Imagina un attacco informatico che non richiede alcuna azione da parte tua: nessun clic su link sospetti, nessun download di file malevoli, nessuna interazione consapevole. Questo è esattamente ciò che rappresentano gli attacchi zero-click, una categoria di minacce sempre più sofisticata che colpisce i sistemi Windows moderni.
A differenza degli attacchi tradizionali che dipendono dall’errore umano, gli attacchi zero-click sfruttano vulnerabilità nascoste nei sistemi operativi e nelle applicazioni. Il malware viene attivato automaticamente nel momento in cui il dispositivo riceve determinati dati, senza che tu debba fare nulla. Una volta compromesso il sistema, gli attaccanti possono accedere a informazioni sensibili, installare spyware, rubare credenziali o lanciare ulteriori attacchi.
La soluzione rapida: mantieni sempre aggiornato il sistema operativo e le applicazioni, attiva l’autenticazione a due fattori su account critici, disattiva connessioni non necessarie come Bluetooth e AirDrop, e installa soluzioni di sicurezza avanzate.
Cosa sono gli attacchi zero-click
Un attacco zero-click è un tipo di exploit informatico che sfrutta le vulnerabilità del software per eseguire codice malevolo senza alcuna interazione dell’utente. A differenza degli attacchi tradizionali, l’utente non deve cliccare su link, aprire file sospetti o compiere qualsiasi altra azione.
Il meccanismo è semplice ma devastante: il codice malevolo si nasconde in messaggi di testo, email, file PDF, immagini o altri contenuti. Quando il dispositivo riceve e processa questi dati, il sistema operativo esegue automaticamente il codice dannoso. Questo accade perché il codice sfrutta un processo interno chiamato “parsing”, ovvero la conversione di dati grezzi in formato leggibile dal sistema.
Se nel codice di parsing esiste un bug non corretto, un attaccante può inviare contenuti malevoli che verranno elaborati automaticamente. Una volta attivato, il codice dannoso ha accesso completo ai dati del dispositivo: contatti, email, messaggi, foto, registrazioni audio e persino il controllo remoto di microfono e videocamera.
I rischi specifici per Windows
I sistemi Windows sono particolarmente vulnerabili agli attacchi zero-click perché utilizzano numerosi servizi di sistema e di rete che operano in background. Questi servizi gestiscono funzionalità fondamentali come Bluetooth, Wi-Fi, la gestione degli errori di sistema e l’elaborazione di file multimediali.
Una vulnerabilità particolarmente critica riguarda il Windows Error Reporting, un componente di sistema installato di default che raccoglie informazioni sugli errori del sistema. Ricercatori di sicurezza hanno scoperto come questo componente possa essere sfruttato per bypassare le protezioni del sistema operativo.
Un’altra minaccia significativa è rappresentata dalle vulnerabilità in Microsoft Outlook. Nel dicembre 2023, i ricercatori hanno identificato due vulnerabilità che, combinate insieme, permettevano agli attaccanti di eseguire codice arbitrario sui sistemi senza richiedere alcuna interazione dell’utente.
Anche il TCP/IP stack di Windows è stato oggetto di attacchi zero-click. Una vulnerabilità identificata come CVE-2024-38063 sfrutta un “integer underflow”, un errore di programmazione che consente l’esecuzione di codice arbitrario sui sistemi vulnerabili.
Le nuove vulnerabilità: CVE-2025-24054 e CVE-2025-50154
Recentemente è emersa una vulnerabilità critica che dimostra come i tentativi di patch da parte di Microsoft possono risultare incompleti. La vulnerabilità originale CVE-2025-24054 permetteva di estrarre hash NTLM (credenziali di autenticazione di Windows) attraverso richieste appositamente costruite.
Microsoft ha rilasciato un aggiornamento di sicurezza per affrontare il problema, ma i ricercatori di sicurezza hanno scoperto che la patch presentava un gap significativo. La nuova vulnerabilità, designata come CVE-2025-50154, consente agli attaccanti di estrarre hash NTLM senza alcuna interazione dell’utente, anche su sistemi completamente aggiornati.
Questo rappresenta un rischio enorme perché gli hash NTLM possono essere utilizzati per:
– Attacchi relay NTLM: gli attaccanti possono intercettare e riutilizzare le credenziali per accedere a risorse di rete
– Escalation di privilegi: ottenere accesso a livello amministratore partendo da account standard
– Movimento laterale: spostarsi da un sistema all’altro all’interno della rete aziendale
– Esecuzione di codice remoto (RCE): lanciare comandi arbitrari sui sistemi vulnerabili
An aspetto particolarmente preoccupante di CVE-2025-50154 è che consente il download silenzioso di binari malevoli senza alcun clic da parte dell’utente. Sebbene il file non venga eseguito immediatamente, la sua presenza sul sistema crea una base per attacchi successivi, come il furto di credenziali o il deployment di ransomware.
