È stata individuata una vulnerabilità zero-day all’interno di Silverlight, una tecnologia web utilizzata per visualizzare contenuti multimediali. La vulnerabilità avrebbe consentito ad un criminale informatico di ottenere l’accesso completo ai computer violati ed eseguire un codice nocivo con lo scopo di rubare informazioni segrete e compiere altre azioni illegali. La vulnerabilità (CVE-2016-0034) è stata corretta durante l’ultimo Patch Tuesday, aggiornamento rilasciato da Microsoft il 12 gennaio 2016. La scoperta è il risultato di un’indagine cominciata oltre cinque mesi fa e pubblicata in un articolo di Ars Technica.
Nell’estate del 2015 un articolo riguardante l’attacco hacker contro l’azienda Hacking Team (un famoso sviluppatore di “spyware legali”) ha riportato la notizia. Uno degli articoli che trattava l’argomento, pubblicato su Ars Technica, parlava di una fuga di notizie su una presunta corrispondenza tra i rappresentanti di Hacking Team e Vitaliy Toropov, un exploit-writer indipendente. Tra le altre cose, l’articolo menzionava la corrispondenza nella quale Toropov provava a vendere ad Hacking Team uno zero-day particolare: un exploit all’interno della tecnologia Silverlight di Microsoft che risaliva a quattro anni prima e per il quale non era stata ancora rilasciata una patch. Questa informazione ha suscitato l’interesse dei ricercatori di Kaspersky Lab.
All’interno dell’articolo non venivano menzionate informazioni aggiuntive rispetto all’exploit, così i ricercatori hanno iniziato la loro indagine partendo dal nome del venditore. Hanno scoperto molto presto che un utente che si chiamava Vitaliy Toropov collaborava attivamente al database Open Source Vulnerability (OSVDB), un ambiente nel quale ciascuno può postare informazioni riguardanti le vulnerabilità. Analizzando il suo profilo pubblico su OSVBD.org, i ricercatori hanno scoperto che nel 2013, Toropov aveva pubblicato un proof-of-concept (POC) che descriveva un bug all’interno della tecnologia Silverlight. Il POC copriva una vecchia vulnerabilità che era stata scoperta e per la quale era stata rilasciata una patch. Inoltre, conteneva dettagli aggiuntivi che hanno dato ai ricercatori un suggerimento su come l’autore dell’exploit era solito scrivere il codice.
Durante l’analisi effettuata dagli esperti sono saltate all’occhio alcune stringhe univoche presenti all’interno del codice. Utilizzando questa informazione si sono potute creare diverse norme di rilevamento per le proprie tecnologie di protezione: ogni qualvolta un utente, che ha scelto di condividere i dati sulle minacce con il Kaspersky Security Network (KSN), si trova di fronte a software nocivi che adottano un comportamento disciplinato da tali norme speciali di rilevamento, il sistema evidenzia il file come altamente sospetto e una notifica viene inviata alla società per essere analizzata. Il presupposto dietro questa tattica era semplice: se Toropov aveva provato a vendere un exploit zero-day a Hacking Team, era molto probabile che facesse lo stesso con altri vendor di spyware. Ne consegue che altre campagne di cyber spionaggio potevano essere utilizzate attivamente per mirare e infettare vittime ignare.
Il presupposto era corretto. Diversi mesi dopo l’implementazione delle norme speciali di rilevamento, un utente di Kaspersky Lab era stato preso di mira da un attacco che utilizzava un file sospetto che aveva proprio le caratteristiche che i ricercatori stavano cercando. Diverse ore dopo qualcuno (probabilmente una vittima dell’attacco) dal Laos aveva effettuato l’upload di un file con le stesse caratteristiche su un servizio multiscanner. Gli esperti hanno analizzato l’attacco e hanno scoperto che veniva eseguito l’exploit di un bug sconosciuto all’interno della tecnologia Silverlight. L’informazione ottenuta sul bug è stata prontamente riportata a Microsoft per essere validata.
I prodotti Kaspersky Lab hanno rilevato l’exploit CVE-2016-0034 con il seguente nome di rilevamento: HEUR:Exploit.MSIL.Agent.gen
