APT37, Mustang Panda, SideWinder e RedHotel. Le vittime di questi attacchi spaziano su scala globale, con concentrazioni significative in Nord e Sud America, Europa, Asia orientale e Australia.
Dallo studio dei dati emerge che circa il 70% degli attacchi ha avuto come obiettivo lo spionaggio e il furto di dati, mentre solo il 20% mirava a ottenere guadagni finanziari. Tra i malware e i loader identificati ci sono Ursnif, Gh0st RAT e Trickbot, mentre l’emergere di piattaforme malware-as-a-service ha complicato ulteriormente la situazione poiché hanno aumentato la disponibilità e l’accessibilità degli strumenti di hacking.
Fondamentale è la necessità dell’interazione da parte dell’utente per sfruttare questa vulnerabilità, il che implica che l’utente debba visitare dannose pagine web o aprire file maligni. Tuttavia, il contenuto malevolo all’interno del file .LNK riesce a rimanere invisibile, permettendo così l’esecuzione di codice senza il consenso dell’utente. Tale invisibilità è una delle principali preoccupazioni e ostacoli nella difesa contro questi attacchi.
In seguito alla diffusione di queste scoperte, un portavoce di Microsoft ha dichiarato che l’azienda è al lavoro su un aggiornamento per affrontare la vulnerabilità, sottolineando che Microsoft Defender offre già protezioni contro queste attività dannose. Inoltre, Smart App Control dovrebbe fornire un’ulteriore salvaguardia, bloccando l’esecuzione di file maligni provenienti da Internet.
È stato inoltre raccomandato agli utenti di esercitare cautela quando scaricano file da fonti sconosciute e di prestare attenzione agli avvisi di sicurezza, progettati per identificare e segnalare file potenzialmente dannosi.
