PowerPool sfrutta la vulnerabilità zero-day di Windows

Qualche giorno fa ho scritto della vulnerabilità zero-day di Windows (da Windows 7 fino a Windows 10) che consente una local privilege escalation. Poiché l’annuncio della vulnerabilità comprendeva anche il link a una Proof-of-concept, molti temevano che qualcuno di lì a poco avrebbe creato un malware sfruttando tale exploit, e così infatti è stato.

I ricercatori di ESET hanno scoperto un malware creato dal gruppo PowerPool che contiene il codice sorgente della PoC leggermente modificato. Finora la telemetria di ESET ha riscontrato un numero relativamente basso di infezioni, localizzate prevalentemente in Cile, Germania, India, Olanda, Polonia, Russia, Regno Unito, Stati Uniti e Ucraina.

Ma questo non significa che altro malware non possa sfruttare la stessa vulnerabilità, poiché ad oggi ancora non esiste una patch e Microsoft non ha approvato nessuna delle misure di mitigazione finora pubblicate. Questo significa che anche un sistema Windows aggiornato alle ultime patch oggi può essere vulnerabile.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.