Negli ultimi aggiornamenti di sicurezza, due exploit zero-day stanno creando preoccupazione per la protezione dei dati su Windows e Google Chrome. Da un lato, una vulnerabilità che riguarda i Temi di Windows espone le credenziali NTLM degli utenti a potenziali attacchi di rete, mentre dall’altro, Google Chrome deve affrontare un nuovo strumento di bypass per la crittografia dei cookie, progettato per prevenire furti di dati sensibili. Queste problematiche sottolineano l’importanza di rimanere informati e cauti nell’uso dei dispositivi digitali.
Vulnerabilità nei Temi di Windows
La vulnerabilità nei Temi di Windows rappresenta un esempio di come anche i file di configurazione più innocui possano trasformarsi in strumenti pericolosi. Questa falla consente ai temi di inviare richieste di autenticazione a server remoti non autorizzati, facilitando la trasmissione degli hash NTLM degli utenti a potenziali aggressori. Scoperta dai ricercatori di ACROS Security, questa vulnerabilità non richiede azioni particolari da parte dell’utente: basta che il file tema dannoso venga visualizzato in una cartella per attivare il processo. Il rischio maggiore associato a questo exploit deriva dalla possibilità di attacchi NTLM relay e pass-the-hash.
Un hacker, sfruttando semplicemente l’hash NTLM ottenuto, può accedere a dati e risorse di rete senza conoscere effettivamente la password. Questa tecnica consente movimenti laterali nella rete aziendale, aumentando il rischio di compromissione di altri sistemi e potenzialmente creando un ambiente favorevole per ulteriori attacchi. In attesa di una patch ufficiale da parte di Microsoft, ACROS Security ha reso disponibile gratuitamente una micropatch tramite la piattaforma 0patch. Questa micropatch mira a bloccare l’esecuzione di temi che fanno riferimento a host remoti. Inoltre, Microsoft consiglia di adottare politiche di sicurezza che limitino l’invio di hash NTLM, una misura temporanea che tuttavia potrebbe influire sull’autenticazione automatica in contesti di rete.
Strumento di Bypass della Crittografia dei Cookie di Chrome
In un contesto simile, alcuni problemi hanno riguardato il browser del colosso di Mountain View. Google ha introdotto nel luglio 2024 la crittografia “App-Bound” per i cookie di Chrome, con l’obiettivo di contrastare i malware infostealer, noti per sottrarre dati sensibili dagli utenti. Questa nuova misura di sicurezza utilizza un servizio di sistema, chiamato IElevator, che richiede privilegi elevati per decifrare i cookie, rendendo più difficile per i malware a basso livello accedere ai dati sensibili. Tuttavia, un nuovo strumento sviluppato da Alexander Hagenah è in grado di decifrare questi cookie criptati.
Sebbene il tool necessiti di accesso a livello amministrativo e sfrutti IElevator per accedere ai dati, questo non scoraggia i cybercriminali, che spesso attaccano macchine vulnerabili con accesso amministrativo già attivo. La pubblicazione del tool su GitHub ha aumentato il rischio per gli utenti che memorizzano cookie sensibili, incrementando la probabilità di furto di dati, comprese credenziali di accesso e dettagli di pagamento.