Windows, scoperta una falla 0day sfruttata da attori governativi per 8 anni

Dal 2017, almeno undici gruppi di hacker supportati da stati nazionali hanno sfruttato una vulnerabilità nei file di scorciatoia (.lnk) di Windows per condurre attacchi mirati di spionaggio informatico e furto di dati. La falla, identificata come ZDI-CAN-25373 dai ricercatori della Zero Day Initiative (ZDI) di Trend Micro, consente agli aggressori di eseguire codice arbitrario sui dispositivi vulnerabili senza che gli utenti si accorgano della minaccia.

Nonostante la gravità del problema, Microsoft ha dichiarato a settembre che non avrebbe rilasciato aggiornamenti di sicurezza per affrontare questa vulnerabilità, classificandola come "non conforme al servizio". I ricercatori Peter Girnus e Aliakbar Zahravi hanno sottolineato che sono stati individuati quasi mille campioni di exploit legati a ZDI-CAN-25373, ma il numero reale potrebbe essere significativamente più alto. La vulnerabilità è stata sfruttata in campagne globali condotte da gruppi come Evil Corp, APT43 (Kimsuky), Bitter, Mustang Panda e altri.

Nuova 0day scoperta su Windows: è stata sfruttata dal 2017

Le campagne hanno preso di mira principalmente regioni come Nord America, Europa e Asia orientale, con un focus particolare sullo spionaggio informatico. Secondo Trend Micro, il 70% degli attacchi analizzati aveva come obiettivo il furto di informazioni critiche, mentre solo il 20% era motivato da guadagni finanziari. Gli aggressori hanno utilizzato strumenti sofisticati come Ursnif, Gh0st RAT e Trickbot, spesso distribuiti tramite piattaforme malware-as-a-service (MaaS), "complicando ulteriormente il panorama delle minacce", ha aggiunto l'azienda.

ZDI-CAN-25373 sfrutta una debolezza identificata come CWE-451 (Misrepresentation of Critical Information nell'interfaccia utente). Gli hacker nascondono argomenti dannosi della riga di comando all'interno dei file .lnk utilizzando spazi bianchi riempiti con codici esadecimali. Questo approccio rende invisibili i contenuti pericolosi agli utenti che ispezionano i file tramite l'interfaccia utente di Windows. Secondo l'avviso, l'interazione dell'utente è necessaria affinché l'attacco abbia successo, con le vittime che devono aprire file dannosi o visitare pagine web compromesse per attivare l'exploit. Questa dinamica rende la vulnerabilità particolarmente insidiosa soprattutto per utenti meno esperti o per ambienti aziendali con pratiche di sicurezza insufficienti.

Nonostante le richieste dei ricercatori e la segnalazione tramite il programma bug bounty di Trend Micro ZDI, Microsoft ha finora evitato di affrontare la questione con una patch ufficiale. Un portavoce dell'azienda ha comunque risposto al tentativo di contatto di BleepingComputer, sottolineando che la società potrebbe considerare una soluzione in futuro ma che la stessa non è del tutto necessaria visto che Microsoft Defender e Smart App Control offrono già livelli aggiuntivi di protezione contro queste minacce. Il miglior modo per difendersi è, inoltre, il solito: "Prestare attenzione quando si scaricano file da fonti sconosciute, come indicato negli avvisi di sicurezza, che sono stati progettati per riconoscere e avvisare gli utenti di file potenzialmente dannosi".