RomCom sfrutta vulnerabilità zero-day in Firefox e Windows

L’attacco di RomCom: un’analisi approfondita

I ricercatori di ESET hanno recentemente scoperto un sofisticato attacco informatico condotto dal gruppo hacker RomCom, noto per essere allineato agli interessi della Russia. Questo attacco ha sfruttato due vulnerabilità zero-day precedentemente sconosciute, una in Mozilla Firefox e l’altra in Microsoft Windows, per diffondere malware in modo silenzioso e senza alcuna interazione da parte dell’utente.

Le vulnerabilità sfruttate

Le due vulnerabilità al centro di questo attacco sono:

1. CVE-2024-9680: Una vulnerabilità use-after-free nel componente di animazione di Firefox, con un punteggio CVSS di 9.8 su 10.
2. CVE-2024-49039: Una falla di privilege escalation in Windows Task Scheduler, con un punteggio CVSS di 8.8 su 10.

La combinazione di queste due vulnerabilità ha permesso a RomCom di creare un exploit “zero-click”, ovvero in grado di infettare il sistema della vittima senza richiedere alcuna azione da parte dell’utente, se non quella di visitare una pagina web appositamente creata.

Il meccanismo dell’attacco

L’attacco si svolge in diverse fasi:

1. La vittima visita un sito web malevolo controllato dagli attaccanti.
2. L’exploit sfrutta la vulnerabilità in Firefox per eseguire codice all’interno del sandbox del browser.
3. Viene quindi sfruttata la vulnerabilità di Windows per elevare i privilegi e uscire dal sandbox.
4. Infine, viene scaricato e installato il malware RomCom RAT sul sistema della vittima.

Questo processo avviene in modo completamente trasparente per l’utente, senza richiedere alcuna interazione o autorizzazione.

Impatto e diffusione

Secondo i dati di telemetria di ESET, la maggior parte delle vittime di questo attacco si trovava in Europa e Nord America. Il numero di potenziali obiettivi variava da un singolo utente per paese fino a 250 vittime.

Risposta dei produttori

La reazione di Mozilla e Microsoft è stata rapida:

• Mozilla ha rilasciato una patch per Firefox il 9 ottobre 2024, solo un giorno dopo la segnalazione da parte di ESET.
• Microsoft ha corretto la vulnerabilità di Windows il 12 novembre 2024.

Implicazioni per la sicurezza

Questo attacco dimostra il livello di sofisticazione raggiunto dai gruppi hacker moderni. La capacità di sfruttare due vulnerabilità zero-day in tandem per creare un exploit zero-click è un chiaro segnale della crescente minaccia rappresentata da attori come RomCom.

Consigli per la protezione

Per proteggersi da attacchi simili, è fondamentale adottare una serie di misure preventive:

1. Aggiornamenti tempestivi: Mantenere sempre aggiornati il sistema operativo e tutti i software installati, in particolare i browser web.
2. Utilizzo di software antivirus: Installare e mantenere aggiornato un software antivirus affidabile.
3. Navigazione sicura: Evitare di visitare siti web sospetti o non affidabili.

4. Attenzione alle email: Non aprire allegati o link provenienti da fonti sconosciute o sospette.
5. Backup regolari: Effettuare backup frequenti dei dati importanti per minimizzare l’impatto di eventuali infezioni.
6. Formazione sulla sicurezza: Educare dipendenti e utenti sui rischi della sicurezza informatica e sulle best practice da seguire.

7. Segmentazione della rete: Implementare una corretta segmentazione della rete per limitare la diffusione di eventuali infezioni.
8. Monitoraggio del traffico di rete: Utilizzare strumenti di monitoraggio per individuare attività sospette sulla rete.
9. Gestione delle patch: Implementare un processo di gestione delle patch efficiente per garantire l’applicazione tempestiva degli aggiornamenti di sicurezza.

10. Principio del minimo privilegio: Limitare i privilegi degli utenti al minimo necessario per svolgere le loro attività.

L’attacco condotto da RomCom sfruttando vulnerabilità zero-day in Firefox e Windows rappresenta un campanello d’allarme per l’intera comunità della sicurezza informatica. La capacità di condurre attacchi zero-click dimostra l’evoluzione costante delle minacce cyber e la necessità di mantenere sempre alta la guardia.

Le organizzazioni e gli individui devono adottare un approccio proattivo alla sicurezza, implementando misure di protezione a più livelli e mantenendo costantemente aggiornati i propri sistemi. Solo attraverso una combinazione di tecnologia, formazione e best practice sarà possibile mitigare efficacemente il rischio di cadere vittima di attacchi sofisticati come quello orchestrato da RomCom.

La collaborazione tra ricercatori di sicurezza, produttori di software e utenti finali rimane fondamentale per contrastare le minacce in continua evoluzione. La rapida risposta di Mozilla e Microsoft nel correggere le vulnerabilità segnalate è un esempio positivo di come questa collaborazione possa funzionare efficacemente per proteggere gli utenti.

In un panorama di minacce in costante evoluzione, la vigilanza e l’aggiornamento continuo delle proprie difese rimangono le armi più efficaci contro gli attacchi informatici avanzati. Ogni utente e ogni organizzazione hanno un ruolo da svolgere nella creazione di un ecosistema digitale più sicuro per tutti.

Fonte: https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild