Lo scorso ottobre la tecnologia Automatic Exploit Prevention di Kaspersky Lab ha rilevato un nuovo exploit per una vulnerabilità zero-day in Microsoft Windows. Si tratta del secondo nel giro di un solo mese, usato in una serie di attacchi informatici in Medio Oriente. Dopo essere stata segnalata da Kaspersky Lab, il 13 novembre la vulnerabilità è stata corretta da Microsoft.
Anton Ivanov, Security Expert di Kaspersky Lab L’autunno 2018 è una stagione piuttosto calda sul fronte delle vulnerabilità zero-day. Solo in un mese, ne abbiamo scoperte due e abbiamo rilevato due serie di attacchi in una singola regione. La discrezione con cui si muovono gli autori delle minacce nel portare avanti la loro attività ci ricorda che è di fondamentale importanza, soprattutto per le aziende, avere tutti gli strumenti necessari e soluzioni abbastanza intelligenti da assicurare una protezione da minacce così sofisticate. In mancanza di queste, potrebbero diventare obiettivo di complessi attacchi mirati venuti dal nulla.
Questi attacchi, veicolati tramite vulnerabilità zero-day, sono tra i più pericolosi perché sfruttano punti deboli sconosciuti e irrisolti, quindi difficili da rilevare e da prevenire. Se però rilevate dai cybercriminali, queste vulnerabilità potrebbero essere utilizzate per la creazione di exploit, speciali programmi dannosi in grado di fornire l’accesso ad un intero sistema. Uno scenario con modalità “hidden threat” ampiamente utilizzato dagli autori di attacchi APT.
Come agisce AEP di Kaspersky Lab Condotta da Kaspersky Lab, l’analisi del nuovo exploit ha portato a rilevare una vulnerabilità zero-day precedentemente sconosciuta. Nonostante il metodo di diffusione sia ancora ignoto, ciò che si sa è che l’exploit è stato eseguito dalla prima fase di un programma di installazione di malware per ottenere i privilegi necessari per essere sempre presente sui sistemi delle vittime.
L’exploit ha consentito il targeting solo della versione a 32 bit di Windows 7. Secondo gli esperti di Kaspersky Lab, non c’è ancora un’idea chiara su chi possa essere l’autore degli attacchi, ma si pensa che l’exploit sviluppato venga utilizzato da almeno uno o più autori di campagne APT. Agli inizi di ottobre, solo alcune settimane prima, era stato individuato un altro exploit per una vulnerabilità zero-day riguardante Microsoft Windows che veniva distribuito sui dispositivi delle vittime tramite una backdoor PowerShell. La tecnologia di Kaspersky Lab aveva identificato in modo proattivo la minaccia e l’aveva segnalata a Microsoft.
Come evitare gli exploit zero-day Per contrastare gli exploit zero-day Kaspersky Lab consiglia di:
-evitare, se possibile, l’uso di software noti per essere vulnerabili o utilizzati di recente in attacchi informatici; -assicurarsi che il software utilizzato nella propria azienda sia regolarmente aggiornato con le versioni più recenti. Le soluzioni di sicurezza dotate di “Vulnerability Assessment” e con funzionalità di gestione delle patch possono aiutare ad automatizzare questi processi; -Utilizzare una soluzione di sicurezza come Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento “behaviour-based” per una protezione efficace contro minacce note e sconosciute, compresi gli exploit; -Implementare strumenti di sicurezza avanzati come Kaspersky Anti Targeted Attack Platform (KATA) nel caso in cui un’azienda scopra di essere diventata oggetto di attacchi mirati; -Fornire al proprio team di sicurezza l’accesso alle risorse di intelligence sulle cyberminacce più aggiornate.