Come proteggere i tuoi sistemi
Aggiornamenti software regolari
La difesa più efficace contro gli attacchi zero-click è mantenere il software aggiornato. Questo significa:
– Abilitare gli aggiornamenti automatici per Windows
– Applicare patch di sicurezza non appena disponibili
– Aggiornare regolarmente tutte le applicazioni, specialmente browser e software di comunicazione
– Mantenere driver e firmware dei dispositivi aggiornati
Autenticazione multi-fattore (MFA)
L’autenticazione a due fattori rappresenta un ostacolo significativo per gli attaccanti. Anche se riescono a compromettere un sistema e rubare credenziali, non potranno accedere agli account senza il secondo fattore di autenticazione.
Gestione delle connessioni
– Disattiva Bluetooth, AirDrop e altre connessioni wireless non necessarie, specialmente in luoghi pubblici
– Utilizza reti Wi-Fi protette e evita le reti pubbliche non sicure
– Considera l’uso di una VPN per il traffico sensibile
Soluzioni di sicurezza avanzate
– Installa software anti-malware e anti-spyware di qualità
– Utilizza soluzioni di protezione endpoint (EPP) e rilevamento e risposta agli endpoint (EDR)
– Abilita funzionalità di sicurezza avanzate come la protezione dai file dannosi e il blocco dei siti malevoli
– Su dispositivi Apple, attiva la modalità Lockdown per ridurre la superficie d’attacco
Pratiche di sicurezza organizzativa
– Implementa una strategia di patch management rigorosa
– Monitora i sistemi per attività sospette
– Fornisci formazione sulla consapevolezza della sicurezza ai dipendenti
– Mantieni backup regolari dei dati critici
– Segmenta la rete per limitare il movimento laterale
Technical Deep Dive
Per i professionisti IT e i ricercatori di sicurezza, gli attacchi zero-click rappresentano una sfida complessa che richiede comprensione approfondita dei meccanismi di basso livello.
Vettori di attacco a livello di sistema
Gli exploit zero-click spesso sfruttano servizi di sistema che operano con privilegi elevati e processano dati non attendibili. Questi includono:
– Windows Error Reporting (WER): il componente WER Fault utilizza API di sistema come MiniDumpWriteDump, che può essere sfruttato per accedere a processi protetti
– TCP/IP stack: vulnerabilità di integer underflow nel processamento dei pacchetti
– Parsing di file multimediali: vulnerabilità nel codice che interpreta formati complessi
– Servizi di comunicazione: Bluetooth, Wi-Fi, NFC
– Outlook e componenti di comunicazione: vulnerabilità nella gestione di allegati e contenuti HTML
Protezione dei processi (PPL)
La protezione dei processi di Windows (Process Protection Level) è un meccanismo che impedisce l’accesso a processi critici anche da parte di codice con privilegi amministrativi. Tuttavia, gli attacchi zero-click sofisticati possono:
– Bypassare le restrizioni PPL utilizzando vulnerabilità nel kernel
– Sfruttare componenti di sistema attendibili per eseguire codice malevolo
– Utilizzare tecniche di code injection per infettare processi protetti
Mitigazioni tecniche avanzate
– Control Flow Guard (CFG): protegge contro i salti di codice non autorizzati
– Address Space Layout Randomization (ASLR): randomizza gli indirizzi di memoria per rendere più difficili gli exploit
– Data Execution Prevention (DEP): impedisce l’esecuzione di codice da aree di memoria designate come dati
– Kernel Patch Protection (KPP): protegge il kernel da modifiche non autorizzate
– Hypervisor-protected code integrity (HVCI): utilizza la virtualizzazione per proteggere l’integrità del codice
Analisi forense
Per identificare attacchi zero-click, i professionisti della sicurezza dovrebbero:
– Monitorare i processi di sistema utilizzando strumenti come Process Monitor (procmon)
– Analizzare il traffico di rete con Wireshark per identificare comunicazioni sospette
– Controllare i log degli errori di sistema per attività inusuale
– Esaminare i file temporanei e le directory di download per binari non autorizzati
– Implementare Extended Detection and Response (XDR) per correlazione di eventi su più livelli
La ricerca continua su CVE-2025-50154 e vulnerabilità simili dimostra che anche le patch di sicurezza possono contenere gap. Un approccio defense-in-depth, che combina aggiornamenti tempestivi, monitoraggio avanzato e segmentazione della rete, rimane la strategia più efficace contro questa categoria di minacce in evoluzione.
Fonte: https://www.reddit.com/r/netsec/comments/1qazdqm/microsoftbug_bounty/
