Le vulnerabilità di Windows sono al centro di una preoccupante campagna di spionaggio informatico che si protrae dal 2017. Secondo un'indagine approfondita condotta dai ricercatori di Trend Micro, almeno undici gruppi di hacker sostenuti da Stati come Corea del Nord, Iran, Russia e Cina hanno sfruttato sistematicamente una falla di sicurezza nei file shortcut di Windows per condurre operazioni di cyber-spionaggio su scala globale.
La situazione appare particolarmente allarmante considerando che Microsoft, informata della vulnerabilità a settembre, ha ritenuto che questa non soddisfacesse i criteri necessari per un intervento immediato, rifiutandosi di rilasciare patch correttive.
Una minaccia ignorata dal gigante tecnologico
La vulnerabilità, catalogata internamente da Trend Micro come ZDI-CAN-25373, permette agli aggressori di eseguire codice arbitrario sui sistemi Windows compromessi senza che l'utente ne sia consapevole. Peter Girnus e Aliakbar Zahravi del Zero Day Initiative (ZDI) hanno scoperto quasi mille campioni di file Shell Link (.lnk) che sfruttano questa debolezza strutturale, ma il numero effettivo di tentativi di sfruttamento potrebbe essere significativamente più alto.
La vulnerabilità ZDI-CAN-25373 è causata da una debolezza classificata come "UI Misrepresentation of Critical Information" (CWE-451), che permette agli aggressori di sfruttare il modo in cui Windows visualizza i file di collegamento per eludere i sistemi di rilevamento. Il meccanismo è tanto semplice quanto efficace: i criminali informatici nascondono argomenti di riga di comando dannosi all'interno dei file .LNK utilizzando spazi bianchi aggiunti alla struttura COMMAND_LINE_ARGUMENTS.
Questi spazi possono assumere varie forme come codici esadecimali per spazio (\x20), tabulazione orizzontale (\x09), avanzamento riga (\x0A) e altri caratteri di formattazione che fungono da riempitivo. Quando un utente Windows ispeziona un file .lnk compromesso, gli argomenti dannosi non vengono visualizzati nell'interfaccia utente a causa di questi spazi aggiunti, mantenendo invisibili le istruzioni malevole.
Una rete globale di attacchi mirati
L'indagine di Trend Micro ha rivelato che la falla è stata sfruttata in attacchi su vasta scala da numerosi gruppi sponsorizzati da stati nazionali e organizzazioni criminali, tra cui Evil Corp, APT43 (noto anche come Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni e altri. Le vittime sono distribuite in tutto il mondo, ma con una concentrazione particolare in Nord America, Sud America, Europa, Asia orientale e Australia.
L'analisi dei dati mostra che circa il 70% degli attacchi era finalizzato allo spionaggio e al furto di informazioni, mentre solo il 20% aveva obiettivi di guadagno finanziario. I ricercatori hanno individuato diversi payload malware e loader come Ursnif, Gh0st RAT e Trickbot, con piattaforme malware-as-a-service che hanno ulteriormente complicato il panorama delle minacce.
Per sfruttare questa vulnerabilità è necessaria l'interazione dell'utente, che deve visitare una pagina dannosa o aprire un file malevolo. Tuttavia, il pericolo sta nel fatto che il contenuto dannoso nel file .LNK risulta invisibile all'utente che lo ispeziona tramite l'interfaccia standard di Windows, permettendo l'esecuzione di codice nel contesto dell'utente corrente senza che questi ne sia consapevole.
Dopo la pubblicazione delle scoperte da parte di BleepingComputer, un portavoce di Microsoft ha rilasciato una dichiarazione affermando che l'azienda sta considerando di affrontare la vulnerabilità in un futuro aggiornamento. Microsoft sostiene che Microsoft Defender dispone già di rilevamenti per bloccare questa attività dannosa e che Smart App Control offre un ulteriore livello di protezione impedendo l'esecuzione di file malevoli provenienti da Internet.
Il comunicato aggiunge che, secondo le linee guida di classificazione della gravità adottate da Microsoft, l'esperienza dell'interfaccia utente descritta nel report non soddisfa i criteri per un intervento immediato. L'azienda raccomanda agli utenti di prestare attenzione quando scaricano file da fonti sconosciute e di fare attenzione agli avvisi di sicurezza, progettati per riconoscere e avvertire gli utenti di file potenzialmente dannosi.
Questo commento è stato nascosto automaticamente. Vuoi comunque leggerlo?