Le vulnerabilità
zero-day sono dei bug ancora sconosciuti presenti nei software, che possono essere sfruttati dagli attaccanti per violare i dispositivi e le reti delle vittime. Il nuovo exploit sfrutta la vulnerabilità all'interno del sottosistema grafico di Microsoft Windows per avviare una "
privilege escalation" in locale.
Quest'operazione fornisce all'attaccante il controllo totale sul computer della vittima. Stando al campione di malware esaminato dai ricercatori di Kaspersky Lab,
l'exploit prende di mira il sistema operativo delle versioni di Windows da 8 a 10.
Gli esperti di Kaspersky ritengono che l'exploit che hanno rilevato possa essere stato utilizzato da diversi autori di minacce, inclusi i gruppi
FruityArmor e SandCat (e forse non solo da loro). FruityArmor è noto per aver già sfruttato in passato delle vulnerabilità zero-day; SandCat, invece, sarebbe un nuovo gruppo, scoperto solo di recente.
"La scoperta di una nuova vulnerabilità zero-day per Windows, sfruttata attivamente 'in the wild', dimostra che strumenti così costosi e rari sono sempre molto interessanti per i cybercriminali; per questo motivo le organizzazioni hanno bisogno di soluzioni che possano proteggerle anche da minacce sconosciute come quelle di questo tipo. Questa scoperta conferma, una volta di più, l'importanza della collaborazione fra il settore della sicurezza e gli sviluppatori di software: la 'caccia' ai bug, la divulgazione delle scoperte fatta responsabilmente e il rilascio immediato delle patch sono il modo migliore per proteggere gli utenti da minacce nuove ed emergenti" sottolinea Anton Ivanov, Security Expert presso Kaspersky Lab.
I prodotti di Kaspersky Lab hanno rilevato l'exploit come:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic