Il 13 febbraio, ora locale, Microsoft ha pubblicato informazioni su CVE-2024-21412, una vulnerabilità zero-day di Windows.

La vulnerabilità è stata segnalata a Microsoft dalla comunità di scoperta delle vulnerabilità zero-day ZDI di Trend Micro ed è già stato confermato che è stata sfruttata da un gruppo di attacco mirato chiamato Water Hydra (alias DarkCasino). Inoltre, lo stesso tipo di vulnerabilità è stato ripetutamente sfruttato negli attacchi ed è molto probabile che molti criminali informatici attaccheranno la vulnerabilità dopo la sua divulgazione. Per questo motivo, si raccomanda di applicare una correzione il prima possibile.

Che cos’è CVE-2024-21412? CVE-2024-21412 è una vulnerabilità zero-day di Windows. I file di collegamento a Internet (.url) possono essere sfruttati da un utente malintenzionato per infettare malware arbitrario.

Qual è l’entità dell’impatto: sono interessati tutti i dispositivi Windows che non hanno ancora applicato la correzione pubblicata da Microsoft il 13 febbraio 2024.

La CVE-2024-21412 è stata sfruttata? Nel dicembre 2023 abbiamo osservato lo sfruttamento di CVE-2024-21412 da parte del gruppo di attacco mirato Water Hydra (alias DarkCasino); dal 25 gennaio 2024 abbiamo osservato anche un tentativo di sfruttare questa vulnerabilità da parte del gruppo di attacco DarkGate. Abbiamo osservato che dal 25 gennaio 2024 un gruppo di attacco chiamato DarkGate ha tentato di sfruttare questa vulnerabilità.

Water Hydra (noto anche come DarkCasino) è un gruppo di attacco mirato attivo dal 2021 circa, che mira principalmente a interessi finanziari. Abbiamo osservato campagne di attacco tramite e-mail false (spear-phishing) rivolte a organizzazioni e persone specifiche contro banche, asset cripto e piattaforme di trading forex, siti web di giochi d’azzardo e casinò.