Con il Patch Tuesday rilasciato ieri da Microsoft per Windows 10 sono state chiuse in totale 50 falle di sicurezza in vari software, tra cui Excel.
Gli aggiornamenti cumulativi sono KB5003637 per Windows 10 21H1/20H2/2004 e KB5003635 per Windows 10 1909.
Gli esperti di Kaspersky avevano scoperto una serie di attacchi effettuati contro varie aziende attraverso una catena di exploit zero-day per Chrome e Windows 10.
La vulnerabilità del browser, presente nel motore JavaScript V8, era stata risolta da Google a fine aprile. L
e due vulnerabilità, presenti nel kernel di Windows 10, sono state risolte da Microsoft con le patch rilasciate ieri sera
Gli attacchi sono state effettuati mediante l’esecuzione di codice remoto, sfruttando il bug del motore JavaScript V8 di Chrome.
Per eludere la sandbox e ottenere i privilegi di accesso (SYSTEM) sono stati sfruttati i due bug di Windows 10.
La prima vulnerabilità, identificata con CVE-2021-31955, era presente nella funzionalità SuperFetch che riduce i tempi di avvio delle applicazioni pre-caricando in memoria quelle più usate.
La seconda vulnerabilità, identificata con CVE-2021-31956, era dovuta al buffer overflow in ntfs.sys
.
Utilizzando le due vulnerabilità di Windows 10 e quella di Chrome, il gruppo PuzzleMaker (nome assegnato da Kaspersky) ha installato sui computer delle vittime un malware composto da quattro moduli (stager, dropper, service e remote shell).
Il modulo stager notifica il successo dell’attacco e scarica il modulo dropper da un server remoto. Il modulo dropper installa due eseguibili con nomi identici a quelli di due file Windows, ovvero il servizio WmiPrvMon.exe
e la remote shell wmimon.dll
. Quest’ultima può scaricare altri file infetti dal server remoto.
Inoltre con questi update è disponibile per tutti la funzionalità Notizie e interessi.