I ransomware sono vulnerabili? Un ricercatore trova una falla e li neutralizza. Ecco come
I ransomware più comunemente usati oggi possono essere vulnerabili ad una tecnica che, confezionando un'apposita DLL, consente di bloccare in anticipo la fase di cifratura dei file
di Andrea Bai pubblicata il 05 Maggio 2022, alle 13:31 nel canale SicurezzaIn un'ironica legge del contrappasso, un ricercatore di sicurezza è riuscito ad individuare una vulnerabilità in alcuni dei ransomware più diffusi al momento che può essere sfruttata per bloccare la fase più pericolosa della loro attività, ovvero proprio quella della crittografia dei file.
Il ricercatore, hyp3rlinx che opera nel contesto del progetto Malvuln, ha scoperto che molti dei ransomware maggiormente utilizzati (Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker) possono essere vulnerabili al "dirottamento di DLL", una tecnica che viene spesso sfruttata dagli hacker per iniettare codice dannoso in un'applicazione legittima.
Si tratta di un metodo che può essere usato solamente in ambiente Windows, e si basa sul modo in cui le applicazioni cercano e caricano in memoria i file DLL di cui hanno bisogno. In questo caso un'applicazione con un meccanismo di controllo non sufficiente può caricare una DLL da un percorso esterno alla sua directory, scalando permessi o eseguendo codice indesiderato.
Per sfruttare la vulnerabilità il ricercatore ha realizzato un codice exploit che deve essere compilato in una DLL con un nome specifico in maniera tale che il ransomware venga ingannato a riconoscerla come propria e la carichi per avviare la crittografia dei file. Una volta che la DLL viene caricata, il processo del ransomware termina prima che l'operazione di crittografia venga eseguita.
La DLL così confezionata può essere collocata in un luogo in cui è probabile che gli aggressori eseguano il ransomware, ad esempio in un percorso di rete che contiene file importanti. Il ricercatore sottolinea inoltre che mentre un malware può adottare contromisure per neutralizzare eventuali soluzioni di sicurezza presenti sulla macchina presa di mira, poco può fare nei confronti di una DLL poiché è un file "inerte" sul disco della macchina, fino a quando non viene caricata.
Per ogni campione di malware analizzato il ricercatore ha condiviso un report che descrive il tipo di vulnerabilità rilevata, l'hash del campione e un exploit dimostrativo.
In ogni caso è lecito pensare che questo tipo di vulnerabilità verrà prontamente corretta dai gruppi ransomware, che sono soliti risolvere le eventuali falle nei loro strumenti in maniera piuttosto reattiva, specie quando vengono condivise informazioni pubblicamente. Non è comunque da escludere che la tecnica mostrata da hyp3rlinx possa essere utilizzata con efficacia per prevenire od ostacolare tentativi di compromissione.
Il guidatore elettrico esperto prova la nuova Dacia Spring: È davvero valida?
Mac Mini M2, il sistema Apple più economico. Ma attenti alla memoria
Diablo IV: provata la Closed Beta! Ecco com'è
Nissan sta sviluppando una Skyline GT-R elettrica. Ma il video è contraddittorio
ECOVACS DEEBOT X1 OMNI a 999€ ed ECOVACS DEEBOT X1e OMNI a 849€, più altri prezzi da non perdere per gli aspirapolvere smart
Redmi Note 12 Turbo ufficiale con 16GB di RAM e 1TB di storage. Prezzo e dettagli
PlayStation VR 2 disponibile (e in offerta) su Amazon. E PS5 in grandi volumi!
Incidente assurdo, Tesla Autopilot evita una ruota impazzita | Video
Windows 12 su base tutta nuova: ecco cos'è CorePC e come cambierà l'OS Microsoft
AirPods Pro 2021 con custodia MagSafe al prezzo più basso di sempre su eBay! Ecco il codice coupon
3 combo scheda madre+CPU AMD Ryzen 5 7600X a prezzi super convenienti su Amazon. E occhio agli SSD!
Addio ai telefoni Lenovo Legion. L'azienda chiude la produzione di gamingphone
Offerte di Primavera Amazon: prezzi super su bici elettriche, scooter elettrici e altro per le attività all'aperto
Apple Music Classical è disponibile! Ecco tutto quello che dovete sapere 
ROG Phone 7, trapelate alcune specifiche tecniche dei nuovi smartphone gaming
Intel, nuovi driver per le schede video Arc Pro dopo quattro mesi
Speciale Soundbar e Televisori: c'è chi fa affari con le Offerte di Primavera Amazon su prodotti Hisense, Samsung, Sony e c'è chi mente
5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infose si copia la DLL modificata in una cartella utente quale Documenti o Downloads, questo inficerà gli eseguibili linkati con quella DLL, avviati da queste cartelle - ma difficilmente si tratterà di applicazioni regolari..
-perchè non gestire una whitelist degli applicativi che possono effettuare la crittografia; tutto quello che è fuori non la può eseguire
-perchè non controllare la whitelist direttamente da hardware col suo nome/percorso e hash
Acqua calda
Cavolo davvero hanno scoperto l'acqua calda? DLL redirection te la insegnano nel corso di sicurezza base 1 for dummies :-)Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".