PoolParty: Nuove Tecniche di Iniezione di Processi Sfuggono alle Migliori Soluzioni EDR
Una recente scoperta nel campo della sicurezza informatica solleva preoccupazioni per la vulnerabilità dei sistemi Windows. Un gruppo di ricerca di SafeBreach ha identificato e denominato un insieme di otto tecniche di iniezione di processi come “PoolParty”. Queste tecniche, se sfruttate, potrebbero consentire l’esecuzione di codice malevolo all’interno dei sistemi Windows, eludendo le soluzioni di rilevamento e risposta degli endpoint (EDR).
Le parole del ricercatore di SafeBreach, Alon Leviev, sottolineano la flessibilità e la potenza di queste tecniche, capaci di operare su tutti i processi senza alcuna limitazione. Presentate per la prima volta alla conferenza Black Hat Europe 2023, queste metodologie di iniezione di processi costituiscono una minaccia potenziale per la sicurezza informatica.
L’iniezione di processi è una tecnica utilizzata per eseguire codice arbitrario in un processo di destinazione, e PoolParty sfrutta un componente chiamato pool di thread in modalità utente di Windows per inserire elementi di lavoro nei processi di destinazione nel sistema operativo. Queste tecniche prendono di mira le fabbriche di worker, responsabili della gestione dei thread worker del pool, sovrascrivendo le routine di avvio con shellcode dannose per l’esecuzione da parte dei thread worker.
Oltre agli elementi di lavoro regolari, SafeBreach ha sviluppato altre sette tecniche di iniezione di processi sfruttando le code delle attività, i completamenti I/O e i timer basati sugli elementi di lavoro supportati.
La particolarità di PoolParty è la sua capacità di eludere completamente le soluzioni EDR popolari come quelle di CrowdStrike, Cybereason, Microsoft, Palo Alto Networks e SentinelOne, dimostrando un tasso di successo del 100%.
Questo avvertimento arriva dopo il precedente rilascio di un’altra tecnica di iniezione di processi chiamata Mockingjay, che poteva essere sfruttata per eludere le soluzioni di sicurezza. Leviev ha concluso sottolineando come gli attori minacciosi continueranno a cercare nuovi e innovativi metodi di iniezione di processi, esortando la comunità della sicurezza informatica a essere proattiva nella difesa contro queste minacce emergenti.
L’articolo fornisce un’ampia visione su PoolParty, evidenziando la sua rilevanza nel panorama della sicurezza informatica e l’importanza di adottare misure di difesa per proteggere i sistemi Windows dall’eventuale sfruttamento di queste tecniche. Segui SafeBreach per ulteriori aggiornamenti in merito alle ultime scoperte nel campo della sicurezza informatica.