Nell’ottobre 2018 la tecnologia Automatic Exploit Prevention di Kaspersky Lab, integrata nella maggior parte delle soluzioni dell’azienda, ha rilevato un nuovo exploit per una vulnerabilità zero-day in Microsoft Windows. Si tratta del secondo exploit zero-day consecutivo usato in una serie di attacchi informatici in Medio Oriente nel giro di un solo mese. Dopo essere stata segnalata da Kaspersky Lab, la vulnerabilità è stata corretta da Microsoft il 13 novembre.

Gli attacchi veicolati tramite vulnerabilità zero-day sono considerati tra i più pericolosi: sfruttano punti deboli sconosciuti e irrisolti, il che significa che sono difficili da rilevare e da prevenire. Se rilevate dai cybercriminali, queste vulnerabilità potrebbero essere utilizzate per la creazione di exploit: speciali programmi dannosi in grado di fornire l’accesso ad un intero sistema. Questo scenario di attacchi con modalità “hidden threat” è ampiamente utilizzato dai sofisticati autori di attacchi APT.

L’analisi del nuovo exploit condotta da Kaspersky Lab ha portato gli esperti al rilevamento di una vulnerabilità zero-day precedentemente sconosciuta. Il metodo di diffusione è ancora ignoto, ciò che si sa è che l’exploit è stato eseguito dalla prima fase di un programma di installazione di malware per ottenere i privilegi necessari per essere sempre presente sui sistemi delle vittime. L’exploit ha consentito il targeting solo della versione a 32 bit di Windows 7.

Secondo gli esperti di Kaspersky Lab, non c’è ancora un’idea chiara su chi possa essere l’autore degli attacchi, ma si pensa che l’exploit sviluppato venga utilizzato da almeno uno o più autori di campagne APT. Dopo la scoperta, gli esperti di Kaspersky Lab hanno immediatamente segnalato la vulnerabilità a Microsoft.

Solo alcune settimane prima, agli inizi di ottobre, era stato individuato un altro exploit per una vulnerabilità zero-day riguardante Microsoft Windows che veniva distribuito sui dispositivi delle vittime tramite una backdoor PowerShell. La tecnologia di Kaspersky Lab aveva identificato in modo proattivo la minaccia e l’aveva segnalata a Microsoft.

“L’autunno 2018 è una stagione piuttosto calda sul fronte delle vulnerabilità zero-day. Solo in un mese, ne abbiamo scoperte due e abbiamo rilevato due serie di attacchi in una singola regione. La discrezione con cui si muovono gli autori delle minacce nel portare avanti la loro attività ci ricorda che è di fondamentale importanza, soprattutto per le aziende, avere tutti gli strumenti necessari e soluzioni abbastanza intelligenti da assicurare una protezione da minacce così sofisticate. In mancanza di queste, potrebbero diventare obiettivo di complessi attacchi mirati venuti dal nulla”, ha dichiarato Anton Ivanov, security expert di Kaspersky Lab.
Per evitare gli exploit zero-day, Kaspersky Lab consiglia di implementare le seguenti misure tecniche:

  • Evitare, se possibile, l’uso di software noti per essere vulnerabili o utilizzati di recente in attacchi informatici.
  • Assicurarsi che il software utilizzato nella propria azienda sia regolarmente aggiornato con le versioni più recenti. Le soluzioni di sicurezza dotate di “Vulnerability Assessment” e con funzionalità di gestione delle patch possono aiutare ad automatizzare questi processi.
  • Utilizzare una solida soluzione di sicurezza come Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento “behaviour-based” per una protezione efficace contro minacce note e sconosciute, compresi gli exploit.
  • Nel caso in cui un’azienda scopra di essere diventata oggetto di attacchi mirati, è importante implementare strumenti di sicurezza avanzati come Kaspersky Anti Targeted Attack Platform (KATA).
  • Fornire al proprio team di sicurezza l’accesso alle risorse di intelligence sulle cyberminacce più aggiornate.

Maggiori informazioni e dettagli sono disponibili in un blogpost dedicato su Securelist.com.