attualità

Malware invisibili, le nuove minacce che sfruttano gli enclavi VBS di Windows



Indirizzo copiato

Una nuova tecnica sfrutta la tecnologia di Virtualization Based Security per nascondere codice dannoso e sfuggire ai controlli di sicurezza. L’analisi di Akamai

Pubblicato il 18 mar 2025



data disaster recovery

Akamai ha recentemente pubblicato una ricerca condotta dal suo esperto di sicurezza Ori David, che mette in luce un nuovo e sofisticato vettore di attacco informatico. Il report dimostra come gli attaccanti possano sfruttare gli enclavi VBS (Virtualization-Based Security) di Windows per sviluppare malware estremamente elusivi e difficili da rilevare.

Questa tecnica, denominata “enclave malware”, consente di nascondere codice dannoso all’interno di un’area della memoria del sistema protetta e inaccessibile ai tradizionali strumenti di analisi forense e ai software di sicurezza. Le implicazioni di questa scoperta sono significative e richiedono nuove strategie di difesa informatica.

Cosa sono gli enclavi VBS?

Gli enclavi VBS sono una tecnologia introdotta da Microsoft per rafforzare la sicurezza del sistema operativo. Basati su Virtual Trust Levels (VTL), questi enclavi permettono di isolare sezioni della memoria, rendendole inaccessibili non solo ai normali processi di sistema, ma anche al kernel e agli strumenti di monitoraggio della sicurezza.

L’obiettivo originario di questa tecnologia era quello di proteggere dati sensibili e migliorare la sicurezza di funzionalità come Credential Guard e Hypervisor-Protected Code Integrity (HVCI). Tuttavia, gli stessi meccanismi di isolamento che proteggono i dati possono essere sfruttati dai cybercriminali per nascondere codice malevolo e renderlo invisibile agli strumenti di rilevamento tradizionali.

Come possono essere sfruttati in modo malevolo?

La ricerca di Akamai evidenzia diverse tecniche con cui gli attaccanti possono sfruttare gli enclavi VBS per eseguire codice dannoso, tra cui:

  • Abuso di vulnerabilità di sistema: exploit come CVE-2024-49706 permettono di caricare codice non firmato all’interno di un enclave, bypassando i meccanismi di protezione di Windows. 
  • Uso di enclavi vulnerabili: attaccanti possono sfruttare enclavi legittime ma affette da vulnerabilità per iniettare malware, in un approccio simile alla tecnica “Bring Your Own Vulnerable Driver” (BYOVD). 
  • Tecnica Mirage: una nuova metodologia di evasione che utilizza enclavi compromessi per nascondere payload malevoli in memoria, impedendo il rilevamento da parte degli strumenti di sicurezza. 

Una delle caratteristiche più pericolose del malware basato su enclavi VBS è la sua capacità di eseguire chiamate API in modo invisibile ai software di Endpoint Detection and Response (EDR). Poiché il codice in esecuzione all’interno di un enclave non interagisce direttamente con il kernel tradizionale di Windows, gli strumenti di sicurezza non riescono a monitorare le sue attività, rendendo estremamente difficile l’individuazione di comportamenti malevoli.

Come contrastare questa minaccia?

Nonostante la complessità di questa tecnica di attacco, esistono strategie per individuare e mitigare il rischio rappresentato dal malware basato su enclavi VBS. Akamai suggerisce le seguenti contromisure:

  • Monitoraggio delle API di enclave: tracciare chiamate a funzioni come CreateEnclave e CallEnclave può rivelare attività sospette. 
  • Rilevamento di DLL sospette: il caricamento di librerie come Vertdll.dll e ucrtbase_enclave.dll in processi non convenzionali può indicare la presenza di malware. 
  • Definizione di baseline comportamentali: stabilire quali applicazioni legittime utilizzano enclavi VBS permette di identificare eventuali anomalie e attivare misure di sicurezza appropriate. 

Sebbene l’uso di enclave malware sia ancora un concetto relativamente nuovo e sperimentale, gli esperti avvertono che questa minaccia potrebbe diventare sempre più diffusa con la crescente adozione della tecnologia VBS da parte di Windows.

Speciale Digital Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5