Le vulnerabilità consentono il dirottamento della maggior parte dei ransomware

 

Un ricercatore ha mostrato come un tipo di vulnerabilità che colpisce molte famiglie di ransomware può essere sfruttato per controllare il malware e terminarlo prima che possa crittografare i file sui sistemi compromessi. Il ricercatore John Page (alias hyp3rlinx) ha condotto un progetto chiamato Malvuln, cataloga le vulnerabilità trovate in vari malware. Il progetto Malvuln è stato lanciato all'inizio del 2021. Al 4 maggio 2022, Malvuln ha catalogato quasi 600 vulnerabilità del malware. Nei primi giorni di maggio, John Page ha aggiunto 10 nuove voci che descrivono le vulnerabilità riscontrate nelle famiglie di ransomware Conti, REvil, Loki Locker, Black Basta, AvosLocker, LockBit e WannaCry. Il ricercatore ha scoperto che queste e probabilmente altre famiglie di ransomware sono interessate da vulnerabilità di dirottamento delle DLL. Questi tipi di difetti possono in genere essere sfruttati per l'esecuzione di codice arbitrario e l'escalation dei privilegi posizionando un file appositamente predisposto in una posizione in cui verrebbe eseguito prima della DLL legittima.Nel caso del ransomware, un "attaccante" può creare un file DLL con lo stesso nome di una DLL che viene cercato e infine caricato dal ransomware. Se la nuova DLL viene posizionata accanto all'eseguibile del ransomware, verrà eseguita al posto del malware. Questo può essere utilizzato per intercettare il malware e terminarlo prima che possa crittografare qualsiasi file.Il ricercatore ha notato che le DLL possono essere nascoste: lo fa nei suoi video PoC usando il comando "attrib +s +h" di Windows."I sistemi di protezione degli endpoint e/o l'antivirus possono essere potenzialmente uccisi prima dell'esecuzione del malware, ma questo metodo non può poiché non c'è nulla da uccidere: la DLL vive solo su disco in attesa", ha spiegato John Page. "Da una prospettiva difensiva, puoi aggiungere le DLL a una specifica condivisione di rete contenente dati importanti come approccio a più livelli". John Page ha detto  che alcuni dei campioni di ransomware che ha testato sono molto recenti, ma ha notato che il metodo funziona contro quasi tutti i ransomware, confrontandolo con un "vaso di vulnerabilità di Pandora".Il ricercatore ha anche pubblicato video che mostrano lo sfruttamento delle vulnerabilità di ciascun ransomware. I video mostrano come al malware viene impedito di crittografare i file se un file DLL appositamente predisposto viene inserito nella stessa cartella dell'eseguibile del ransomware.

Il database Malvuln memorizza informazioni su bypass dell'autenticazione, esecuzione di comandi/codice, credenziali hardcoded, DoS, SQL injection, XSS, XXE, CSRF, attraversamento di percorsi, divulgazione di informazioni, autorizzazioni non sicure, vulnerabilità relative alla crittografia e altri tipi di vulnerabilità riscontrati nel malware.

John Page ha recentemente presentato anche Adversary3, uno strumento open source descritto come uno "strumento di informazioni sulla vulnerabilità del malware per aggressori di terze parti". Lo strumento è scritto in Python ed è progettato per facilitare l'accesso ai dati dal database Malvuln, consentendo agli utenti di trovare vulnerabilità in base alla categoria di exploit.

Il ricercatore afferma che lo strumento potrebbe essere utile negli impegni di squadra rossa. Ad esempio, il tester potrebbe cercare dispositivi che ospitano malware e sfruttare le vulnerabilità di quel malware per aumentare i privilegi.

Quando il progetto è stato lanciato, alcuni membri della comunità della sicurezza informatica hanno espresso preoccupazioni sul fatto che le informazioni potessero essere utili agli sviluppatori di malware, aiutandoli a correggere le vulnerabilità, alcune delle quali potrebbero essere state sfruttate silenziosamente per scopi di intelligence sulle minacce.

Tuttavia, le vulnerabilità del ransomware e lo strumento Adversary3 mostrano che il progetto può essere utile anche alla comunità della sicurezza informatica.