Aggiornamenti recenti Aprile 17th, 2024 6:38 PM
Lug 03, 2016 Giancarlo Calzetta Attacchi, Minacce, News 2
Di solito, quando una vulnerabilità viene individuata imbocca l’inesorabile via del tramonto. Il bug viene corretto tramite aggiornamenti, le tecniche di attacco inserite nei database degli antivirus. Insomma: una volta individuata, la vulnerabilità di solito ha vita breve.
Ogni regola, però, ha la sua eccezione. In questo caso l’eccezione si chiama CVE-2012-0158, una vulnerabilità dei programmi Office che perseguita gli esperti di sicurezza dall’ormai lontano aprile 2012.
Ad analizzare nel dettaglio la straordinaria storia di CVE-2012-0158 ci hanno pensato i ricercatori di Sophos, incuriositi da questa vera e propria “vulnerabilità highlander”.
Secondo Graham Chantry, i fattori che hanno portato alla straordinaria longevità di questo exploit sono quattro.
Prima di tutto il fatto che consente di attaccare un numero di utenti estremamente elevato. Office, infatti, è uno dei pacchetti di software per la produttività più diffusi al mondo, un elemento che rende anche poco sospetto l’invio di allegati nei formati collegati a Office.
In secondo luogo, CVE-2012-0158 è una falla particolarmente “appetitosa” per i cyber-criminali. La vulnerabilità, infatti, permette di avviare una “arbitrary code execution”, cioè l’installazione diretta di un malware.
Infine, le modalità di attacco utilizzate da CVE-2012-0158 consentono di aggirare più facilmente di altri i controlli dei sistemi antivirus. La ragione? La vulnerabilità nel corso degli anni è stata combinata con altre per renderla ancora più insidiosa.
Gli esempi portati dagli analisti di Sophos sono illuminanti e comprendono, per esempio, un altro bug (sigh) che consentiva di nascondere l’exploit all’interno di un file Office protetto da crittografia.
Normalmente, infatti, per aprire un file crittografato attraverso il Microsoft Base Cryptographic Provider v 1.0 è necessaria una password. I ragazzi di Redmond, però, hanno pensato bene di prevedere una password di default (VelvetSweatshop) che il programma prova a utilizzare ogni volta che si trova davanti a un file crittografato con questo metodo.
Risultato: l’antivirus non può controllare il codice, ma se è protetto con la password di defautl questo viene eseguito senza alcun bisogno di una conferma da parte dell’utente. Geniale.
Quando gli esperti di sicurezza sono riusciti ad adottare tecniche di rilevazione in grado di individuare il codice maligno all’interno dei file crittografati, i cyber-criminali hanno cominciato a utilizzare nuove strategie, sfruttando le potenzialità del formato Rich Text Format (RTF) per offuscare il codice dell’exploit.
Stando a quanto riportato dagli analisti di Sophos, i pirati informatici negli ultimi anni hanno usato migliaia di varianti diverse per sfruttare CVE-2012-0158 offuscando il codice attraverso stratagemmi sempre più sofisticati.
Ma com’è possibile che una vulnerabilità così conosciuta e sfruttata dai pirati informatici sia ancora efficace? Oltre alla straordinaria versatilità di questa vulnerabilità, che ne rende difficile l’individuazione, la colpa in definitiva è degli utenti, che sembrano mantenere una sorta di “allergia” nei confronti degli aggiornamenti.
Stando alle statistiche riportate da Sophos, infatti, i computer ancora vulnerabili a CVE-2012-0158 sarebbero molti. Nel dettaglio, in Europa occidentale e USA sarebbero ancora vulnerabili circa il 15% dei computer in circolazione. Ma Asia ed Est Europa fanno molto peggio, con oltre il 50% delle macchine esposte agli attacchi. La media, su scala globale, è di un 35% di computer vulnerabili.
Insomma: a 4 anni dalla sua scoperta CVE-2012-0158 è quanto di più si possa avvicinare all’exploit ideale per un attacco informatico.
Gen 18, 2019 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 16, 2024 0
Apr 16, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 16, 2024 0
Apr 16, 2024 0
Devi essere connesso per inviare un commento.
Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Apr 10, 2024 0
Il Patch Tuesday di aprile di Microsoft ha risolto ben 150...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 16, 2024 0
I ricercatori di Volexity hanno scoperto una serie di...Apr 15, 2024 0
Nella settimana che è andata dal 6 al 12 aprile...
Vediamo come funzano i commenti
Beh, funzionano…