Il testo che segue proviene da un comunicato stampa e non riflette in alcun modo l’opinione della redazione.
• L’analisi degli exploit ha scoperto la prima vulnerabilità, assegnata a CVE-2024-9680: un bug use-after-free nella funzionalità della timeline di animazione di Firefox. ESET ha segnalato la vulnerabilità a Mozilla l’8 ottobre 2024; è stato corretto durante il giorno.
• Questa vulnerabilità critica ha un punteggio di 9,8 su 10.
• Ulteriori analisi hanno rivelato un’altra vulnerabilità zero-day in Windows: un bug di escalation dei privilegi, assegnato a CVE 2024 49039, che consente l’esecuzione del codice al di fuori della sandbox di Firefox. Microsoft ha rilasciato una correzione per questo bug il 12 novembre 2024.
• Insieme, le due vulnerabilità zero-day hanno fornito a RomCom un exploit che non richiede alcuna interazione da parte dell’utente se non la navigazione in un sito Web appositamente predisposto.
• Le potenziali vittime che hanno visitato i siti Web che ospitavano l’exploit si trovavano principalmente in Europa e Nord America.
MONTREAL, BRATISLAVA, 26 novembre 2024 — I ricercatori ESET hanno scoperto CVE-2024-9680 nei prodotti Mozilla, una vulnerabilità precedentemente sconosciuta sfruttata dal gruppo APT RomCom collegato alla Russia. Ulteriori analisi hanno rivelato un’altra vulnerabilità zero-day in Windows: un bug di escalation dei privilegi, ora assegnato a CVE-2024-49039. Quando in un attacco riuscito la vittima visualizza una pagina web contenente l’exploit, un avversario può eseguire un codice arbitrario – senza alcuna interazione da parte dell’utente (zero clic) – portando all’installazione del cancello RomCom rubato dal computer della vittima. Questa porta utilizzata dal gruppo è in grado di eseguire comandi e scaricare moduli aggiuntivi sul dispositivo della vittima. La vulnerabilità relativa a Mozilla scoperta l’8 ottobre da ESET Research ha un punteggio CVSS di 9,8 su una scala da 0 a 10. Entro il 2024, RomCom colpì l’Ucraina e altri paesi europei, nonché gli Stati Uniti. Secondo la telemetria ESET, dal 10 ottobre 2024 al 4 novembre 2024, le potenziali vittime che hanno visitato i siti Web che ospitano l’exploit si trovavano principalmente in Europa e Nord America.
L’8 ottobre 2024, i ricercatori ESET hanno scoperto la vulnerabilità CVE-2024-9680. Questo è un bug use-after-free nella funzione timeline di animazione di Firefox. Mozilla ha corretto la vulnerabilità il 9 ottobre 2024. Ulteriori analisi hanno rivelato un’altra vulnerabilità zero-day in Windows: un bug di escalation dei privilegi, ora assegnato a CVE 2024 49039, che consente l’esecuzione del codice al di fuori della sandbox di Firefox. Il 12 novembre 2024, Microsoft ha rilasciato una patch per questa seconda vulnerabilità.
La vulnerabilità CVE-2024-9680, scoperta l’8 ottobre, consente alle versioni vulnerabili di Firefox, Thunderbird e del browser Tor di eseguire codice nel contesto ristretto del browser. Con la vulnerabilità di Windows ancora sconosciuta CVE-2024-49039 – che ha un punteggio CVSS di 8,8 – è possibile eseguire codice arbitrario nel contesto dell’utente registrato. Utilizzate insieme, le due vulnerabilità zero-day forniscono a RomCom un exploit che non richiede alcuna interazione da parte dell’utente. Questo livello di sofisticazione dimostra l’intento e i mezzi di RomCom per ottenere o sviluppare capacità invisibili. Inoltre, tentativi di sfruttamento riusciti hanno implementato con successo la backdoor RomCom in quella che sembra essere una campagna su larga scala.
RomCom (noto anche come Storm-0978, Tropical Scorpius o UNC2596) è un gruppo filo-russo che conduce campagne opportunistiche contro industrie selezionate e operazioni di spionaggio mirate. Il gruppo ora si concentra su operazioni di spionaggio per raccogliere informazioni, insieme a operazioni di criminalità informatica più convenzionali. Nel 2024, ESET ha scoperto le operazioni di spionaggio informatico e criminalità informatica di RomCom contro enti governativi, i settori della difesa e dell’energia in Ucraina, i settori farmaceutico e assicurativo negli Stati Uniti, il settore legale in Germania ed enti governativi in Europa.
“La catena di compromissione consiste in un sito Web falso che reindirizza la potenziale vittima al server che ospita l’exploit e, se l’operazione ha esito positivo, viene eseguito lo shellcode che scarica ed esegue la backdoor RomCom. Non sappiamo come viene distribuito il collegamento al sito Web falso. Se la pagina viene raggiunta utilizzando un browser vulnerabile, un payload viene rilasciato ed eseguito sul computer della vittima senza che sia richiesta alcuna interazione da parte dell’utente”, afferma Damien Schaeffer, il ricercatore di ESET, che ha scoperto entrambe le vulnerabilità. E ha aggiunto: “Ringraziamo il team Mozilla per la sua grande reattività e la straordinaria etica del lavoro nel rilasciare una patch in un giorno.” Ogni vulnerabilità è stata corretta rispettivamente da Mozilla e Microsoft.
Questa è almeno la seconda volta che RomCom viene sorpresa a sfruttare una significativa vulnerabilità zero-day “in the wild”, dopo l’abuso di CVE-2023-36884 tramite Microsoft Word nel giugno 2023.
Per un’analisi più dettagliata e tecnica delle vulnerabilità scoperte, consultare l’ultimo blog di ESET Research “RomCom exploits Firefox and Windows zero days in the wild” su www.welivesecurity.com. Segui anche ESET Research su Twitter ESET Research su Twitter (oggi noto come X) per le ultime notizie sulla ricerca.
Related News :