Nel mondo della cyber security, il concetto di zero-day evoca sempre una certa tensione. Si tratta di vulnerabilità sconosciute al vendor, non ancora corrette con una patch ufficiale, ma già sfruttate da attori malevoli.

Quando una di queste vulnerabilità viene usata per anni sotto traccia da gruppi APT sponsorizzati da Stati-nazione, siamo di fronte a un problema di sicurezza sistemica. Ed è esattamente ciò che è emerso in questi giorni attorno alla vulnerabilità CVE-2024-21412 (corretta in occasione del Patch Tuesday di febbraio 2024), al centro di una recente ondata di allarmi pubblicata da Trend Micro, Microsoft e testate specializzate come The Hacker News, Bleeping Computer e The Register.

Il cuore del problema

La vulnerabilità in questione affligge il sistema di gestione dei file LNK (i cosiddetti collegamenti di Windows) ed è parte di una catena di exploit sofisticata volta a bypassare la Microsoft Defender SmartScreen, il meccanismo di sicurezza che protegge gli utenti da applicazioni e contenuti potenzialmente pericolosi.

Più nello specifico, CVE-2024-21412 è un bypass della patch precedente rilasciata per la vulnerabilità CVE-2023-36025. In parole povere, gli attori malevoli hanno trovato un modo per aggirare una mitigazione pensata per bloccare un attacco precedente, confermando la nota regola della cyber security: ogni patch è una nuova frontiera, non una garanzia.

Una campagna che dura da anni

Il dato che ha scosso la community è che questa falla non è una novità assoluta: stando al report pubblicato da Trend Micro, questa vulnerabilità (e le sue varianti) sarebbero state sfruttate da almeno 11 gruppi APT differenti, molti dei quali legati a governi e operativi sin dal 2017.

Tra i più noti:

• Water Hydra (alias DarkCasino), un gruppo attribuito all’area russofona, noto per campagne contro piattaforme di trading online;
• APT28 (Fancy Bear), collegato al GRU russo;
• APT41, gruppo cinese polivalente attivo sia in ambito cybercrime che cyber spionaggio;
• Kimsuky, gruppo nordcoreano focalizzato su obiettivi di intelligence;
• Lazarus Group, altro noto attore sponsorizzato dal regime nordcoreano;
• OilRig e Charming Kitten, gruppi iraniani dediti allo spionaggio in ambito politico e industriale.

L’ampiezza temporale e geografica della minaccia racconta una realtà inquietante: per almeno sette anni, questa debolezza è rimasta nella catena di sicurezza di Windows, sotto il radar di Microsoft e della comunità, ma ben visibile agli occhi degli attori più sofisticati.

Il meccanismo dell’exploit

Gli attacchi documentati si basano su una tecnica ormai classica: la combinazione tra ingegneria sociale, vulnerabilità zero-day e file manipolati.

Il vettore iniziale è spesso un file ZIP distribuito tramite email o link compromessi. All’interno, un innocuo file .URL o .LNK rimanda a un contenuto ostile su un server remoto. Sfruttando la CVE-2024-21412, il collegamento riesce a ingannare Defender SmartScreen, facendo passare il file come sicuro e permettendone l’esecuzione senza avvisi all’utente.

Una volta che il codice malevolo è eseguito, inizia la fase due: download di ulteriori payload, accesso remoto, esfiltrazione dati o impianto di backdoor.

L’eco di CVE-2023-36025 e le responsabilità del patching

È importante notare come CVE-2024-21412 derivi direttamente dalla parziale inefficacia della patch per CVE-2023-36025, rilasciata a novembre 2023. All’epoca, quella vulnerabilità aveva già attirato l’attenzione per il modo in cui consentiva il bypass di SmartScreen e per la sua diffusione tramite Microsoft OneNote, utilizzata come vettore phishing.

Tuttavia, la patch si è rivelata incompleta, lasciando una finestra aperta che è stata subito sfruttata da threat actor ben preparati. Questo porta a una riflessione inevitabile: la gestione delle patch è diventata parte integrante della catena di attacco, e i criminali la studiano con attenzione quasi quanto i difensori.

Il ruolo di Trend Micro nella scoperta

A segnalare attivamente la falla è stato il team Zero Day Initiative (ZDI) di Trend Micro, che ha scoperto l’exploit durante l’analisi di una campagna portata avanti dal gruppo Water Hydra. In particolare, gli attacchi erano rivolti contro piattaforme finanziarie, e l’obiettivo era quello di infettare i dispositivi di trader e broker con un malware capace di rubare credenziali e compromettere intere sessioni di trading.

Trend Micro ha quindi notificato Microsoft, che ha assegnato la CVE e rilasciato la patch il 13 febbraio 2024.

Considerazioni e implicazioni

Questo caso solleva alcuni interrogativi cruciali:

1. Quanto siamo in grado di accorgerci delle vulnerabilità realmente sfruttate nel tempo? Il fatto che una falla esista da 7 anni e sia stata sfruttata da ben 11 gruppi APT ci dimostra che le difese statiche, basate solo su firme o patch, non sono sufficienti.
2. Quanto può ancora definirsi “sicuro” un sistema operativo general purpose come Windows, se vulnerabilità di base come i collegamenti LNK vengono trascurate o sottovalutate?
3. Che ruolo ha la threat intelligence in questo contesto? La scoperta della vulnerabilità è stata possibile solo grazie a un lavoro di intelligence avanzata. Le aziende dovrebbero integrare più strettamente threat intelligence e gestione della superficie d’attacco.
4. Cosa ci insegna questo episodio sul concetto di sicurezza “reattiva”? Troppo spesso, la sicurezza si muove solo dopo il rilascio di una patch. Ma in casi come questo, l’approccio reattivo arriva tardi: molto tardi.

Cosa fare ora

Per gli utenti finali e le aziende, i consigli sono chiari:

• Applicare immediatamente la patch di febbraio 2024 distribuita da Microsoft per CVE-2024-21412.
• Rafforzare l’analisi comportamentale tramite soluzioni EDR/XDR, capaci di intercettare attività anomale anche in presenza di file apparentemente leciti.
• Affidarsi a un servizio di threat intelligence aggiornato, in grado di correlare indicatori di compromissione anche retroattivi.
• Formare il personale contro le tecniche di ingegneria sociale ancora oggi alla base della maggior parte degli attacchi.

Conclusione

Il caso della vulnerabilità CVE-2024-21412 è emblematico. Dimostra come il mondo delle minacce sia sempre più stratificato, persistente e professionale.

Se una singola vulnerabilità può restare latente per sette anni, colpendo trasversalmente obiettivi globali, significa che non possiamo più affidarci solo agli strumenti di difesa convenzionali.

Serve un cambio di paradigma, dove la sicurezza informatica venga affrontata come un processo continuo, non come un insieme di strumenti tecnici.

E serve una consapevolezza più matura da parte di tutti gli attori – vendor, aziende e utenti – per riconoscere che ogni collegamento cliccato può aprire una porta. Ma ogni porta può – e deve – essere sorvegliata.