Di recente, alcune importanti organizzazioni dedite alla sicurezza informatica hanno segnalato ben 2 pericoli per i sistemi Windows, in grado di compiere un’elaborata opera di spionaggio, nel caso del malware Slingshot, e di eseguire codice malevolo in ben 500 milioni di computer, nel caso venga sfruttata la vulnerabilità “BATE”.
Nei giorni scorsi, i ricercatori russi della security house Kaspersky hanno annunciato d’aver scoperto il più pericoloso malware degli ultimi anni, ribattezzato Slingshot, che – grazie al suo approccio modulare – è in grado di combinare “vecchi e nuovi elementi“, risolvendo anche problematiche avanzate in modo “elegante“. Secondo gli esperti, all’interno di Slingshot sarebbero presenti due componenti in grado di interagire tra loro, e di aiutarsi nei compiti: “Cahnadr” abilita l’accesso allo storage ed alle memorie di lavoro, gestisce le risorse hardware sì da neutralizzare eventuali misure o segnalazioni di sicurezza, ed esegue il codice dannoso senza mandare in crash il sistema. Il compagno “GollumApp”, oltre alle attività di persistenza, dall’alto delle sue 1500 funzioni, si occupa di controllare il file system, e di supportare le comunicazioni verso il server remoto di command & control dell’hacker.
I dati cui può accedere Slingshot sono impressionanti: capace di registrare gli input da tastiera, può accedere alla clipboard, rubare password e credenziali, registrare il desktop, scattare degli screenshot, analizzare il traffico di rete, ed i dati contenuti nelle periferiche USB annesse. In realtà, potendo accedere al file system di Windows, non v’è dato o risorsa della macchina infetta cui non possa ambire. Il tutto senza farsi notare: dopo essersi inoltrato nel sistema tramite il download di file infetti dai router del produttore lettone MikroTK, Slingshot si crea una partizione virtuale criptata nella quale alloggiare, cifra ogni riga di codice dei suoi tanti moduli, aggira gli antivirus comunicando direttamente con i servizi di sistema, e va in stand-by quando rileva l’installazione di software per le indagini forensi. Insomma, un funzionamento che richiede competenze di alto profilo e che spiega bene come Slingshot sia passato inosservato per ben 6 anni, dal 2012.
Questo, unito al fatto che i computer compromessi sono poche centinaia, di utenti singoli e di istituzioni governative (per lo più in Africa, e Medio Oriente), ha fatto pensare ad una vera e propria campagna di spionaggio in grande stile, e con ampio dispiego di mezzi, messa in atto da qualche Stato, con hacker che, a quanto pare, parlerebbero un “corretto inglese”.
L’altra minaccia è stata scovata – eseguendo una sessione dal browser Edge – da un team di esperti dell’Università di Padova, e consiste in una vulnerabilità, battezzata “BATE“, che affliggerebbe il sistema di sicurezza CFG (Control Flow Guard), introdotto da Microsoft in Windows 10 e, per la retro compatibilità, anche in Windows 8.1 con l’update 3, in modo da evitare l’esecuzione di codice arbitrario esterno in alcune sensibili aree di sistema: insomma, una misura pensata in ottica anti-ransomware e contro gli attacchi 0-day (non ancora sanati dalle patch di sicurezza). Debitamente segnalata per tempo a Redmond, però, tale vulnerabilità sarà sanata da Microsoft solo col rilascio del Major Update Redstone 4 (ovvero, con lo Spring Creators Update ), in arrivo in primavera: nel frattempo, risulteranno vulnerabili circa 500 milioni di computer in tutto il mondo.