Successivo
Breccia di Sicurezza

Security

Operation WizardOpium, un attacco per due falle 0-day

Alfonso Maruccia | 12 Dicembre 2019

Google Microsoft Sicurezza Windows

L’attacco noto come Operation WizardOpium sfrutta non una ma ben due falle 0-day in Chrome e Windows, con l’obiettivo ultimo […]

L’attacco noto come Operation WizardOpium sfrutta non una ma ben due falle 0-day in Chrome e Windows, con l’obiettivo ultimo di scaricare un payload malevolo e sottomettere il PC al controllo dei server remoti.

Scovata dai ricercatori di Kaspersky Lab, la minaccia nota come Operation WizardOpium aveva già fatto notizia il mese scorso a causa dell’utilizzo di una vulnerabilità zero-day presente all’interno del browser Chrome. Oltre alla falla nel browser di Google, dicono ora gli esperti della security enteprise moscovita, gli ignoti cyber-criminali hanno impiegato anche un bug critico di Windows per portare a compimento le loro azioni malevole.

Gli ignoti creatori di Operation WizardOpium hanno preso di mira e compromesso un sito di news in lingua coreana, modificandone il codice JavaScript e spingendo i visitatori del sito a eseguire uno script malevolo. Tale script era in grado di abusare della falla 0-day di Chrome per scaricare ed eseguire un payload malevolo su Windows, con l’obiettivo ultimo di scaricare ulteriori malware e ricevere istruzioni dai server di comando&controllo in mano ai cyber-criminali.

Operation WizardOpium, payload finale
Codice del payload finale scaricato da Operation WizardOpium

Ora, in seguito alla distribuzione del Patch Tuesday di dicembre 2019 per tutte le versioni di Windows supportate da Microsoft, è emerso un ulteriore livello di complessità che caratterizza l’attacco Operation WizardOpium: oltre alla falla di Chrome, i cyber-criminali stavano attivamente sfruttando una falla 0-day di Windows (CVE-2019-1458) per sfuggire alla sandbox del browser, guadagnarsi i livelli di accesso come amministratori sul PC e scaricare i malware di cui sopra.

I creatori di Operation WizardOpium e le finalità dell’attacco sono a tutt’oggi ignoti, mentre gli utenti e le aziende che mantengono le loro piattaforme informatiche sempre aggiornate possono tirare un sospiro di sollievo: la falla 0-day di Chrome è stata chiusa con la release 78 del browser, mentre il Patch Tuesday di dicembre ha neutralizzato il bug CVE-2019-1458 in Windows.