Il ricercatore di sicurezza John Page ha scoperto alcune vulnerabilità nei più noti ransomware che potrebbero essere sfruttate per bloccare la fase finale dell’attacco, quella della cifratura dei file.
Analizzando alcuni sample di Conti, REvil, LockBit, Black Basta, LockiLocker, AvosLocker e WannaCry, il ricercatore ha scoperto che tutti i ceppi sono vulnerabili a DLL Hijacking, un tipo di attacco che inietta codice infetto in applicazioni legittime.
Gli exploit funzionano solo su Windows, in quanto sfruttano il modo in cui le applicazioni cercano e caricano in memoria le DLL (Dynamic Link Library). Il software che non effettua le necessarie verifiche può caricare le DLL da un percorso esterno alla sua directory, consentendo l’elevazione dei privilegi e l’esecuzione di codice indesiderato.
Page ha scritto il codice delle DLL assegnando un nome specifico che inganna il ransomware. La DLL deve essere copiata in una posizione in cui verrà quasi certamente eseguito il malware (ad esempio in una directory condivisa in rete). Quando il ransomware carica la DLL in memoria, la sua esecuzione viene interrotta prima della cifratura dei file.
Il ricercatore ha suggerito agli utenti di aggiungere le DLL alla condivisione di rete specifica che contiene dati importanti.
Page ha condiviso le sue scoperte e per ognuno dei ransomware è disponibile un report che descrive il bug, il codice dell’exploit e un video dimostrativo.
https://www.punto-informatico.it/ricercatore-scopre-bug-ransomware-noti/