exploit zero-day

Recentemente, la tecnologia Automatic Exploit Prevention di Kaspersky Lab ha rilevato una serie di attacchi informatici legati ad un malware che ha sfruttato una vulnerabilità exploit zero-day Windows precedentemente sconosciuta. I cybercriminali miravano ad ottenere un accesso continuativo ai sistemi delle vittime localizzati in Medio Oriente. Microsoft ha risolto la vulnerabilità il 9 ottobre.

Un attacco che sfrutta una vulnerabilità zero-day è una delle più pericolose forme di cyberminaccia, proprio perché sfrutta vulnerabilità che devono ancora essere scoperte e risolte. Se scoperta dagli autori delle minacce, è possibile che una vulnerabilità zero-day venga utilizzata per la creazione di un exploit che garantirà l’accesso all’intero sistema. Questo scenario è messo in atto spesso da autori esperti negli attacchi APT ed è stato rilevato anche nel caso che segue.

L’exploit relativo a Microsoft Windows è stato distribuito alle vittime attraverso una backdoor PowerShell. È stato quindi eseguito per ottenere i privilegi necessari per essere sempre presenti sui sistemi delle vittime. Il codice del malware era di alta qualità ed è stato scritto per consentire uno sfruttamento sicuro per il maggior numero possibile di versioni di Windows.

Gli attacchi informatici hanno colpito meno di una dozzina di diverse organizzazioni in Medio Oriente nell’ultima parte dell’estate. Si sospetta che l’autore dietro l’attacco possa essere collegato al gruppo FruityArmor, in quanto una backdoor PowerShell è stata utilizzata esclusivamente da questo autore di minacce in passato. Dopo la scoperta, gli esperti di Kaspersky Lab hanno immediatamente segnalato la vulnerabilità a Microsoft.

“Quando si tratta di vulnerabilità zero-day, è fondamentale monitorare in modo attivo lo scenario delle minacce alla ricerca di nuovi exploit. In Kaspersky Lab la nostra costante ricerca sull’intelligence delle minacce mira non solo a scoprire nuovi attacchi e a indagare gli obiettivi dei diversi autori delle cyberminacce; siamo anche impegnati a comprendere a fondo quali tecnologie malevole utilizzano questi criminali. Come emerge dalla nostra ricerca, abbiamo un livello fondamentale composto dalle nostre tecnologie di rilevamento che ci consentono di prevenire attacchi, come quello che intendeva sfruttare proprio questa vulnerabilità”, ha affermato Anton Ivanov, Security Expert di Kaspersky Lab.

Per evitare gli exploit zero-day, gli esperti consigliano di implementare le seguenti misure tecniche:

  • Evitare l’uso di software noti per essere vulnerabili o utilizzati di recente in attacchi informatici.
  • Assicurarsi che il software utilizzato nella propria azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con Vulnerability Assessment e funzionalità di gestione delle patch possono aiutare ad automatizzare questi processi.
  • Utilizzare una solida soluzione di sicurezza dotata di funzionalità di rilevamento “Behaviour Based” per una protezione efficace contro minacce note e sconosciute, inclusi gli exploit.