CVE-2024-21412: vulnerabilità zero-click di Windows sfruttata per sette anni

Vulnerabilità zero-click in Windows sfruttata per sette anni da gruppi APT. Scopri come funziona CVE-2024-21412 e come proteggerti.

Esistono vulnerabilità che passano inosservate per giorni, altre per settimane. Ma quando un attacco riesce a sfruttare una falla per sette anni consecutivi, vuol dire che qualcosa è andato ben oltre il proprio perimetro digitale. Si incrina la fiducia, vacilla l’intero modello difensivo su cui si basano sistemi, aziende e istituzioni.

Cos’è CVE-2024-21412?
Sette anni di attacchi invisibili
Best practices contro CVE-2024-21412

cve-2024-21412-vulnerabilita-windows-image

È esattamente ciò che è accaduto con CVE-2024-21412, una vulnerabilità zero-day rimasta in silenzio nel cuore di Windows per quasi un decennio. Sfruttata da gruppi APT con obiettivi governativi e industriali, ha permesso di bypassare le protezioni di sicurezza più diffuse. Si tratta senza dubbio di un caso capace di sollevare interrogativi pesanti non solo sulla vulnerabilità in sé, ma sul modo con cui vengono gestite le patch, rilevati i segnali e affrontate le minacce persistenti.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è CVE-2024-21412?

Identificata ufficialmente il 13 febbraio 2024, CVE-2024-21412 è una vulnerabilità critica di tipo zero-click, sfruttabile tramite file LNK malevoli. Il difetto risiede nella gestione dei collegamenti di Windows, quei file con estensione .lnk comunemente utilizzati per avviare applicazioni o aprire cartelle. In condizioni normali, l’interazione con questi file è filtrata da sistemi di protezione come Microsoft Defender SmartScreen. Ma in questo caso, gli attaccanti hanno trovato un modo per bypassare completamente questo filtro.

La vulnerabilità consente di eseguire codice arbitrario senza alcuna interazione diretta da parte dell’utente, semplicemente convincendolo ad aprire un file infetto da una risorsa condivisa, un allegato o un’unità USB. Una volta avviato il file .lnk appositamente confezionato, la protezione SmartScreen viene elusa e il payload viene eseguito senza che l’utente riceva alcun avviso o richiesta di conferma.

Classificata con un punteggio CVSS v3.1 (Common Vulnerability Scoring System) pari a 8.1 su 10, CVE-2024-21412 è stata inserita da Microsoft tra le vulnerabilità Exploitation Detected, indicando che era già attivamente sfruttata prima ancora della pubblicazione ufficiale. Il problema è stato risolto con un aggiornamento cumulativo nel Patch Tuesday di febbraio 2024, ma l’impatto residuo rimane elevato per i sistemi non aggiornati.

Sette anni di attacchi invisibili

L’aspetto più allarmante di CVE-2024-21412 non è solo la sua pericolosità tecnica, ma la longevità operativa che l’ha contraddistinta. Tracce del suo utilizzo risalgono addirittura al 2017, periodo in cui diversi gruppi APT (Advanced Persistent Threat), tra cui Water Hydra, APT28, APT41, Lazarus Group, Kimsuky e OilRig, hanno iniziato a sfruttare la falla per scopi di spionaggio e compromissione persistente. In alcuni casi, la vulnerabilità è stata impiegata per colpire istituzioni finanziarie, agenzie governative e fornitori di tecnologia avanzata.

Il meccanismo di attacco era tanto silenzioso quanto efficace. I file LNK malevoli venivano distribuiti attraverso siti compromessi, chiavette USB e allegati camuffati da documenti legittimi. Una volta avviati, eludevano i controlli di SmartScreen e avviavano esecuzioni arbitrarie di script o downloader, installando backdoor e collezionando dati sensibili dal sistema target. Il tutto senza richiedere il clic su un eseguibile, né generare alert evidenti nei log di sicurezza.
La persistenza di questa tecnica per oltre sette anni solleva dubbi legittimi sull’efficacia del processo di patching, sull’affidabilità delle telemetrie Microsoft e sulla capacità delle aziende di riconoscere gli indicatori di compromissione.

Best practices contro CVE-2024-21412

La lunga attività di CVE-2024-21412 dimostra quanto sia rischioso affidarsi esclusivamente ai sistemi di protezione automatizzati. In scenari del genere, la prevenzione deve basarsi su una combinazione di buone pratiche tecniche, monitoraggio attivo e politiche di aggiornamento solide. Ecco alcune misure da adottare per difendersi da minacce simili.

Applicare gli aggiornamenti di sicurezza appena disponibili.
Le patch devono essere installate in tempi rapidi, soprattutto quando riguardano componenti di sistema come SmartScreen o la gestione dei file LNK.
Bloccare l’esecuzione dei file .lnk da percorsi remoti.
È consigliabile disabilitare l’apertura automatica di file LNK provenienti da condivisioni di rete, dispositivi USB o allegati email.
Segmentare e isolare le postazioni vulnerabili.
Le macchine che non possono essere aggiornate vanno messe in rete isolata, con accessi limitati e monitoraggio costante del traffico.
Utilizzare soluzioni EDR con analisi comportamentale.
I file .lnk malevoli possono eludere l’analisi statica. Serve un EDR in grado di rilevare anomalie durante l’esecuzione.
Formare utenti e dipendenti sull’identificazione di minacce file-based.
Anche se l’attacco è zero-click, la distribuzione iniziale passa spesso da tecniche sociali. La consapevolezza è parte integrante della difesa.
Monitorare i log di sistema e SmartScreen per eventi anomali.
Eventuali errori, bypass o comportamenti sospetti legati a SmartScreen possono essere indicatori di exploit in corso o falliti.

In conclusione

La vicenda di CVE-2024-21412 ci ricorda che nel mondo della cybersecurity il tempo gioca sempre a favore dell’attaccante. Per sette anni, una vulnerabilità presente in milioni di sistemi Windows è rimasta sotto traccia, sfruttata da gruppi APT per violare silenziosamente target strategici. Un attacco che non richiede clic, né interazioni, né autorizzazioni evidenti: solo un collegamento .lnk ben confezionato e una difesa che dà per scontata la propria efficacia.

In questo scenario, non basta installare le patch. Serve una cultura di sicurezza ben radicata, capace di mettere in discussione i presidi esistenti, di individuare segnali deboli e di trattare ogni file, ogni processo, ogni eccezione come un potenziale vettore d’attacco. Perché, come dimostra questa vicenda, la vera forza degli attaccanti non è la complessità tecnica, ma la nostra disattenzione.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.