Recentemente, la tecnologia Automatic Exploit Prevention di Kaspersky Lab ha rilevato una serie di attacchi informatici legati ad un malware che ha sfruttato una vulnerabilità exploit zero-day Windows precedentemente sconosciuta. I cybercriminali miravano ad ottenere un accesso continuativo ai sistemi delle vittime localizzati in Medio Oriente. Microsoft ha risolto la vulnerabilità il 9 ottobre. Un attacco che sfrutta una vulnerabilità zero-day è una delle più pericolose forme di cyberminaccia, proprio perché sfrutta vulnerabilità che devono ancora essere scoperte e risolte. Se scoperta dagli autori delle minacce, è possibile che una vulnerabilità zero-day venga utilizzata per la creazione di un exploit che garantirà l’accesso all’intero sistema. Questo scenario è messo in atto spesso da autori esperti negli attacchi APT ed è stato rilevato anche nel caso che segue. L’exploit relativo a Microsoft Windows è stato distribuito alle vittime attraverso una backdoor PowerShell. È stato quindi eseguito per ottenere i privilegi necessari per essere sempre presenti sui sistemi delle vittime. Il codice del malware era di alta qualità ed è stato scritto per consentire uno sfruttamento sicuro per il maggior numero possibile di versioni di Windows. Gli attacchi informatici hanno colpito meno di una dozzina di diverse organizzazioni in Medio Oriente nell’ultima parte dell’estate. Si sospetta che l’autore dietro l’attacco possa essere collegato al gruppo FruityArmor, in quanto una backdoor PowerShell è stata utilizzata esclusivamente da questo autore di minacce in passato. Dopo la scoperta, gli esperti di Kaspersky Lab hanno immediatamente segnalato la vulnerabilità a Microsoft. “Quando si tratta di vulnerabilità zero-day, è fondamentale monitorare in modo attivo lo scenario delle minacce alla ricerca di nuovi exploit. In Kaspersky Lab la nostra costante ricerca sull’intelligence delle minacce mira non solo a scoprire nuovi attacchi e a indagare gli obiettivi dei diversi autori delle cyberminacce; siamo anche impegnati a comprendere a fondo quali tecnologie malevole utilizzano questi criminali. Come emerge dalla nostra ricerca, abbiamo un livello fondamentale composto dalle nostre tecnologie di rilevamento che ci consentono di prevenire attacchi, come quello che intendeva sfruttare proprio questa vulnerabilità”, ha affermato Anton Ivanov, Security Expert di Kaspersky Lab. Per evitare gli exploit zero-day, gli esperti consigliano di implementare le seguenti misure tecniche:
- Evitare l’uso di software noti per essere vulnerabili o utilizzati di recente in attacchi informatici.
- Assicurarsi che il software utilizzato nella propria azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con Vulnerability Assessment e funzionalità di gestione delle patch possono aiutare ad automatizzare questi processi.
- Utilizzare una solida soluzione di sicurezza dotata di funzionalità di rilevamento “Behaviour Based” per una protezione efficace contro minacce note e sconosciute, inclusi gli exploit.
Quanto era pericoloso?
I malware hanno sfruttato questa vulnerabilità per ottenere sufficienti privilegi per la persistenza sul computer di una vittima. Quindi, potenzialmente, la vulnerabilità è molto pericolosa – può dare agli aggressori il controllo sul tuo PC. Come dicono i nostri esperti, mirava a creare il maggior numero possibile di MS Windows, incluso MS Windows 10 RS4. Le nostre soluzioni hanno rilevato diversi attacchi utilizzando questa vulnerabilità. La maggior parte delle vittime si trovava nella regione del Medio Oriente. I nostri esperti sono sicuri che sia stato un attacco mirato con precisione. Ma in seguito alla divulgazione, il numero di tali casi può aumentare. Ulteriori informazioni sui dettagli tecnici dell’attacco sono disponibili in questo post di Securelist.
Come stare al sicuro?
- Installa immediatamente la patch di Microsoft. Può essere trovato qui.
- Aggiorna regolarmente il software utilizzato nella tua azienda per le versioni più recenti.
- Utilizzare prodotti di sicurezza con valutazione delle vulnerabilità e funzionalità di gestione delle patch per automatizzare i processi di aggiornamento.
- Utilizzare una robusta soluzione di sicurezza dotata di funzionalità di rilevamento basate sul comportamento per una protezione efficace contro minacce sconosciute, compresi gli exploit zero-day.
- Molte delle nostre tecnologie rilevano l’exploit per questa vulnerabilità zero-day. Il primo è il motore avanzato Sandboxing e Anti Malware per Kaspersky Anti Targeted Attack Platform (una soluzione creata appositamente per la protezione dalle minacce APT). Il secondo, Automatic Exploit Prevention, è un sottosistema integrale di Kaspersky Endpoint Security for Business.
