Con il termine exploit chain si fa riferimento a un insieme di vulnerabilità di sicurezza, talvolta individuate in software differenti, che vengono sfruttate l’una dopo l’altra dai criminali informatici come in una catena per aggredire i sistemi bersaglio dell’attacco.
Kaspersky rivela che alcune delle falle di sicurezza risolte da Microsoft con il rilascio degli aggiornamenti di giugno 2021 sono state sfruttate per eseguire codice sui sistemi di grandi aziende e condurre attacchi mirati di elevato profilo.
La nuova minaccia è stata battezzata PuzzleMaker e ha fatto leva su una serie di vulnerabilità zero-day scoperte nel browser Google Chrome e in Windows 10.
Il fatto è che questa volta gli aggressori hanno agito d’anticipo sfruttando lacune di sicurezza non ancora ufficialmente individuate così da avere gioco facile su sistemi usati da parte di famose imprese sin da metà aprile scorso.
I criminali informatici hanno unito un problema insito nel motore JavaScript V8 di Google Chrome per acquisire l’accesso sui sistemi vulnerabili. Successivamente hanno sfruttato le vulnerabilità oggi conosciute come CVE-2021-31955 e CVE-2021-31956 a livello del kernel di Windows 10 e di file system NTFS per acquisire privilegi elevati ed eseguire codice arbitrario sulle macchine altrui.
Dopo aver fatto breccia nei sistemi aggrediti i criminali informatici hanno messo a punto un meccanismo per effettuare il download automatico di ulteriore codice dannoso poi nascosto così da apparire come un componente di Windows.
Gli sviluppatori di PuzzleMaker hanno anche previsto un modulo shell remoto per scaricare e caricare file, creare processi, tenere un “profilo basso” per certi periodi di tempo così da non ingenerare sospetti e cancellare a distanza tutti i file malevoli.
A questo indirizzo è possibile consultare l’analisi dettagliata condivisa dai ricercatori di Kaspersky.