Grazie alla tecnologia automatizzata, Kaspersky è riuscita a individuare nel web browser Google Chrome una vulnerabilità CVE-2019-13720, segnalata subito a Google. È stata rilasciata una patch. Dopo l’analisi del proof-of-concept (PoC) fornita, Google ha confermato che si tratta di una vulnerabilità zero-day.
Anton Ivanov, Security Expert di Kaspersky
La scoperta di una nuova vulnerabilità zero-day in the wild in Google Chrome ancora una volta dimostra che solo la collaborazione tra la security community e gli sviluppatori di software così come gli investimenti costanti nelle tecnologie di prevenzione degli exploit, possono tutelarci da attacchi improvvisi e nascosti lanciati da autori di minacce.
Le vulnerabilità zero-day sono dei bug del software precedentemente sconosciuti che possono essere sfruttati da cyber-attaccanti per infliggere danni seri e inattesi. Il nuovo exploit è usato in attacchi che sfruttano un’injection di tipo “waterhole” in un portale di notizie in lingua coreana.
Un codice malevolo scritto in JavaScript è inserito nella pagina principale, che a sua volta carica un profiling script da un sito remoto per accertarsi, esaminando le versioni delle credenziali utente del browser, che il sistema possa essere infettato. La vulnerabilità tenta di sfruttare il bug attraverso il browser Google Chrome e lo script verifica se viene usata la versione 65 o versioni successive. L’exploit permette lo Use-After-Free (UaF) all’attaccante, molto pericoloso poiché può portare all’esecuzione del codice.
L’exploit rilevato è stato usato in quello che gli esperti di Kaspersky chiamano “Operation WizardOpium”. Alcune somiglianze nel codice suggeriscono un possibile legame tra questa campagna e gli attacchi firmati da Lazarus. Inoltre, il profilo del website preso di mira è simile a quanto riscontrato nei passati attacchi DarkHotel che, recentemente, hanno speigato attacchi false flag analoghi.
La vulnerabilità sfruttata è stata rilevata dalla tecnologia Kaspersky Exploit Prevention, integrata nella maggior parte delle soluzioni dell’azienda.
Le soluzioni di Kaspersky rilevano l’exploit come PDM:Exploit.Win32.Generic.
Gli esperti di Kaspersky raccomandano di adottare le seguenti misure di sicurezza:
- Installare la patch Google per le nuove vulnerabilità appena possibile.
- Avere cura di aggiornare regolarmente tutti i software utilizzati in azienda e ogni volta che viene rilasciata una nuova security patch. Prodotti di sicurezza con capacità di Vulnerability Assessment and Patch Management possono contribuire ad automatizzare questi processi.
- Scegliere una soluzione di sicurezza affidabile, come Kaspersky Endpoint Security for Business, che integra funzioni di rilevamento basate sul comportamento per una protezione efficace contro le minacce note e quelle sconosciute, inclusi gli exploit.
- Oltre ad adottare una protezione base degli endpoint, implementare una soluzione di sicurezza a livello corporate che rilevi le minacce avanzate sul network già al primo stadio, come Kaspersky Anti Targeted Attack Platform.
- Assicurarsi che il security team abbia accesso alla più recente tecnologia di cyberthreat intelligence. Su Kaspersky Intelligence Reporting customers sono disponibili dei report privati circa i più recenti sviluppi nel panorama delle minacce.
- Infine, accertarsi che lo staff sia adeguatamente formato a comprendere e implementare le regole base della cybersecurity hygiene.