Un mezzo per arrivare a un fine: gli hacker stanno sfruttando Windows per causare una infinità di danni agli utenti.
Brutte notizie per Microsoft proprio in questo 2023 che, grazie alla “partnership” con OpenAI (quelli di ChatGPT) aveva raccolto tantissimi consensi con lo sviluppo – sotto forma di enorme investimento – verso l’Intelligenza Artificiale, protagonista indiscussa di questo anno.
Il sistema operativo del colosso di Redmond, utilizzato da milioni e milioni di utenti, è diventato il mezzo attraverso il quale gli hacker sfruttano una scappatoia pericolosa. Una falla che permette loro la firma e il caricamento di driver in modalità kernel attraverso signature incrociata, con timestamp della firma prima del 29 luglio 2015.
Gli attori delle minacce stanno sfruttando più strumenti open source che alterano la data di firma dei driver in modalità kernel per caricare driver dannosi e non verificati, firmati in pratica con certificati scaduti. Lo ha scoperto la Cisco Talos, una nota società di sicurezza informatica e sicurezza delle informazioni che alimenta i prodotti e i servizi Cisco Secure.
La minaccia è significativa, Microsoft corre ai ripari
La compagnia rivela di aver individuato oltre una dozzina di certificati di firma di codici attraverso l’uso di key e password chiavi che sono contenute in alcuni file presenti su GitHub, enorme community open source. Il report dell’azienda statunitense parte da qui e lancia un allarme ben preciso, da recapitare nella casella di post elettronica di Microsoft ma anche a tutti i suoi utenti.
In pratica i cybercriminali hanno sfruttato due software open source per raggiungere il kernel di Windows con driver dannosi, per agire indisturbati sui computer degli utenti presi di mira, rubando in primis dati naturalmente da rivendere nel dark web. La maggior parte dei driver identificati, infatti, contenevano un codice di lingua nei loro metadati cinese “che suggerisce come gli autori delle minacce utilizzano questi strumenti”.
Microsoft, va detto, che ha preso molto sul serio il report di Cisco Talos, reagendo immediatamente e bloccando tutti i certificati evidenziati dall’azienda di sicurezza statunitense, rilasciando relativi avvisi. Una mossa saggia da parte del colosso di Redmond: questa minaccia è davvero significativa.
Cisco Talos, infatti, fa notare come sfruttare un driver dannoso può consentire a un utente malintenzionato di superare la barriera data dai due livelli in cui è suddiviso il sistema operativo di Microsoft, con conseguente compromissione totale del sistema di destinazione. Mica poco.
