La sicurezza informatica è un tema sempre più importante nel mondo digitale. Recentemente, è stata rivelata una vulnerabilità critica nel motore di rendering web di Microsoft, noto come MSHTML, che è stata abusata da attacchi zero-day. Questa vulnerabilità, identificata come CVE-2024-43461, ha permesso agli attaccatori di installare malware sulle vittime senza essere notati. In questo articolo, esploreremo come questa vulnerabilità è stata sfruttata e forniremo consigli per proteggere i sistemi da simili attacchi.
La Vulnerabilità MSHTML
La vulnerabilità MSHTML è stata scoperta e segnalata da Peter Girnus, un ricercatore di Trend Micro, che ha rivelato che gli attacchi hanno sfruttato un bug che permetteva di nascondere l’estensione .hta di un file utilizzando caratteri braille whitespace codificati (%E2%A0%80). Questo metodo permetteva agli attaccatori di creare file che sembravano PDF ma in realtà erano HTA, il che faceva sì che Windows li aprisse con Internet Explorer anziché Microsoft Edge, permettendo così l’esecuzione di script maliziosi.
Come Funziona l’Attacco
Gli attacchi utilizzavano una catena di vulnerabilità per infettare i dispositivi. Inizialmente, gli attaccatori creavano file shortcut speciali (.url) che, quando cliccati, forzavano Windows a lanciare Internet Explorer per visitare una URL controllata dall’attaccante. Questa URL scaricava un file HTA malizioso che, quando aperto, installava l’info-stealer Atlantida. Questo malware era in grado di rubare password, cookie di autenticazione e portafogli di criptovalute.
Esempio di File Malizioso
Un esempio di come un file malizioso potrebbe essere creato è il seguente:
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
Questo file sembrava un PDF ma in realtà era un HTA che nascondeva la sua vera estensione utilizzando caratteri braille whitespace codificati.
Come Proteggersi
Per proteggersi da simili attacchi, è importante seguire alcune best practice:
- Aggiornamenti di Sicurezza: Assicurarsi di avere sempre gli aggiornamenti di sicurezza più recenti installati. La vulnerabilità MSHTML è stata già patchata da Microsoft, quindi è importante verificare se il sistema è aggiornato.
- Sospetta E-mail e File: Se ricevi un file o un link sospetto, non aprirlo. Utilizzare un antivirus e un firewall per proteggere il sistema.
- Utilizzo di Browser Sicuri: Utilizzare browser sicuri come Microsoft Edge e evitare Internet Explorer, che è più vulnerabile agli attacchi.
- Formazione e Consapevolezza: Educarsi sui tipi di attacchi e sui metodi utilizzati dagli attaccatori per essere più consapevoli e preparati.
- Monitoraggio del Sistema: Monitorare regolarmente il sistema per rilevare eventuali attività sospette.
La vulnerabilità MSHTML è un esempio chiaro di come le vulnerabilità zero-day possono essere sfruttate dagli attaccatori per installare malware. È importante rimanere aggiornati sugli aggiornamenti di sicurezza e seguire le best practice per proteggere i sistemi da simili attacchi. La consapevolezza e l’educazione sono fondamentali per prevenire e rispondere efficacemente a minacce informatiche.
